世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

2026-05-24

Identityだけでは足りない？デバイス信頼がZero Trustで重要になる理由

キーポイント

いまの攻撃者は、パスワードだけでなくsession token（ログイン後の「入場券」）まで狙ってくる
MFA（多要素認証）を通っても、攻撃者がその認証を横取りする手口が増えている
Zero Trustでも、実際には「ID確認だけ」に寄りがちで、device securityが後回しになっている
デバイスの状態（暗号化、patch適用、endpoint protectionの有無など）を継続的に確認するのが重要
「誰か」だけでなく「どの端末か」まで見ないと、アクセス制御はかなり弱くなる

この記事のざっくりした話

BleepingComputerの記事は、「Identity（本人確認）だけではもう不十分。device security（端末の安全性）も一緒に見ないと危ない」という主張です。

これ、かなり筋が通っていると思います。昔は「正しいユーザー名とパスワードを入れたら、それでOK」という世界でも何とかなりました。でも今は違います。攻撃者はかなり賢くて、盗んだ認証情報や乗っ取ったセッションを使って、見た目は普通のログインに見せかけて侵入してきます。

つまり、問題は「本人かどうか」だけではなく、その本人がどんな端末から、どんな状態でアクセスしているかまで見ないといけない、ということです。

MFAがあっても安心しきれない理由

この記事で特に重要なのが、MFAをすり抜ける攻撃の話です。

MFAは、パスワードに加えてSMSや認証アプリなどでもう1段階確認する仕組みです。かなり有効なのは事実ですが、最近はphishing kit（本物そっくりの偽ログイン画面や盗み取りツール）を使って、ユーザーと本物のログイン画面の間に攻撃者が割り込む手口があります。

この方式だと、被害者はいつも通りログインし、MFAも通ります。ところがその裏で、攻撃者がsession tokenを手に入れてしまう。
session tokenは、いわば「ログイン済みであることを証明するチケット」です。これを盗まれると、攻撃者は次回以降のチェックを回避しやすくなります。

ここが本当に厄介です。
「認証に成功した」ことと、「安全なアクセスである」ことは別物なんですよね。この記事はそこを強く指摘しています。

Zero Trustなのに、なぜ穴ができるのか

Zero Trustは直訳すると「何も信用しない」という考え方ですが、実際には毎回ちゃんと確認し続けるという設計思想です。
有名なNIST Special Publication 800-207でも、単に最初の認証が通ったからといって、その後も信頼し続けるのは危ないとされています。

ただ、現場ではどうしてもidentity-centric、つまり「ID確認中心」になりがちです。

たとえば、

ログイン時にMFAを確認
いったんセッション開始
その後はトークンが切れるまで信頼

という流れになっている組織は少なくないはずです。
でも攻撃者が同じトークンを使えば、見た目上は本物のユーザーと区別がつきません。ログだけ見ても、かなり見分けにくい。ここはセキュリティ運用の“盲点”としてかなり怖い部分だと思います。

もう一つの主役はデバイス

この記事のメッセージは明快で、identityだけでは足りない。deviceも見るべきというものです。

なぜかというと、デバイスはこういう情報を教えてくれるからです。

暗号化されているか
endpoint protection（端末向けの防御ソフト）が有効か
OSに最新のpatchが当たっているか
設定が勝手に変えられていないか
会社が許可した端末か

これらは本人確認だけではわかりません。
しかも重要なのは、ログイン時だけでなくセッション中も見続けることです。

たとえば、ログイン直後は正常でも、その後に

security softwareが停止する
OS更新が遅れて脆弱になる
unapproved softwareが入る

といった変化は普通に起こりえます。
なので、「入る時はOKだった」では不十分なんですよね。アクセス中に状態が変わるのが現実です。ここ、地味だけど本質だと思います。

この記事が面白いところ

個人的に面白いと思ったのは、この記事が「デバイス管理を足しましょう」という単純な話で終わっていない点です。

主張はもっと実務的で、

ユーザーとデバイスを両方継続確認する
approved hardware（許可された端末）にアクセスをひも付ける
いきなり全面ブロックではなく、状況に応じて制御する
ユーザー自身が直せるようにする

というバランス重視の考え方です。

この「いきなり締め付けすぎない」という視点は大事です。
セキュリティって強くしようとすると、つい現場が死ぬんですよね。厳しすぎるルールは、結局みんなが回避策を探し始める。だから、適度に厳しく、でも運用しやすくが肝です。

4つのポイントとして整理すると

記事では、より強いモデルとして次の4つが挙げられています。

1. ユーザーとデバイスを継続的に確認する

ログイン時だけでなく、セッション中も端末の健康状態を見続ける考え方です。
endpoint protectionが切れたら、暗号化が外れたら、信頼を下げる。これが大事。

2. 許可されたハードウェアにアクセスを結びつける

「誰でもいい端末から入れる」のではなく、登録済みの端末かどうかを見る。
これだけで、盗まれた認証情報の価値はかなり下がります。

3. 画一的に止めない

危険だから即遮断、ではなく、

権限を弱める
一時的な猶予を与える
条件付きで制限する
といった段階的な制御が現実的だ、という話です。

4. self-service remediationを用意する

これは「ユーザー自身で修復できる仕組み」のことです。
たとえば、暗号化を有効にする、OSを更新する、endpoint protectionを復活させる、といった作業を、ヘルプデスクに頼らず案内できるようにする。
これがないと、セキュリティ強化がそのまま業務停止になりかねません。

率直な感想

この記事の主張は、かなり妥当です。
というか、今の攻撃環境を見ればそうならざるをえない、という感じです。

昔は「IDが正しいか」が中心でしたが、今は攻撃者が正しいIDを奪った後の世界で戦っています。だから、認証だけを神格化しても守り切れない。
「本人です」ではなく「安全な端末からの本人です」まで見て初めて、やっとスタートラインという印象です。

ただし、ここには現実的な難しさもあります。
device verificationを継続的にやると、運用負荷は増えます。BYOD（私物端末の業務利用）やhybrid workが当たり前の職場では、なおさらです。なので、技術だけでなく、使いやすさとの折り合いが必要になります。
この辺りは理想論ではなく、現場設計の勝負ですね。