多要素認証(MFA)などの標準の認証方法では、ユーザがログインしたり、企業のリソースにアクセスしたりしようとするたびに、特定の資格情報を要求します。適応型認証では、状況に応じて異なる資格情報を要求して、侵害のリスクが高い場合にセキュリティを強化します。
ユーザが常にユーザ名とパスワードなどの標準の資格情報でログインしていると、サイバー攻撃に対して脆弱になります。MFAなどのIDおよびアクセス管理の認証ツールは、スマートフォンアプリから生成されるコードなどの追加の資格情報を要求することで、より強力なセキュリティを提供します。要素が多いほど役立ちますが、それでもサイバー犯罪者は、簡単にユーザのさまざまな資格情報を取得またはハッキングして、それを利用してアクセスできます。適応型認証は、要件をインテリジェントに変更することで、ハッカーが企業にアクセスすることをはるかに困難にします。使用されるシグナル���べてを攻撃者が回避する���とは難しいからです。
組織にリスクベースの認証を実装する場合、特定のユーザまたはユーザのセットに対するベースラインのログイン要件を決定します。特定のロケールにいるユーザや、機密情報へのアクセスが許可されているロールのユーザに対して、より厳しい要件を設定することができます。
適応型認証は、各ユーザのプロファイルを作成することで機能します。これには、ユーザの地理的場所,登録されているデバイス、ロールなどの情報が含まれます。誰かが認証を試みるたびに、リクエストが評価されて、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザは追加の資格情報を提供するように要求されたり、逆に資格情報が減らされたりする場合があります。
例えば、ユーザが未登録のデバイスからアプリケーションにアクセスしようとすると、デバイスを登録するように求められる場合があります。また、ユーザがオフィス以外の地理的場所からログインすると、セキュリティ質問に答えなければならない場合があります。
ITは、さまざまなリスクスコアに応じてリクエストへの応答を決定します。どのようなシナリオでも、ユーザは認証を許可されたり、アクセスを禁止されたり、本人であることを証明するように要求されたりする場合もあります。
ほとんどのリスクベースの認証ソリューションは機械学習を利用しています。これらのツールのアルゴリズムは、時間をかけてユーザの動作を監視および学習して、特定のユーザのログインパターンの正確なプロファイルを構築します。デバイス、一般的なユーザのログイン時間、通常の作業場所が追跡される場合があります。ネットワークの脅威データに加えて、IPアドレスとネットワークレピュテーションが確認されます。
適応型認証ソリューションは、動作およびコンテキストに基づいてリスクスコアを割り当て、ITが確立したルールに基づいて検出されたリスクに対応します。これらのルールは、リスクスコア、ユーザのロール、場所、デバイスなどによって異なる場合があります。高度な認証は人工知能(AI)を使用して進化しており、リアルタイムで監視して、ユーザの認証パターンにおける異常や、認証パスの脅威(不正アクセスされたネットワークなど)すら識別します。
最先端の適応型認証ソリューションは、リスクスコアとITポリシーに基づいて認証要件を自動的に調整します。リスクスコアが低いユーザには、追加のチャレンジをほとんど、またはまったく要求しない可能性があります。リスクスコアが高いユーザには、ワンタイムパスワードと生体認証など、複数のチャレンジを追加する可能性があります。このような高度なソリューションは、リスクスコアに基づき、ITポリシーに従って、ユーザのアクセスを制限または拒否することさえあります。
適応型認証はセキュリティを追加するだけでなく、業務をこなそうとするユーザの摩擦を軽減します。標準のMFAでは、ユーザに名前、パスワード、アプリからのコードの入力を常に必要としたり、オフィス外での認証時にセキュリティ質問の回答を必要とするなど、厄介になり得るログイン要件を定義します。
適応型認証では、認識され期待通りに行動するユーザの場合には、要求する情報を減らすことができます。状況がより深刻なセキュリティリスクを示す場合にのみ、ユーザに追加の情報を問い合わせます。つまり、ユーザにとって中断が少なく、アクセスまでの障壁は低く、なおかつセキュリティは強力になります。