OpenTextのホームページ。
技術トピックス

リスクベース認証(RBA)とは何か?

ノートPCを中心としたITアイテムの図解

overview

アクセスを要求するユーザーのリスクを計算し、それに応じて認証を適応させる。

あなたの組織も含めて、サイバー犯罪の影響を免れることはできない。ヘルスケアから金融サービス、消費財などに至るまで、今日、サイバー犯罪者が手をつけていない業界はない。機密データへの不正アクセスは、組織のブランド・エクイティ、競争力、評判に対する広範な脅威となる。今日の進化する脅威の状況を考えると、従来のIDおよびアクセス管理テクノロジーではもはや十分ではない。企業のトップは、セキュリティ・インシデントが及ぼす影響を当然ながら懸念しており、脅威を検知するだけでなく、より重要なこととして予防することへのプレッシャーが高まっている。その目的が、混乱させることであれ、困惑させることであれ、個人情報から利益を得ることであれ、侵害の増加の一途は、環境全体のセキュリティレベルを引き上げる必要性を示している。幸いなことに、次世代 ID およびアクセス管理ソリューションは、目下のリスクに適合する高度なリスク・ベース認証技 術を採用している。

認証の欠如を指摘する情報漏洩

毎週のように相次いで発表される情報漏洩の事例は、より高度な本人確認の必要性を如実に示しています。 

従来の認証情報の使用と比較して、リスクベース認証(アダプティブ認証とも呼ばれます)は、動的な本人確認の手法です。この仕組みは、ユーザーの行動やその他の特徴的な属性に基づいて、そのユーザーが本人であることを確認するために追加の手順が必要かどうかを判断するという点で、非常に賢明な仕組みです。これらの特徴には、場所、アクセス時刻、デバイスが既知のものかどうか、およびアクセス対象の資産の種類といった特性が含まれます。すべての内部情報が機密であるわけではなく、また、それらがすべて同程度のリスクをもたらすわけでもありません。OpenText™ NetIQ™ Access Managerのリスクベース認証エンジンは、こうしたコンテキスト情報やその他の情報をすべて処理し、さらなるレベルの本人確認が必要かどうかを判断することができます。

良いアイデンティティ指標は何か?

それは、既知の特徴と個人の日常的な行動を特定する要素に行き着く:

アクセスの場所は、アクセスのリスクスコアに寄与する:

  • ユーザーはオフィスにいるのか、それとも遠隔地にいるのか?
  • 遠隔地にある場合、それは予想される場所にあるのか?
  • アクセス時間は一般的か、それとも範囲外か?

ログイン・パラメータは、アクセスのリスク・スコアに寄与する:

  • 以前にも、保護された情報へのアクセスに同じデバイスが使用されたことがありますか?
  • この装置の検証レベルは?

情報やサービスのリスク

  • 情報やサービスにはどの程度のリスクが伴うのか?
  • 同じユーザーが以前にもこの情報にアクセスしたことがあるか?

ダイナミック認証

リスクをどのように測定したいかをより高いレベルで理解したら、それに応じて保護するためのポリシーを作成する時が来た。NetIQ Access Manager の主な利点は、市場に出回っている多くの堅牢なソリューションと異なり、 リスクベース認証の設定と導入に開発者や専門家のチームを必要としないことである。

  • 保護したいアプリケーション、サービス、内部情報、その他のリソースのリストを作成する。
  • アクセス時に評価したいパラメータ(メトリクス)、または初回ログインが必要な場合は測定したいパラメータを特定します。注:認証前に NetIQ Access Manager と最初に接触した時点で、デバイスの潜在的なリスク(既知かどうかなど)を評価することもできます。
  • 各パラメーターに、その変数がどの程度リスクに影響するかという重み付けをする。さまざまな状況をカバーできるよう、ある程度の計画を立てる必要があるだろう。例えば、国外、あるいは遠隔地からアクセスする場合、二要素認証が必要な情報があると判断することができる。
  • 好きなだけ多くのリスクレベルを定義でき、そのリスクレベルにはアクションが伴います。一般的な企業情報の場合、イントラネット・ユーザにはストレート・アクセスを許可し、リ モート・ユーザには認証を要求することができます。財務文書や技術文書へのリモート・アクセスには二要素認証が必要と定義することもできる。
  • 認識できないデバイスや承認されていないデバイスについては、特定のタイプの資産に対して、特定のジオロケーションからのリモートアクセスを完全に防止することを選択できます。
  • 必要であれば、後で分析するために、各アプリケーションやサービスへのアクセスに対するリスク評価の詳細を記録することができます。

認証を適切なレベルまでステップアップさせるこのダイナミックなアプローチは、組織のデジタル環境のセキュリティをアップグレードするために不可欠な要素ですが、顧客の利便性と従業員の生産性を向上させるためにも使用できます。ユーザー認証が必要な状況を絞り込むことができれば、1回認証、2回認証、または強力な認証が呼び出されるタイミングを柔軟に制限することができます。つまり、NetIQ Access Managerを使用することで、データとユーザーによってもたらされるリスクを測定し、可能な限り頻繁に自由なアクセスを提供することができます。

リスクベース認証の利点

リスクベースの認証のメリットは、顧客体験を最適化し、さらなるエンゲージメントを促進する必要がある組織にとって、特に大きいものです。NetIQ Access Managerのリスクベース認証を活用すれば、ユーザーがソーシャルメディアの認証情報を可能な限り頻繁に利用できるようにしつつ、金融取引や規制対象情報へのアクセスといった機密性の高い操作を行う場合にのみ、認証済みアカウントへの切り替えを行うようにすることも可能です。貴社の製品や在庫情報へのアクセスが必要なパートナーについても、同様です。そのデバイスが既知のものである場合や、その日の早い時間に認証が行われている場合は、リスクの低い情報を提供できますが、より機密性の高い情報の提供が求められる際には、本人確認の追加手順が必要となります。これにより、パートナー企業が貴社と取引を行うことがより容易になります。

NetIQについて

NetIQは、従業員や消費者のアイデンティティとアクセス管理を企業規模で支援するセキュリティ・ソリューションを提供しています。安全なアクセス、効果的なガバナンス、スケーラブルな自動化、実用的なインサイトを提供することで、NetIQの顧客は、クラウド、モバイル、データプラットフォームにわたるITセキュリティ体制に、より大きな信頼を得ることができます。

詳しくはNetIQホームページをご覧ください。

NetIQは、OpenText Cybersecurityの一部門です。

OpenText™ リスクベース認証 (RBA)

今日から始めましょう。

詳細情報

脚注