現代の攻撃ではアカウントの乗っ取りが常にパスワードの解読を意味するわけではありません。ユーザーは正しい人物で、MFAも正常に通過できるかもしれません。しかしアクセスしているデバイスが、最新化されていない、セキュリティエージェントが停止している、ディスク暗号化が無効、マルウェアに感染している、あるいはrootされたデバイスである可能性があります。この場合、認証が成功してもアクセスリスクは残ります。
リモートワークと個人デバイス (BYOD) モデルはこの問題を拡大します。企業デバイス、個人デバイス、管理対象モバイルデバイス、一時的なブラウザセッション、不明なエンドポイントが同じアプリケーションへアクセスしようとします。これらすべてのデバイスに同じアクセス信頼を与えることはゼロトラストの考え方と矛盾します。
従来のロードバランサーやWAAPレイヤーはデバイスポスチャを通常認識しません。ユーザートラフィックが到達したときにIP、ヘッダー、TLS、セッション情報を解釈できますが、デバイスが管理対象かどうか、ディスク暗号化状態、セキュリティエージェントの稼働状況、OSコンプライアンスをアクセス判断に自然に結びつけることはできません。
正しいアプローチは、デバイス信頼をアクセスポリシーのファーストクラスのシグナルにすることです。ユーザーID、デバイスポスチャ、ロケーション、リスクレベル、セッション挙動、MFA状態を同じ条件付きアクセスチェーンで評価すべきです。
TR7 エンドポイント信頼マネージャーはこのモデルを提供します:デバイスポスチャから得られる信頼シグナルをAAMアクセスポリシーに結びつけ、アクセス判断をユーザー + デバイス + コンテキストの3要素で行います。
TR7 ETMは、デバイスポスチャ、agentlessシグナル、継続的評価、アクセスポリシー統合で動作します。
管理対象デバイスではOSバージョン、ディスク暗号化、セキュリティエージェント状態、ファイアウォール、デバイス管理、コンプライアンス情報を収集できます。これらの豊富なシグナルがアクセス判断に高信頼のコンテキストを提供します。
エージェントが導入されていないデバイスではブラウザ情報、TLSフィンガープリント、OSヒント、クライアントコンテキストを評価できます。このモデルは完全なポスチャほど豊富ではありませんが、不明なデバイスを完全に盲目にすることはありません。
デバイスはログイン時だけでなく、セッション中も評価できます。ポスチャが劣化した場合はアクセスレベルを下げる、MFAを要求する、またはセッションを終了することができます。
デバイスはcompliant、non-compliant、at-riskといったクラスに分類できます。これらのクラスはallow、MFA、block、制限付きアクセスといったAAMポリシーに直接結びつきます。
エンドポイント信頼マネージャーは、デバイス信頼シグナルをAAMアクセスポリシーの実行可能な判断入力に変換します。
TR7 ETMは、デスクトップ、ノートPC、モバイルデバイスから送られるポスチャシグナルをアクセス判断に取り込むよう位置づけられています。企業デバイス、個人デバイス、管理対象モバイルデバイスを同じポリシーチェーンで評価できます。このアプローチは、異なるエンドポイントタイプごとに別々のセキュリティの島を作ることを減らします。アクセス判断はデバイスタイプと信頼レベルに応じて形成されます。
古いOSバージョン、パッチ未適用のエンドポイント、サポート終了プラットフォームはアクセスリスクを高めます。TR7 ETMは、OSバージョンと最新性情報をtrust signalとして利用できます。古いデバイスには直接ブロック、追加MFA、または低権限アクセスポリシーを適用できます。これによりアプリケーションアクセスが安全なプラットフォーム要件と関連づけられます。
ディスク暗号化のないデバイスは、紛失または盗難エンドポイントのシナリオで高いリスクを伴います。TR7 ETMは、ディスク暗号化状態をデバイス信頼の基本シグナルの一つとして評価できます。重要なアプリケーションには暗号化ディスクを使用するデバイスからのみアクセスを許可できます。このモデルは特に金融、医療、公共データを扱う環境で重要です。
エンドポイント上でセキュリティエージェントが稼働しているかどうかは重要なポスチャ指標です。セキュリティエージェントが停止、無効、または最新でない場合、デバイスはat-riskクラスに分類できます。この場合、AAMポリシーは追加MFAを要求する、アクセスを制限する、または完全にブロックできます。アクセス判断がエンドポイント防御状態と整合します。
最新のMDM/EMM統合から得られる管理状態は、デバイスが企業の制御下にあるかどうかを示せます。管理対象デバイスには高い信頼レベル、非管理の個人デバイスにはより限定的なアクセスを与えられます。このアプローチは個人デバイス (BYOD) の利用を完全に禁止することなく、リスクベースで管理できます。ユーザー体験とセキュリティポリシーの間でより実用的なバランスを築けます。
rootまたはjailbreakされたデバイスは、アプリケーション分離、証明書セキュリティ、データ保護の観点で高リスクです。TR7 ETMはこれらのデバイスをnon-compliantまたはat-riskクラスに分類できます。モバイルバンキング、医療ポータル、企業管理アクセスにおいて、このシグナルは直接ブロックの理由になり得ます。モバイルエンドポイント信頼がアクセスポリシーの一部になります。
すべてのデバイスにエージェントが導入されているとは限りません。この場合、ブラウザバージョン、TLS fingerprint、OSヒント、ヘッダーコンテキストといったagentlessシグナルを利用できます。これらのシグナルは完全なデバイスポスチャを提供しませんが、不明なデバイスと信頼できるデバイスの区別に役立ちます。AAMはこのような場合に追加MFAまたは低信頼レベルを適用できます。
デバイスポスチャだけでは十分ではありません。ロケーションとネットワークコンテキストも重要です。リスクのある国、通常と異なるロケーション、予期しないネットワークからのアクセスをデバイス信頼シグナルとともに評価できます。古いOSと高リスクロケーションが組み合わさった場合、より強いアクションを取れます。このモデルはアクセス判断を多次元的にします。
多数のポスチャシグナルは運用チームにとって複雑になり得ます。TR7 ETMはこれらのシグナルを0〜100のtrust scoreまたは類似の分類挙動に変換できます。ポリシーを書くチームはすべてのシグナルを個別に解釈する代わりに、low、medium、highの信頼レベルで判断できます。これは信頼シグナルを実行可能なアクセスポリシーに変えます。
デバイス信頼レベルはAAMの条件付きアクセスポリシー内で直接利用できます。compliantデバイスにはallow、at-riskデバイスにはMFA、non-compliantデバイスにはblockポリシーを適用できます。これによりデバイスポスチャは報告されるだけの情報ではなく、ライブのアクセス判断の入力になります。アプリケーションアクセスがゼロトラストのロジックにより近く動作します。
デバイスはログイン時には安全でも、セッション中にセキュリティエージェントが停止したりポスチャ状態が変化したりすることがあります。TR7 ETMは定期的な評価でこの変化を捉えられます。ポスチャが低下した場合、セッションを保留にする、再度MFAを要求する、またはアクセスを遮断できます。このアプローチは「ログインしたから、もう信頼できる」という前提を排除します。
デバイスポスチャ、trust scoreの変化、コンプライアンス違反、MFAトリガー、ブロックイベントをSIEMへ送信できます。SOCチームはエンドポイントリスクをアプリケーションアクセスイベントとともに相関できます。この可視性は、アカウント乗っ取り、デバイス非準拠、異常なアクセスの分析を強化します。エンドポイント信頼シグナルがセキュリティ運用の一部になります。
エンドポイント信頼マネージャーは、ポスチャデータ、trust signalプロトコル、ポリシー統合、継続的評価、監査、SIEMフローとともに運用されます。
デバイスポスチャをAAMセッションコンテキストと関連づけられます。これによりアクセス判断はログイン結果だけでなく、セッションのデバイス信頼状態に基づいても行われます。ポスチャデータをセッションとともに運ぶことでポリシー判断がより一貫したものになります。
エージェントを使用するシナリオでは、デバイスから送られるポスチャシグナルを安全なチャネルを通じてTR7 ETMレイヤーに伝送できます。agentlessモードではブラウザとTLSコンテキストから得られるシグナルが利用されます。2つのモデルが異なる信頼レベルでポリシーに供給されます。
ETMシグナルは条件付きアクセスポリシー、MFA手法、continuous-trust-evaluationエンジンと共に動作します。この統合によりallow、challenge、block、session suspendの判断が可能になります。デバイス信頼は単なる報告ではなく、アクセスアクションです。
デバイスポスチャは一定間隔で再評価できます。デフォルトサイクルは企業ポリシーに応じて調整できます。重要なアプリケーションではより頻繁に、低リスクのアプリケーションではより低頻度な評価を選択できます。
すべてのposture event、trust scoreの変化、アクセス判断を監査ログに書き込めます。誰が、どのデバイスから、どのポスチャで、どのアプリケーションへアクセスしたかという問いに答えられるようになります。これらの記録は監査とインシデント調査のプロセスを支援します。
ETMイベントをSIEMログストリーミングラインに送信できます。エンドポイントの非準拠、MFAトリガー、アクセス拒否、セッション保留といったイベントを中央のセキュリティ監視システムで相関できます。これによりエンドポイント信頼がアプリケーションセキュリティの可視性に結びつきます。
バンキングチームはrootまたはjailbreakされたモバイルデバイスをnon-compliantとして分類できます。これらのデバイスからのアクセスはブロックされるか、追加の検証を必要とします。
公共機関は機密分類されたアプリケーションに、管理対象でディスク暗号化が有効でセキュリティエージェントが稼働しているデバイスからのみアクセスを許可できます。非準拠のデバイスはポリシーレベルで拒否されます。
医療従事者が個人デバイスからアクセスしたときにデバイスtrust scoreが低い場合、追加MFAまたは制限付きアクセスを適用できます。セキュリティエージェントが停止すればセッションを保留にできます。
古いOSを使用し高リスクのロケーションから来るユーザーに直接アクセスを与える代わりに、step-up MFAを適用できます。リスクレベルが上昇すればアクセスを完全にブロックできます。
ユーザーID、デバイスポスチャ、コンテキストを併せて評価しましょう。お客様自身の環境でライブ構築のツアーを計画しましょう。