※本記事は、斎藤昌義氏のブログ「ITソリューション塾」の一部を編集し、転載しています。　

「常に信頼できる状態を維持する」ための対策とは、次のようなことです。

• 全てのエンドポイント、使用者、通信、ネットワーク、ファイル、アプリケーションなどのリソースを監視する。
• 通信を行うごとに、あやしいかどうかを確認して信用度レベルを評価し、レベルの低い（怪しい）通信に対しては、リソースの使用を認可しない。
• アクセスごとに、評価して信用度レベルをダイナミック（動的に）変える。

　　このような仕組みを「動的ポリシー」と呼びます。「ポリシー」とは、「どこまでアクセスでき、何ができるか」の規則や基準のことです。利用者が、通信を行うごとに信用度レベルを評価して、ポリシーを動的に変えることで、アクセスを制御し、安全を守ろうというやり方です。

　例えば、IDとパスワードが合致しても、そのユーザーが、「なりすまし」されていれば、本人だとは限りません。また、いつもとは違うデバイスや地域からアクセスしている場合でも、東京からアクセスしていた1時間後に海外からアクセスしていたら、おかしいと考えるべきでしょう。

　そこで、アクセスごとに大丈夫かどうかを確認し、「おかしなこと」が疑われるようなら、信用度レベルを下げて追加の認証要素（多要素認証）を強制したり、パスワードの変更要求をしたりしてセキュリティの強度を引き上げます。

　このように、アクセス要求のたびに、信用度レベルに応じて、アクセスを動的に許可／拒否することで、次のようなことができるようになります。

• 新しい攻撃手法が登場しても、そのリスクを低減できる。
• 何らかの事故が発生しても、リソース単位で動的にアクセスを許可／拒否できるので、全社に影響が及ばず、事業継続が担保される（ファイアウォールを使う場合は、その配下の社内ネットワークにつながる全てのリソースの信頼が疑われるので、全社的な影響を受ける）。
• ファイアウォールを使わないので、社内外を問わず、どこからでも好きな端末で社内システムやクラウド・サービスなどを利用でき、多様なワークスタイルに対応できる。

　これらを全て自動で行うことで、利用者に意識させることなく、負担もかけないセキュリティ対策が実現します。