モダンなアクセス判断はもはや「ユーザー名は正しいか?」という問いだけではありません。正しい判断は、ユーザーのアイデンティティ、デバイスの信頼状態、ロケーション、時刻、アクセスされるサービスの機微性、求められるMFAレベル、セッション内のリスク変化を一緒に見なければなりません。
静的なルールとフラットな許可リストはこの複雑さを担えません。時とともに、すべての例外が新しいルールに、すべてのアプリケーションが新しい特殊ケースに、すべてのリスクシグナルが別個のチェックポイントになります。結果は、誰も端から端まで読めず、なぜ許可したのかなぜ拒否したのかを監査で明確に説明できないポリシーの山です。
一部のソリューションはこの判断を別個のポリシークラウドへ移します。これは認証の最も重要な瞬間を外部のAPIに依存させます。アイデンティティ、MFA、サービスルーティング、監査が異なるシステムに分散すると、アクセス経路は不可視になります;組織は結果だけを見て、判断がどう形成されたかは見えません。
本来、条件付きアクセスは、あなたのアイデンティティとサービスのそばで動作する単一の判断エンジンであるべきです。すべてのステップが可視で、すべての条件が説明可能で、すべての判断が監査可能であるべきです。
なぜなら、アクセスセキュリティは誰が入ったかだけでなく、どのコンテキストで、どの強度の検証で、どの根拠で許可されたかに関わるからです。
認証、MFA、判断、ルーティングを単一のサービス単位の定義で所有するフローエンジン。
アクセスフローは、ログイン、MFA、判断ポイント、switch、lockout管理、access-granted/deniedの終端を連鎖させます。各サービスは自身のフローを宣言します;低リスクのイントラネットアプリケーションはシンプルなまま、特権管理者の経路は厳格なまま — 両者を同じ形に強いることなく。
switchノードはフローが見られる任意の変数上でルーティングします — セッション属性、リクエストヘッダー、評価済みテンプレート、あなたのエッジから来るupstreamシグナル — 5つのマッチモード(exact、prefix、suffix、contains、regex)とオプションのcase-insensitiveとともに。判断はスクリプトとしてではなくパターンマッチとして表現されます。
地理的位置、IPレピュテーション、リスクスコア、ネットワークゾーン — あなたのエッジが計算できるあらゆるものがリクエストヘッダーとして注入され、switchまたは判断ポイントによって読まれます。フローは単一のソースであり続けます;ゲートウェイ外から来るシグナルは、認証経路に外部サービスを差し込むことなくフローを供給します。
各アクション評価 — どのステップが動いたか、入力は何だったか、どの分岐が選ばれたか、どの終端に到達したか — が構造化された監査フローに残ります。オペレーターはセッションをステップごとに再生します;セキュリティチームはアクセス判断をSIEMストリーミング経由でテレメトリーの残りと相関させます。
フローエンジンの詳細、ポリシールールを構成するビルディングブロック、そしてそれらを拡張するために計画された追加。
単一のエンジンが、ログイン、多要素チャレンジ、lockout管理、判断ポイント、switchルーティング、access-granted / access-deniedの終端をオーケストレートします。各ステップは明示的な遷移を持つアクションです;匿名リクエストから認証済みセッションへ至る経路は、散在した構成ではなく合成されたグラフです。
各サービスは自身のフロー定義を登録します。SaaSプロキシはSSOのみを求めるかもしれません;内部アプリケーションはTOTPを加えるかもしれません;本番システムはTOTPに加えて新鮮なOTPに加えて明示的な判断ポイントを連鎖できます。あるサービスのポリシーを変えても他に影響しません。
switchアクションは構成可能な変数(ヘッダー、セッション属性、AAMテンプレート)を評価し、順序付きのパターンリストとマッチさせてフローを目的のアクションへルーティングします。5つのマッチモード — exact、prefix、suffix、contains、regex — がオプションのcase-insensitiveとともに;ロールチェックからリクエストパス上のregexマッチまであらゆるものをカバーします。
DecisionPointアクションは、構成済みのシグナルが存在するかしないかに応じてフローを2つの経路に分けます。今日、シグナルはあなたのエッジ(CDN、upstreamポリシーモジュール、またはネットワークゲートウェイ)によって設定されるリクエストヘッダーです;アクションのサーフェスはフロー構造を一定に保ち、下層の条件はよりリッチな式を評価するよう発展します。
フロー構成に埋め込まれた変数 — ユーザーアイデンティティ、グループメンバーシップ、サービスID、環境、カスタムセッション属性 — が評価時にAAMテンプレートエンジンを通じて解決されます。ブランディング、ルーティング、エラーメッセージで使われるのと同じテンプレート構文がポリシー判断も駆動します;オペレーターは単一の置換言語を学び、どこでも使います。
MFAは同じフロー内のアクションであるため、条件付きアクセスは特定の分岐でのみ第二要素を求めることができます — 例えばswitchが管理者ロールを検知したときにTOTPを求めたり、ルートが高機微の終端に到達したときにTOTPに加えて新鮮なOTPを連鎖したり。引き上げはポリシーに宿り、ユーザーの認知にではありません。
単一のポリシーがアイデンティティ、グループ、時刻、送信元IP、地理的位置、デバイス姿勢を単一の可読なルール — 例えば「ロールがadmin かつ 時刻が業務時間内 かつ 地理的起源が許可リスト内 かつ デバイストラストが閾値超」と述べる単一の式 — に統合できるようにする、ネイティブな式言語が開発中です。同じロジックは今日、switchとDecisionPointアクションを連鎖させて得られます;DSLは一般的な連鎖を単一の式に圧縮します。
IP-to-geoルックアップ、時間ウィンドウ、デバイストラストスコア(endpoint trust manager経由)のためのネイティブな評価器がロードマップにあります;これにより、フローはupstreamが先に計算する必要なくこれらのシグナルで分岐できます。好みのgeoまたはIPレピュテーションソースをすでに持つ環境向けに、ヘッダー注入の経路は引き続きサポートされます。
ポリシー変更を安全にデプロイし、容易に監査できるようにするメカニクス。
フロー内の各アクション評価が構造化された監査エントリーを書き込みます — アクションID、アクションタイプ、入力変数、選択された分岐、到達した終端、レイテンシー。セッションは散在したログから再構築されるのではなく、単一のタイムラインビューでステップごとに再生されます。
フロー状態はRedisに宿ります;これにより任意のゲートウェイインスタンスが任意のセッションを任意のステップで引き継げます。水平スケーリングとゼロダウンタイムのローリングアップグレードが進行中の認証状態を失いません;オペレーターはロードバランサーの背後で複数のゲートウェイポッドを連携負荷なしに動かせます。
失敗した要素試行、拒否されたMFAチャレンジ、access-deniedの終端が、プラットフォームのlogin-attack-protectionレイヤーが使うのと同じロックアウトカウンターを供給します。ユーザーは、あるswitch分岐が別のステップで並行試行を待つ間に、失敗した要素を再試行してブルートフォースすることはできません。
フロー定義はゲートウェイに配信されるJSON構成に宿ります;構成変更は環境ごとに段階的に、レビューされ、デプロイされえます。バージョン管理された構成とステップ単位の監査の組み合わせが、「このユーザーは昨日なぜ入れたのか?」という問いを単一のソースから答えられるようにします。
フローエンジン向けのグラフィカルエディターが開発中です;オペレーターはアクセスフローを視覚的に構築して遷移を検証し、JSONを手動編集せずに合成ユーザーで結果をプレビューできます。リリースされるまで、フローはバージョン管理された構成で定義され、標準の変更管理でレビューされます。
計画されているdry-runモードは、実ユーザーに影響を与えずに合成セッションをフローに通します;アクションごとのトレースと最終アウトカムを返します。ビジュアルビルダーと組み合わさると、ポリシー変更を盲目的な本番デプロイではなくテスト可能なアーティファクトに変えます。
ユーザーを認証する同じフローエンジンが、特定のサービスがMFAを必要とするか、どの要素が適用されるか、信頼済みデバイスのショートカットが有効かを判断します。MFAポリシーは別個の製品ではありません — そのサービスのアクセスフロー内の一つのノードです。
エッジコンポーネント(CDN、IPレピュテーションフィード、ネットワークゲートウェイ)が地理およびレピュテーションのヘッダーを注入します;フローのswitchと判断ポイントがこれらのシグナルに応じて分岐します — 例えば既知の悪意あるネットワークからのサインインを拒否したり、高リスク地域をより厳格なMFA連鎖へルーティングしたり。
ユーザーロールやグループメンバーシップに応じてルーティングするswitchノードが、アクセス層を単一のフローで構成します — 管理者はより厳格なMFAの経路を通り、通常ユーザーは摩擦のない経路を通り、コントラクターは時刻と資産リストに紐づく第三の経路を通ります。フローは単一のアーティファクトとして監査可能なまま保たれます。
PCI-DSS、HIPAA、GDPR、ISO 27001の対象サービスは自身のより厳格なフローを動かします — 必須MFA、セッション開始時の必須登録、信頼済みデバイスのショートカットなし。監査人は、重なり合うルールの山ではなく、単一のフロー定義と単一の監査フローを検査します。
単一のフローエンジン、単一のソース、単一の監査フロー — すべてのサービス、すべてのステップ、すべての判断のために。あなた自身のアプリケーション上のライブセットアップでご案内します。