振る舞いによる監視のためには、膨大なデータが必要となります。

　イメージが湧きにくいと思いますので、身近な例を挙げてみましょう。みなさんは、クレジットカード決済において、決済直後にカード会社から電話がかかってきた経験はないでしょうか？

　私の場合は、海外のサービスをドル建てで購入しようとした時に電話がかかってきました。オペレータの方曰く「普段、ドル建ての買物をしていないので、不正利用かと思い確認のため電話しました」とのこと。

　クレジット会社は、個人個人について、普段の行動の履歴をストックしておき、そこからの逸脱があった時のみ連絡しているのでしょう。ドル建ての買物が普通の人もいるわけですから、紋切り型のルールでは上手くいきません。このように、個人個人の行動履歴を保存しておくと、データは非常に膨大となります。

　膨大な過去のログから学習して、「この人の、今回の行動は普段通りだろう」と結論づけることを推論と呼びます。推論にあたっては、その人の普段の行動との近さをスコア化し、スコアが一定より大きいものを疑わしきものとしてアラートする、という実装が一般的と思われます。

　Googleによる「ゼロトラスト」が、まさにこの仕組みを使っています。Googleは、独自の「信頼度推論エンジン」を実装しています。Googleのサービスに対して、「普段と違うブラウザでログインした」「普段と違う場所からログインした」といった情報から総合的に判断して、ユーザに再度の認証を促す仕組みがすでに出来上がっています。ユーザからすると、なぜ再認証のプロセスが走ったのかはブラックボックスである場合もあります。