アイデンティティは長らくサイバーセキュリティの礎とされてきましたが、単独で機能する能力は低下しています。攻撃者はAIや高度なフィッシング技術をますます活用しており、従業員のアイデンティティを単に検証するという従来のアプローチは不十分であることが証明されています。SaaS、BYODポリシー、ハイブリッドワークモデルの台頭により、有効な認証情報が必ずしも安全な接続を意味しなくなっています。 ## 認証後のブラインドスポット 多要素認証（MFA）はこのギャップを埋めるために設計されましたが、最新のフィッシングキットは、攻撃者が認証をリアルタイムで傍受・プロキシし、MFAが成功した後でもセッショントークンを盗むことを可能にしています。被害者は気づかないうちにすべてのセキュリティチェックを完了しますが、攻撃者は有効なセッションクッキーでアクセスを得ます。 **NIST Special Publication 800-207**は、Zero Trustアーキテクチャの基盤であり、この課題を予見していました。初期認証後の暗黙の信頼を超えて、デバイスのセキュリティ体制をアクセス決定に組み込む必要性を強調しています。 実際には、多くの組織は依然として認証を一度限りのイベントとして扱っています。アイデンティティが検証され、MFAが通過し、セッションが開始され、トークンが期限切れになるまで信頼が維持されます。決定的なのは、攻撃者のブラウザのセッショントークンは、ユーザーのブラウザのトークンと同一に見えるため、従来の認証ログではそれらを区別できないことです。 ## Zero Trustが破綻する場所 多くのZero Trust実装はアイデンティティを優先し、認証の強化、MFAの実施、パスワード依存の削減、リスクベースのサインインポリシーの実装に焦点を当てています。しかし、デバイス検証はしばしば一貫して適用されず、ログインで停止したり、条件付きアクセスフレームワーク内のブラウザベースのワークフローに限定されたりすることがよくあります。レガシープロトコル、リモートアクセスツール、API統合は、アイデンティティが確立されると、しばしば暗黙的に信頼を継承します。 これにより、セキュリティモデルが断片化されます。個人デバイスやサードパーティ製デバイスは、緩やかに管理されているか、完全に管理されていない可能性があります。セッションの信頼性は、デバイスの体制が悪化しても維持されます。アイデンティティシグナルとエンドポイントシグナルは、統合が限定された別々のツールに存在します。アイデンティティはログイン時に厳しく精査されますが、アクセスが意味のある方法で再評価されることはめったにありません。 ## デバイス：失われたピース 攻撃者が制御するラップトップから使用された盗まれたパスワードは、準拠した暗号化された企業エンドポイントから使用された同じパスワードと同じように扱われるべきではありません。しかし、これはアクセスがアイデンティティのみによって管理されている場合に起こることです。 デバイスの体制は、アイデンティティだけでは提供できない重要な情報を提供します。デバイスは暗号化されていますか？エンドポイント保護はアクティブで最新の状態ですか？オペレーティングシステムはパッチ適用されていますか？設定はポリシーから逸脱していますか？これは承認されたハードウェアですか？ 決定的なのは、これらの質問がセッション全体で最新の状態を保つ必要があるということです。更新が遅延したり、エンドポイント保護が無効になったり、不正なソフトウェアがインストールされたりする可能性があります。ログイン時の状態が、セッション後半の状態と同じであるとは限りません。継続的なデバイス検証は、アクセスをアイデンティティだけでなく、信頼できる健全なエンドポイントにも結び付けることで、盗まれた認証情報や傍受されたトークンの価値を低下させます。 ## より強力なモデルのための4つの原則 より堅牢なアプローチは、アイデンティティと継続的なデバイス検証を組み合わせることです。これは以下の実践に翻訳されます。 1. **ユーザーとデバイスの両方を継続的に検証する：** アクセスは、アイデンティティだけでなく、デバイスの健全性にも条件付けられるべきです。エンドポイント保護が無効になったり、セッション中に暗号化がオフになったりした場合、信頼レベルはリアルタイムで調整されるべきです。これにより、盗まれた認証情報、トークンリプレイ、MFA疲労、攻撃者が制御するエンドポイントに関連するリスクが効果的に軽減されます。 2. **承認されたハードウェアにアクセスをバインドする：** デバイスベースの制御を実装して、信頼できるハードウェアを登録し、企業、個人、サードパーティ製エンドポイントを区別します。認識されないデバイスから使用された有効な認証情報であっても、MFAが成功したという理由だけでアクセスを許可すべきではありません。 3. **比例した強制を適用する：** 回避策につながる厳格な制御を避ける。成熟した体制戦略は、ハードブロックをデフォルトにするのではなく、条件付き制限、権限の縮小、または時間制限付きの猶予期間を適用できます。このバランスは、ハイブリッドおよびリモートチームにとって不可欠です。 4. **セルフサービス修復を有効にする：** 信頼がデバイスの健全性に依存する場合、ユーザーは信頼を回復する方法が必要です。暗号化、OSアップデート、またはエンドポイント保護のためのガイド付き修正は、ITの介入を必要としたり、不必要にアクセスを失ったりすることなく、従業員が体制の問題を解決できるようにします。 **Specops Device Trust**のようなソリューションは、信頼決定をアイデンティティを超えて拡張し、条件が変化しても強制を維持することで、このモデルを運用化します。ログイン時だけでなく、Windows、macOS、Linux、モバイルプラットフォーム全体で、ユーザーを継続的に認証し、デバイスを検証します。  アイデンティティは依然として重要ですが、アクセス決定のすべての重みを単独で担うことはもはやできません。