アダプティブ認証とその仕組みとは？

アダプティブ（適応型）認証を使用すると、各アクセスがもたらすリスクに応じて異なる認証情報を要求します。 

従来の認証システムでは、パスワードの入力や指紋など、アクセスがあるたびにすべてのユーザーに１つあるいは２つのことを要求していました。アダプティブアクセスでは、ユーザーが誰なのか、どこにいるのか、何をしようとしているのかによって、複雑さを追加したり削除したりすることができます。 

アダプティブアクセスコントロールは、高度なコンピューターシステムを利用して行われるため、その費用を支払わなければいけません。しかし、それに費やすだけの価値があります。

アダプティブ認証とは？

アダプティブアクセスコントロールを使用する場合、ユーザーによるサービスへのアクセスはログインする前にコンピュータプログラムによるリスク評価（各自が定義した基準に基づく）が行われ、それに応じて認証要件を調整します。 

このようなシステムについて考えると、すぐにアクセスを難しくするプログラムを思い浮かべます。例えば、ユーザーが送金などの重要な操作を実行する前に、網膜スキャンを要求するようなプログラムを想像します。 

しかし、アダプティブアクセスコントロールなら、単純な操作をより簡単に完了することもできます。例えば、単に個人的なカレンダーを見ようとするだけなら、いくつかのセキュリティのハードルをスキップすることができます。「パスワード疲れ」というものがあることを考えると、このような簡素化は歓迎すべきことかもしれません。

セキュリティと利便性のバランスをとることも、従業員が職場のテクノロジーに満足し続けるために重要です。

アダプティブアクセスの仕組み 

アダプティブプログラムは、アクセスゲートキーパーのように機能します。ユーザーは、サーバーにアクセスする前に、アダプティブプログラムと対話しなければなりません。 

プログラムはそれぞれ異なりますが、ここでは、多くのケースで使われている仕組みについて簡単にご説明します。

1. 危険性を強調する：ユーザーの役割、場所、時間帯、要求されるリソースごとにリスクについて概説します。各ユーザーにプロファイルを与え、そのユーザーが通常どのようにシステムとやりとりしているかをプログラムに学習させます。 
2. ベースラインルールを決める：受け入れる最低の認証方法を定義し、それに応じてリスクを階層化します。各シナリオをどのように処理したいかをプログラムに指示します。 
3. プログラムをオンにする：ユーザーがログインしようとするたびに、プログラムがリクエストのリスクを評価します。認証プロセスはそれに応じて変化します。 

アダプティブアクセスコントロールの３つの例 

マイクさんという会計士を想像してみましょう。彼は、サクラメントを拠点としてあなたの会社で10年間働いています。彼のアダプティブ認証の経験がどのようなものかを見てみましょう。 

シナリオ１ 

マイクさんのプロファイルが、サクラメント時間の午前8時に、会計サーバーへのログインを試みます。このプロファイルは 30日間同じリクエストをしています。

システムの反応：パスワードで十分です。 

シナリオ２ 

マイクさんのプロファイルが、サクラメント時間の午前2時に、会計サーバーへのログインを試みます。IPアドレスは見慣れたものであり、以前にも使用されたことがあります。しかし、このプロファイルは夜間にログインしたことがありません。 

システムの反応：パスワードとマイクさんの認証済みの電話に送られるコードが必要です。 

シナリオ３ 

マイクさんのプロファイルが、サクラメント時間の午前2時に、見慣れないIPアドレスからマーケティングサーバーにログインしようとしました。 

システムの反応：パスワード、セカンダリーコード、指紋による生体認証のすべてが必要です。

アダプティブアクセスを試すべきか？ 

壊滅的なデータ漏洩に対して金銭的余裕のある企業はほとんどありません。たとえお金を支払って、失ったお金を回収できたとしても、安全でセキュアなプロバイダーとしての評判は永遠に失われるかもしれません。 

Oktaでは、お客様にご満足いただけるアダプティブ認証製品をご用意しております。その仕組みをご確認ください。