「進め／止まれ」：セキュリティ信号を使って、安全な適応型アクセス制御

デジタルトランスフォーメーションは、組織が安全にITにアクセスするための考え方が大きく変化することを意味しています。セキュリティの中心は、データセンターを離れて各ユーザーの手元に移行しています。従業員の生産性、柔軟なアクセス環境、アプリケーションパフォーマンスの観点から、クラウドを中心とした安全なアクセス環境を構築したいという需要が高まっています。

また、昨今の高度化する脅威に対応するためには、できるだけ多くのユーザー情報を利用したリスク分析をし、適応型のセキュリティを作り上げる事が極めて重要です。それには、時間や場所を問わず全アプリケーションにアクセスしたいユーザーと、アプリケーションを安全に配信することが求められる管理者との間のバランスがなかなか難しいところです。ユーザーがあらゆるデバイスから安全に適時適切なアプリケーションにアクセスできるように、よりスマートな決定を下すためには、多数のセキュリティ信号を確認してリスクを判断する事が必要です。そこで、信号の情報を読み解き、組み合わせることで背景情報を検査する「セキュリティポスチャーコントロール」を実施し、安全なアプリケーションアクセス制御を実現する必要があります。

これをうまく表している例が、「進め／止まれ」の横断歩道の信号です。信号は、かつては道を渡るか渡らないかという二者択一の判断しかできませんでしたが、それが進化し、現在ではより多様な判断ができるようになりました。普段は私もあまり意識しませんがよく考えると単に進むか止まるかだけではない情報が与えられていますね。たとえば、

● 信号が青から赤に変わるまで、どのくらい時間がかかるか？
● 信号の字が読めない、あるいは信号が見えない場合、道を渡るためにはどんな情報が必要か？

この場合、「進め／止まれ」の決定を行うために、色だけでは無い多くの信号と入力情報を参考にします。以前は、多くの横断歩道には言葉による「進め／止まれ」の注意書きや方向指示しかなく、安全かどうかの判断をそれだけで行う必要がありました。

ですが、現在の歩行者用信号では赤青のサイン、安全に道を渡れる残り時間を表示する秒読み、音声による秒読み、警告、指示、小鳥のさえずりの音などの様々な追加情報が付加されています。これらの信号によりセキュリティが強化され、ユーザーごとに必要な情報を得て判断が行えます。また、多種多様なユーザーのニーズに応えるために他にもさまざまな信号があり、これらは以前考えられていたよりも複雑で、歩道を渡るべきかどうかの決定にインテリジェントな情報を与えています。

「進め／止まれ」の信号とともに複数の信号が使用され、安全な横断を実現するのと同じように、Akamai の Enterprise Application Access は様々な情報を利用したアクセス制御を企業のシステム上に実現します。ユーザーID情報と認証の他、デバイスのセキュリティ対策状況や脅威インテリジェンスからの信号をキャッチし、企業のアプリケーションに安全なユーザだけがアクセスできるようにします。道を渡るように、アプリケーションに安全にアクセスするには、より多くの信号を利用し、状況に応じてより的確な決定を行う必要があります。これは、過去のアクセス管理システムにある様な「許可／拒否」の二者択一の決定とは正反対の、自動化された適応型のアプローチです。

Enterprise Application Access (EAA) は、展開が簡単なクラウドサービスです。従来のLAN/WANをベースとしたネットワークを使わずに、クラウド経由のTLS暗号化経路でアプリケーションに効率良くアクセスできます。安全なID管理、シングルサインオン、多要素認証、アプリケーション監視などの機能を備えています。加えて、ユーザーIDと、時刻や場所、特定の URL、HTTP メソッドなどの状況の「信号」に基づいてアクセス制御を行う機能が以前から実装されています。今回は更なるセキュリティの新機能として、デバイスの脆弱性信号や脅威インテリジェンス信号に基づいた動的なアクセス制御ができるデバイスポスチャーをご紹介します。

この機能では、リスクの状況に応じて接続を許可/拒否するプロファイルを作成できます。つまり、歩道信号を見て「進め/止まれ」という判断を行う様なものです。たとえば、OS バージョン、パッチ適用状況、エンドポイントのファイアウォールの状態などのデバイスの脆弱性信号が、ユーザーのリスク評価に組み込まれます。さらに、デバイスの侵害状況に関する脅威インテリジェンス信号は、Akamai の Enterprise Threat Protector (ETP) から収集できます。最後に、サードパーティ連携としてEDRで検知された脅威も、「Carbon Black」 の信号によって取得できます。このリスク評価に関する情報により、ユーザーの背景情報が豊富になり、より安全に企業アプリケーションにアクセス管理できるようになります。

さらに、これらの信号 (ユーザーID、背景情報、デバイスの脆弱性、脅威インテリジェンス) はすべてリスク評価データベースに追加されるので、この情報をルールとポリシーの作成に使用することができます。また、ユーザーを低、中、高のリスクレベルに分類することで、管理者はアプリケーションへのアクセスルールをリスクに応じて運用することができます。 

また、リスクプロファイルをカスタマイズする事で、管理者はより細かくセキュリティ要件を確認することができます。更に、リスク評価デバイスタグという機能によって、定義済みの要件セットを特定のタグに追加すると、簡単にルールを作成してデバイスを分類することができます。 

これはセキュリティだけでなく、従業員の生産性とパフォーマンスを高めます。管理者が事前にアクセスグループを設定して分類しておくことで、従業員はいつでもどこからでもシームレスに業務を開始する事が出来るからです。