{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
1. はじめに
Shared Signals Framework(SSF)1は、ログイン後に起きるアカウント/セッション/デバイスの状態変化を、標準化されたイベントとしてサービス間でリアルタイム共有し、各サービスが自動対応できるようにするための仕様群です。
複数クラウド/複数SaaSの利用が常態化する中で、企業のアイデンティティ基盤は「ログイン時に正しい」だけでは十分ではありません。ログイン後にデバイス状態が変わったり、アカウントが侵害されたり、セッションが乗っ取られたりする事象に対して、サービス横断で一貫した継続的な制御が求められます。
本稿では、この点について解決策を提示するSSFおよび主要プロファイルであるContinuous Access Evaluation Profile(CAEP)2とRisk Incident Sharing and Coordination(RISC)3について紹介し、企業にもたらす可能性を整理します。
2. Shared Signals Framework(SSF)の本質—何が“新しい”のか
SSFの本質は、「ログイン・認証情報そのもの」ではなく、「その後のアクセス状態やリスク変化(シグナル)」を標準化してリアルタイムに共有する、という発想にあります。
従来の認証Cookieやフェデレーション型のSingle Sign-On(SSO、シングルサインオン)方式は、ログイン時点での認証を保証するものです。しかしログイン後に、デバイスのコンプライアンス違反、認証情報の変更、異常なセッション状態などが起きた場合には、認証時点ではセキュアと判断できた状態が変化している可能性があります。そこで、従来から、認証システム単独でのリスク計算による認証制御は行われてきました。
しかし管理者としては、この変化をSSOでログインを許した関係システム(複数SaaSを含む)に速やかに共有し、全体的にログイン状態を終了させる、再認証を要求する、といった対処で被害を最小化したいはずです。ゼロトラストの普及以降、このような継続的評価やシグナル共有の考え方自体は広く知られてきましたが、実装はベンダー独自仕様で分断されがちでした。SSFは、この「セキュリティ状態変化の共有」を標準化し、多様なシステム間で相互運用可能にすることを目指したものです。
図表1:SSFを導入した場合のシングルサインオンの変化
SSFはまた、SSOで課題となっていたサインアウト(セッション失効)の扱いにも解決策を与えています。一般に、1つのログアウト操作で複数サービスのログイン状態を連動して終了させる仕組みを持つSSOは、プロプライエタリ実装や普及度の低い方式が多く、どの方式を採用すべきかの判断が難しく、その結果、「あるサービスでサインアウトしても別サービスのセッションが残る」「サービスごとに挙動が異なる」といった問題が残りやすいのが実情です。SSF/CAEPにより、例えば「セッション無効化(session-revoked)」のようなイベントを標準形式で共有できるようになれば、将来的により一貫したセッション連携解除(SSOに近い体験)を実現できる可能性があります。
3. SSF/CAEP/RISC—次世代セッション・アカウント制御の基盤
ここで、図表2を使用し、SSF、CAEP、RISCについて簡単に解説します。
図表2:SSF、CAEP、RISCの動作概要
Transmitterは「誰に起きた・いつ起きた・何が起きた」をイベントとして発行します。SSFで定義された標準APIを通し受信側にイベントストリームとして安全に配信します。イベント内容は後述するCAEP(セッション無効化、認証強度変更など)とRISC(アカウント無効化、資格情報侵害など)で定義されます。Receiverは受信後、ログアウトや再認証などを自動実行でき、複数サービスにまたがる不正アクセスをリアルタイムに止められます。
SSFにおけるTransmitter/Receiverはそのイベントストリームで送る側/受ける側という役割であり、固定的にIdentity Provider(IdP)=Transmitter、アプリケーション=Receiverと決まるものではありません。IdP以外(EDR/MDM、ITDR*、SaaS等)がTransmitterとなることも、RP以外(SaaS、業務アプリ、ゼロトラストプロキシ等)がReceiverとなることもあります。
* ITDR:Identity Threat Detection and Response(アイデンティティ領域の脅威を検知し、認証・セッション・権限に対する対応まで行う仕組み)
なお、Transmitter/Receiverを誰として信頼し参加させるか(審査・契約・責任分界・ガバナンス等)のトラストフレームワークは、SSFのスコープ外となります。企業内などの場合問題になりにくいと考えられますが、多数の企業間で使用する場合は別途設計が必要です。
これにより、これまで難しかった、複数クラウド/SaaSをまたぐ統合アクセス管理が、サービスごとの個別実装ではなく、共通のイベント共有基盤で横断運用することが期待できます。
以下では、SSFのプロファイルであるCAEPとRISCを紹介します。これらは、それぞれ異なるタイプの状態変化イベントを扱います。これにより、セッション、アカウント、デバイスなどをまたいだ統一的な通知と制御が可能になります。
3.1 CAEP(Continuous Access Evaluation Profile)
ログイン後のセッション状態やアクセストークンに関わる状態変化を、継続的に共有するためのプロファイルです。
受信側(Receiver)はイベントを受け取ると、アクセス再評価、再認証要求、セッション無効化などのアクションを即時に取れます。
これにより、例えば不正デバイスや異常アクセスの検知後、自動セッション無効化(Session Revoked等)によるリアルタイムな対応が可能となります。
図表3:CAEPイベント一覧
| Event Type | 日本語訳 | 動作の説明 | |
Session Revoked |
セッション無効化(取り消し) |
対象のセッションが無効化されたことを通知。受信側は当該セッションの終了やアクセス再評価を行う |
退職・権限剥奪・不正検知で「全SaaSから即時追い出す」 |
Token Claims Change |
トークン・クレーム変更 |
対象トークンのクレーム(権限・属性等)が変更されたことを通知。受信側は変更内容に応じて評価を更新する |
役職変更で管理者権限を剥奪/グループ変更を即時反映 |
Credential Change |
資格情報(クレデンシャル)変更 |
パスワード変更等、資格情報の変更を通知。受信側は既存セッションの継続可否を再評価できる |
フィッシング疑いでパスワードリセット→既存セッションを再評価 |
Assurance Level Change |
保証レベル(認証強度)変更 |
認証強度(AAL/LoA相当)が変化したことを通知。強度変化を前提にアクセス判断を更新できる |
認証強度の変化が発生。既存セッション継続可否を再評価 |
Device Compliance Change |
デバイス準拠状態(コンプライアンス)変更 |
デバイスのコンプライアンス状態が変化したことを通知。準拠/非準拠を根拠に制御できる |
端末が脱獄・暗号化OFF・EDR異常→業務SaaSをブロック |
Session Established |
セッション確立 |
新しいセッションが確立されたことを通知。監査や異常検知のトリガーに使える |
想定外ロケーションから新規ログイン→アラート+追加認証 |
Session Presented |
セッション提示(存在確認) |
セッションが提示/観測された(使用された)ことを通知。利用状況の把握や異常検知に使える |
休眠アカウントのセッションが急に使われた→追加検証 |
Risk Level Change |
リスクレベル変更 |
対象のリスクレベルが変化したことを通知。受信側はリスク連動の制御を適用できる |
Impossible travel/悪性IP/ボット兆候でリスク上昇→遮断 |
3.2 RISC(Risk Incident Sharing and Coordination)
アカウントのライフサイクル変化やリスクインシデントを共有するためのプロファイルです。
組織間/サービス間でアカウント状態を共有できるため、横断的なアクセス剥奪や統一ポリシーの維持に寄与します。
これにより、例えば退職のアカウント無効化時の即時対応(Account Disabled等)で、すべてのサービスで即時アクセス剥奪などが可能になります。
図表4:RISCイベント一覧
| Event Type | 日本語訳 | 動作の説明 | |
Account Credential Change Required |
アカウント資格情報の変更要求 |
対象アカウントで資格情報の変更が要求されたことを通知(例:パスワード変更が必須になった) |
漏えい懸念で全社一斉に「次回ログインでPW変更必須」 |
Account Purged |
アカウント完全削除 |
対象アカウントが恒久的に削除されたことを通知 |
契約終了でアカウントを完全削除 |
Account Disabled |
アカウント無効化 |
対象アカウントが無効化されたことを通知(任意で理由reasonを含められる) |
退職・不正調査・休職でアカウント停止→全SaaS利用不可に |
Account Enabled |
アカウント有効化 |
対象アカウントが有効化されたことを通知 |
誤停止の解除/調査完了で復旧(必要に応じ再登録) |
Identifier Changed |
識別子変更 |
subjectで示される識別子(email/phone)が変更されたことを通知(旧値がsubjectに入る、任意でnew-value) |
改姓でメール変更/電話番号変更→誤紐づけ防止の再確認 |
Identifier Recycled |
識別子再利用(リサイクル) |
email/phoneなどの識別子が再利用され別ユーザーに割り当てられたことを通知 |
退職者メールが新入社員に再割当→旧アカウント連携を遮断 |
Credential Compromise |
資格情報侵害(漏えい/不正利用疑い) |
subjectの識別子に紐づく資格情報が侵害されたことを通知(credential_type必須、理由等は任意) |
フィッシング流出/ダークウェブ検知→重要SaaSを一時停止 |
Opt In |
(RISC共有への)オプトイン |
対象アカウントがRISCイベント共有に同意(opt-in)したことを通知 |
「RISC共有を有効化」に同意し参加状態となり、侵害や無効化の通知を他サービスにも共有する。 |
Opt Out Initiated |
オプトアウト開始 |
対象アカウントがオプトアウト要求を開始した状態(opt-out-initiated)を通知 |
ユーザーが「イベント共有を停止(opt-out)」を申請。ただし乗っ取り犯が即座に共有停止して痕跡を消すことを防ぐ目的で、一定期間は共有が継続されるため、この中間状態としてopt-out-initiatedになる |
Opt Out Cancelled |
オプトアウト取消 |
対象アカウントがオプトアウトを取り消し、opt-inに戻ったことを通知 |
停止申請中(opt-out-initiated)に、ユーザーが「やはり継続する」と取り消す。 |
Opt Out Effective |
オプトアウト確定(有効化) |
対象アカウントがオプトアウト状態(opt-out)になったことを通知 |
猶予期間が終了し、正式に共有停止(opt-out)へ移行。 |
Recovery Activated |
アカウントリカバリフロー開始 |
対象アカウントで回復(リカバリ)フローが開始されたことを通知 |
乗っ取り犯がリカバリを開始した可能性を考慮し、即時に追加検証・監視強化 |
Recovery Information Changed |
リカバリ用情報変更 |
リカバリ用メール・電話などリカバリ情報が変更されたことを通知 |
リカバリ先を攻撃者に差し替えた可能性を考慮し、送金/権限変更などを抑止 |
4. SSFが企業にもたらす“変革可能性”
相互運用性を前提にSSFに対応する製品やアプリケーション導入を増やすことで、企業は次のような変化を実現しやすくなります。
4.1 セキュリティ運用が「即応型」へ—リアルタイムなアクセス制御
従来はログ監視や定期チェック、セッション有効期限など「後追い」の統制が中心でした。SSFにより、不正や異常の検知後、即時共有と即時対処(アクセス停止/再認証要求など)が可能になり、被害の封じ込めまでの時間短縮が期待できます。
例えば、デバイス侵害やコンプライアンス違反が判明した瞬間に、異常セッションを打ち切る/退職や権限変更に伴い全サービス横断で即時アクセス剥奪する、といったことが可能になるでしょう。
4.2 サービス間での“統一された信頼関係”の構築
多くのSaaSを利用する環境では、各サービスが個別にアクセス制御を持つことでポリシーの一貫性が崩れ、運用も複雑化します。SSFにより、複数サービス間で同じフォーマットでイベントをやり取りでき、実装差分を吸収しながら統一的なポリシー運用を設計しやすくなります。結果として、ベンダーロックインを避けつつ拡張しやすい環境の骨格を作ることができます。
4.3 アプリケーション設計と運用の新たなモデル—“イベントドリブンアクセス制御”
SSF/CAEPにより、アクセス制御がイベントドリブンになります。認証後に状態変化があれば再認証や制限を随時適用でき、アプリが個別に複雑な判定ロジックを持つ負担も軽減します。既存のSSO+IdP+セキュリティツール群の上に「動的アクセス制御レイヤー」を追加できる点が、大きな進化です。
5. まとめ—SSFが実現する“動的・連携型セキュリティ基盤”
SSF/CAEP/RISCの最終仕様の承認により、実装者は安定した仕様に基づいて相互運用性を前提とした実装・導入検討を進めやすくなりました。
これは、単なる標準策定のマイルストーンを超え、企業のアイデンティティ/アクセス管理のモデルを刷新する契機となり得ます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
