CARTAとはContinuous Adaptive Risk and Trust Assessmentの頭文字を取った略語でGartner社が2018年頃から使い始めたようですが、いったい何のことでしょうか? この記事は私なりのCARTAに対する理解をまとめものです。
一回こっきりから継続へ
ある一時点で認証や認可を行いリスクを検証するのではなく、サービス開発〜運用までのライフサイクル全般に渡り継続的にリスクを検証することが根底にある考え方だと理解しています。数年前によく耳にしたDevSecOpsのように、SDLCライフサイクルに各種セキュリティプラクティスを組み込むことと同じ考え方だと思います。
物理から論理へ
デバイスのIDやIP Addressのような物理情報をチェックしてリスクを検証するのではなく、ユーザのIDや振る舞い、利用しているApplicationのような論理情報をチェックしてリスクの大小を判断することが重要と思っています。例えば、既に安全なアクセスと認識されているデバイスIDとID Addressの組み合わせでユーザがあるサービスにアクセスしてきた場合でも、リスク無しと判断せずに認証を要求して、認証に成功したタイミングで初めてリスク無しと判断します。
下位層だけでなく上位層も
"物理から論理へ"と同じをことを違う粒度で述べていることになりますが、HardwareやNetwork, OSのような下位層の情報だけではなく、Applicationやユーザがやろうとしている活動、時間帯やアクセスしようとしてきている場所、クレデンシャルの評判等、上位層の情報も包括的に加味してリスクの大小を判断すべきと考えています。ニューノーマルな時代に下位層の情報だけをリスクを検証することは無意味ですね。
具体例
私が今思いつく具体例です。
- あるユーザがシアトルからMacBook ProにインストールされたChromeを利用してあるWeb ApplicationにID=hoge/Password=hogeでログインに成功しました
- 悪意のある犯罪者が東京からWindows10にインストールされたChromeを利用してあるWeb ApplicationにID=hoge/Password=hogeで認証を試みました
- IDプラットフォームは、犯罪者のデバイスIDとIP Addressをチェックして、アクセスしようとしている場所は東京と判断しました。更に入力されたID=hoge/Password=hogeをチェックして、数分前にシアトルからWeb Applicationにログインしていることが判明しました
- IDプラットフォームはこのログイン試行をリスク大と判断して、犯罪者にID/Passwordとは別にSMSに送ったコードを入力するよう促しました
- 犯罪者はコードを確認できないためWeb Applicationにログインできません
おわりです。まだ理解が浅いので随時アップデートします。