つい最近まで、ほとんどの企業はユーザー名、パスワード、そして場合によっては追加の認証手順に頼ってアプリを保護していました。従業員がオフィスから会社が管理するデバイスを使って、信頼できるネットワーク経由でログインしていたため、この方法はうまく機能していました。セキュリティ管理も容易だったのです。
今では状況は一変しました。人々は自宅のWi-Fi、ホテルのホットスポット、コワーキングスペース、カフェのネットワーク、個人の携帯電話などからサインインしています。デバイスは古くなり、パッチは適用されず、攻撃者はファイアウォールをハッキングするのではなく、正規の認証情報を盗む方法を習得しています。
これらの変化により、IDだけではもはや信頼できる信頼の指標とはなり得なくなりました。現代のセキュリティには、より多くのコンテキストが必要です。この変化こそが条件付きアクセスが普及した理由であり、拡張アクセスポリシーが注目を集め始めた理由でもあります。拡張アクセスポリシーは、より深く、より広範囲に渡って、ログイン試行を取り巻く実際の環境に対応します。
この記事では、両方のアプローチ、その仕組み、そして IT 管理者が基本的な機能以上のものを必要とする理由について詳しく説明します。
条件付きアクセスとは何ですか?
条件付きアクセス ログイン時に追加のシグナルをチェックするセキュリティアプローチです。ユーザー名とパスワードのみに基づいてアクセスを承認するのではなく、コンテキストを評価します。例えば、次のような質問をします。
- このログインはどこから来ているのでしょうか?
- ユーザーはどのデバイスを使用していますか?
- ネットワークは信頼できますか?
- ユーザーには MFA が必要ですか?
特定のルールが満たされない場合、アクセスをブロックしたり、追加の認証を求めたりすることができます。これにより、単純なログインチェックよりも高度な制御が可能になり、明らかなリスクを防止できます。
条件付きアクセスはどのように機能しますか?
条件付きアクセスはポリシーベースのロジックに従います。ITチームは、アクセスを許可、異議申し立て、または拒否するタイミングを定義するルールを作成します。
一般的なチェックには次のようなものがあります:
- IP 範囲: 特定のネットワークからのアクセスのみを許可します。
- 住所 特定の地域からのログイン試行をブロックします。
- デバイス プラットフォーム: デスクトップ、モバイル、タブレットごとに異なるルール。
- アプリの種類: クラウドとオンプレミス。
- リスクレベル: 疑わしいログインパターン。
- MFA 要件: 機密性の高いアプリに対する追加の検証。
これらの条件のいずれかが満たされなかった場合、アクセスは拒否または制限されます。
これはドアの警備員のような役割を果たし、身元と状況の両方を確認します。
条件付きアクセスの利点
条件付きアクセスは、ユーザーのサインイン方法に関するコンテキストとルールを追加することで、IDベースのセキュリティを強化します。すべてのログインを同じ条件で扱うのではなく、場所、ネットワーク、デバイス、リスクシグナルなどの条件を評価した上でアクセスを許可します。主なメリットは以下のとおりです。
- 不審なサインインに対する保護を強化: 通常とは異なる国やネットワークからログインを試みた場合、条件付きアクセスはセッションを無効にしたり、完全にブロックしたりすることができます。これにより、盗まれたパスワードやクレデンシャルスタッフィングを利用する攻撃者を阻止できます。
- よりスマートな MFA の適用: 強制するのではなく 多要素認証(MFA) あらゆる場所で、条件付きアクセスは必要な場合にのみ適用されます。例えば、信頼できるネットワークからのログインには追加の手順は不要ですが、ホテルのWi-FiからのログインにはMFAが適用される場合があります。これにより、利便性とセキュリティのバランスが取れます。
- コンテキスト駆動型のアクセス決定: 管理者は、ユーザーの役割、アプリケーションの機密性、デバイスの種類、プラットフォームに基づいてルールを設定できます。これにより、広範なアクセスを防止し、より強力な制御によって高価値リソースを保護します。
- 危険なネットワークへの露出の低減: 条件付きアクセスは、不明なIPアドレス、匿名プロキシ、またはブロックされた地域からのログインを拒否できます。これにより、攻撃者がVPNの背後に隠れている場合でも、攻撃範囲を制限できます。
- ハイブリッドワークのより優れたサポート: 従業員がオフィスの Wi-Fi、モバイル データ、自宅のネットワーク間を切り替えても、条件付きアクセスにより、基本的な安全性チェックがどこでも一貫して実行されます。
- リスクイベントの可視性: 監査ログにより、ルールがいつ適用されたかを簡単に確認できるため、セキュリティ チームは疑わしいアクティビティをより迅速に調査できます。
- ゼロトラストの調整: ゼロトラスト は「決して信頼せず、常に検証する」ことを意味します。条件付きアクセスはログイン段階で ID チェックを強制するため、このフレームワークの基盤となります。
- 手動監視の削減: 条件付きアクセスは、アクセスリクエストを一つ一つ確認する代わりに、意思決定を自動化します。ポリシーによって承認、異議申し立て、ブロックが処理され、IT部門の介入は不要です。
条件付きアクセスは、組織に強力なベースラインを提供します。クラウドアプリへのアクセスを許可する前に、IDと環境を評価することで、最も一般的な種類の不正アクセスを削減します。
拡張アクセスとは何ですか?
拡張アクセスポリシー (XAP) コンテキストの概念をさらに推し進めます。XAPは、IDや基本的なシグナルに留まらず、ログイン環境に関するより詳細な情報を評価します。デバイスの動作、コンプライアンスへの適合性、そして背後に潜むリスクに焦点を当てます。
拡張アクセス ポリシーでは次の点を考慮します。
- デバイスの姿勢
- OSアップデートやセキュリティパッチの不足
- 必要なアプリケーションとエージェント
- IPレピュテーション
- デバイスコンプライアンス信号
- 場所の不一致
何かおかしい点があれば、アクセスを即座に制限またはブロックできます。
このアプローチは、攻撃者が一般的に狙うリスクギャップを解消します。
拡張アクセスはどのように機能しますか?
拡張アクセスポリシーは、ログイン中にデバイスの状態を継続的に評価することで機能します。デバイスが正常で安全であり、要求されたアプリケーションへのアクセスが許可されているかどうかを確認します。この評価はリアルタイムで行われます。
検査された信号の一部は次のとおりです。
- 必要なセキュリティアプリがインストールされているかどうか
- OSバージョンが最新かどうか
- デバイスコンプライアンス構成がアクティブな場合
- IPアドレスリスクデータ
- ロケーション履歴
- パッチレベル
リスクが検出されると、拡張アクセスは次のことを行うことができます。
- ログインを完全にブロックする
- 追加の確認を求める
- 特定のリソースへのアクセスを制限する
- 自動修復手順をトリガーする
アイデンティティだけで十分だと想定するのではなく、環境と姿勢もチェックします。
拡張アクセスポリシーの利点
拡張アクセスポリシーは、ID確認にとどまらず、デバイスの状態、必要なセキュリティツールの有無、ネットワーク環境、そしてログイン時のその他のシグナルを評価します。これにより、条件付きアクセスに新たなセキュリティレイヤーが加わります。
- 侵害された資格情報に対する防御の強化: たとえ攻撃者が有効なユーザー名とパスワードを入手できたとしても、デバイスが不明、未登録、またはセキュリティ制御が欠落しているため、XAP は攻撃を拒否できます。
- ゼロトラスト原則とのより深い整合性: ゼロトラストは継続的な検証を重視しています。Extended Accessは、登録時に一度だけでなく、ログインのたびにデバイスの状態を継続的にチェックします。
- 管理されていないデバイスからのリスクを軽減します。 制御されていないエンドポイントは、しばしば隠れた脅威をもたらします。XAP は、そもそもエンドポイントが機密性の高いアプリケーションにアクセスするのを阻止します。
- コンプライアンス違反のリアルタイム検出: デバイスが突然古くなったり、アップデート後にセキュリティ エージェントが失われたりした場合、問題が修正されるまで次回のログイン試行がブロックされる可能性があります。
- リスクが変化した場合の適応型認証: 拡張アクセスは、信号が異常を示している場合にのみ摩擦を追加し、通常の状況ではほとんどのユーザーがスムーズにサインインできるようにします。
- 簡素化された監査およびコンプライアンス レポート: アクセスログには、セッションが許可、異議申し立て、または拒否された理由が記録されます。これにより、規制監査の迅速化と透明性が向上します。
- 横方向の移動の防止: 拡張アクセスは、侵害されたエンドポイントが内部でシステム間を移動するのを阻止し、ランサムウェアや権限昇格から保護します。
- ユーザーフレンドリーなセキュリティ体制: XAPは、全員に適用される厳格なルールではなく、リスクシグナルに反応します。従業員の状態が健全に見える場合、不必要な障壁に直面することはありません。
拡張アクセスにより、ITチームは日常業務を遅らせることなく、ログイン行動をより強力に制御できます。特にデバイスが頻繁に変更される環境において、セキュリティを静かに、かつインテリジェントに強化するのに役立ちます。
条件付きアクセスと拡張アクセス:主な違いを解説
条件付きアクセスポリシーと拡張アクセスポリシーはしばしば一緒に言及されますが、互換性はありません。これらはセキュリティパズルの異なる部分を解決します。両者のギャップを理解することで、IT管理者はレベルアップのタイミングを判断するのに役立ちます。
条件付きアクセスは主に アイデンティティシグナル次のような質問をします。
- ユーザーは誰ですか?
- どこからサインインしているのでしょうか?
- どのアプリにアクセスしようとしているのでしょうか?
- MFA は必須でしょうか?
疑わしい場所や不明なネットワークなどの明らかなリスクをうまく検出します。
拡張アクセスポリシーはより深く掘り下げて機能します。基本的な条件に留まらず、使用中のデバイスの健全性、ポスチャ、コンプライアンス状態を検査します。これは、攻撃者が盗んだ認証情報を、管理されていないラップトップやセキュリティパッチが適用されていない古いデバイスで使用することが多いため、重要です。
拡張アクセス ポリシーでは次のような点がチェックされます。
- OSは最新ですか?
- セキュリティエージェントはインストールされていますか?
- デバイスは準拠していますか?
- 何か改ざんされていませんか?
これらのいずれかが失敗した場合、脅威が侵害に変わるずっと前に、アクセスを即座にブロックできます。
両方のアプローチを比較して詳しく見てみましょう。
| 因子 | 条件付きアクセス | 拡張アクセスポリシー |
| 主な焦点 | アイデンティティコンテキスト(ユーザー、場所、ネットワーク) | アイデンティティ + デバイスの姿勢 + 環境 |
| インストールされているアプリをチェックする | まれに | はい、必要なセキュリティツールが必要です |
| パッチ未適用のデバイスへのアクセスを防止 | 限定的 | 強力な執行 |
| 適応型認証 | 基本的なトリガー | 姿勢認識によるリスクベースの摩擦 |
| 修復 | 最小限の | 自動修正をトリガーできる |
| デバイスの健全性の可視性 | 浅い | 詳細なコンプライアンス情報 |
| 侵害されたエンドポイントをブロックする機能 | 一部 | 強い |
| ゼロトラストの調整 | 基礎 | 高度かつ継続的な |
これを視野に入れるには:
- 条件付きアクセスにより、既知の企業ネットワークからのログインが許可される場合があります。
- ラップトップにウイルス対策ソフトウェアまたは最新のパッチが適用されていないために、拡張アクセスによってブロックされる可能性があります。
どちらも有用ですが、Extended Access は、現在攻撃者が積極的に狙っているギャップを埋めます。
IT 管理者に基本以上のものが必要な理由
ほとんどのITチームは、条件付きアクセスについて既によく知っています。条件付きアクセスは、アクセスを許可する前に、ID、位置情報、デバイスプラットフォーム、その他いくつかのシグナルをチェックします。しばらくの間は、それで十分でした。しかし、脅威の状況は変化しました。
攻撃者はもはやパスワードの解読に注力していません。IDとデバイスのセキュリティの間にある隙間を狙っています。フィッシングページは有効なログイン情報を収集し、トークンリプレイ技術はセッションを乗っ取り、MFA疲労攻撃はユーザーを騙して悪意のあるプロンプトを承認させます。VPN難読化の普及により、攻撃者は実際の位置情報を隠して信頼できるように見せかけることさえ可能になっています。
問題は単純です。条件付きアクセスは、IDと基本的なコンテキストを確認します。ログインに使用されたデバイスを必ずしも検証するわけではありません。資格情報が正しく、場所が許可されているように見える限り、多くの場合アクセスが許可されます。
拡張アクセス ポリシーは、より詳細なシグナルをチェックし、リアルタイムで状態を評価することでこのギャップを埋め、IT チームは次のことが可能になります。
• コンプライアンス違反のデバイスをブロックする
• 管理されていないエンドポイントや不明なエンドポイントが機密性の高いアプリに到達する前に停止します
• 不足しているパッチ、無効になっているウイルス対策ソフト、削除されたセキュリティツールを検出します
• ログインのたびにデバイスの信頼性を確認することで、横方向の移動を削減します
• 基本的なポリシーでは見落とされる可能性のある危険な状態を特定する
これにより、よくある盲点が解消されます。特に従業員が自宅ネットワーク、個人用ホットスポット、あるいは複数の拠点間を移動して作業している場合、IDだけでは安全性を保証することはできません。
もう一つの利点は柔軟性です。拡張アクセスポリシーは状況に応じて調整されます。ログインが通常の動作とみなされる場合、ユーザーは通常通りサインインします。何か異常がある場合は、追加のチェックやチャレンジがトリガーされます。すべてが正常なときはスムーズに操作できますが、状況が変化すると厳格になります。
このタイプの適応型認証は、現代の働き方に適しています。人々はノートパソコン、タブレット、スマートフォンを切り替えて利用します。ホテル、コワーキングスペース、公共Wi-Fiなどからアクセスすることもあります。環境は常に変化するため、アクセスポリシーもそれに合わせて適応する必要があります。
拡張アクセスは、生活を困難にするものではありません。認証をよりスマートにするものです。
Scalefusion OneIdP で条件付きアクセスと拡張アクセス ポリシーを適用
もはやID確認だけでは不十分です。攻撃者はパスワードを盗んだり、VPNを使って位置情報を隠したり、管理されていないデバイスからサインインしようとしたりする可能性があります。従業員はネットワークやデバイス間を移動するため、アクセスの判断にはユーザー名とパスワードだけでなく、より詳細なコンテキストが必要です。
スケールフュージョン OneIdP 条件付きアクセスポリシーと拡張アクセスポリシーを1つのプラットフォームに統合することで、この問題を解決します。サインインをリアルタイムで評価し、適切なレベルの検証を自動的に適用します。
OneIdP は次のような信号をチェックします。
• Veltarのデバイス姿勢
• OSとパッチのバージョン
• IPレピュテーション
• 地理的位置
• 必要なセキュリティアプリ
リスクが疑われる場合、OneIdPは追加の検証を要求したり、アクセスを制限したり、ログインをブロックしたりできます。すべてが正常であれば、アクセスは高速かつスムーズです。ポリシーは単一のダッシュボードから管理できるため、組織全体でルールの一貫性が保たれます。
このアプローチにより、ITチームは問題を早期に発見し、基本的なIDチェックでは見逃されがちな盲点を解消できます。Extended Accessは、ユーザーの作業を遅らせることなく、現代の環境に必要なより深いコンテキストを提供します。
リスクを軽減し、アクセス制御を強化したい場合は、両方の方法を組み合わせるのが賢明な次のステップです。
Scalefusion OneIdP がハイブリッド作業のためのよりスマートなアクセス ポリシーの適用にどのように役立つかをご覧ください。
今すぐデモをスケジュールしてください。
