OktaのデスクトップMFA:待望のサービスが登場

パスワードは、登場した当時から大きな問題を抱えてきましたが、それも当然のことです。パスワードを最初に作成したのは、MITのコンピューター科学者であったFernando Corbató氏ですが、同氏ですらパスワードを「一種の悪夢」と呼んだほどです。現在、私たちはそれぞれに何百ものパスワードを使っており、知識ベースの認証要素の弱点を克服するための複雑なルールが増え続けています。こうした状況は、Corbató氏でも想像できなかったのではないでしょうか。

脆弱なアイデンティティ検証を増強する多要素認証(MFA)は、ワンタイムパスコード、生体認証、物理トークンなどの強力な要素を使用することで、現代のセキュリティ対策を鼓舞するものとなっています。完璧ではありませんが、どのような認証方法でもパスワードに比べればマシです。

通常、何らかの価値を持つアプリケーションの認証には、パスワードを補強するために検証を追加する必要があります。シングルサインオン(SSO)は、多要素を自動化してユーザーエクスペリエンスを向上させます。MFAによるアプリケーションアクセスの欠点は、アクセスのプロビジョニングで指定されるエンドポイントが、パスワードベースの認証に限定されることが少なくないことです。たとえば、パスワードで保護されたコンピューターから実行されるアプリケーションへのアクセスに、強力な認証を提供しているケースを考えてみましょう。強力な認証で保護されたアプリケーションであっても、デバイスの認証が不十分であれば、脆弱性が生じます。そして残念ながら、ほとんどのデバイスは依然として主にパスワードで保護されているのです。

今日では、リモートワークまたはハイブリッドな働き方を利用できる人が多くなっています。その結果として、デスクトップ、ノートPCなどのデバイスが世界中のどこからでも使用され、こうしたエンドポイントからアクセスが実行されるようになっています。これらのデバイスが適切に保護されなければ、不正なエンタープライズゲートウェイアクセスに使用される可能性があります。

さらに、セキュリティだけでなく、ユーザビリティも考慮する必要があります。強力なセキュリティ態勢を維持しながら、ワークフォースの俊敏性を確保するようにバランスを取ることが重要です。つまり、従業員が生産的に作業するために、必要なアプリケーションへの容易かつ安全なアクセスを可能にしなければなりません。使いやすさと利便性は、セキュリティと同じくらい重要な考慮事項です。ユーザーエクスペリエンスに問題があると、結果的に従業員は抜け道を見つけて仕事を遂行しようとします。

パスワードベースのデバイス認証の問題に対処するため、OktaはOkta Device Accessの導入を計画しています。デバイスは基本的に、統合IAM(Identity and Access Management/アイデンティティ&アクセス管理)ソリューションによって保護を強化できるタッチポイントです。従来、Oktaは主としてアプリケーションやネットワークベースのリソースへのアクセスを保護するための支援を提供してきました。エンドポイントMFAは以前から可能でしたが、パートナーソリューションを利用する必要がありました。デバイスへの認証を開始し、信頼できるエンドポイントからのアプリケーションの認証を可能にする改善の道はないかと、お客様からの問い合わせがOktaに寄せられていました。

Okta Device Accessが想定するユーザーエクスペリエンスは、比較的単純です。ユーザーは、Oktaの資格情報を使用して、企業がプロビジョニングしたデバイスにログインできます。ユーザーに対しては、フィッシング耐性のあるMFAチャレンジが求められる可能性が高くなると考えられますが、パスワードレス認証が提供されれば理想的です(ただし、これは別件の問題として扱う必要があります)。ユーザーが強力なデバイス認証を完了すると、アクティブなセッションが1つ確立されます。これにより、ダウンストリームのリソースすべてにSSOが拡張され、ユーザーはその日の勤務時間中はアプリケーションやその他のサービスにアクセスできるようになります。会社のデバイスに最初にサインインした後、ユーザーは再度サインインせずにアクセス権を保持できます。ユーザーが再認証を求められるのは、何らかの理由で、デバイスのセキュリティ態勢の変化によってリスクレベルが変更された場合、またはアプリケーションへのアクセスに関するポリシーで要求された場合のみです。

このサービスは、いくつかのフェーズで段階的に展開されます。まず、ローカルのパスワード、ADのパスワードなど、状況に応じてユーザーが使用するものに加えて、デスクトップMFAがユーザーに対してチャレンジを実行します。ユーザーは、ローカルデバイスのパスワードをOktaのパスワードと同期することも可能です。Okta Device Accessの成熟に応じて、お客様はパスワードレスのOkta認証情報、フィッシング耐性のある要素、ユーザーがダウンストリームで特権や資格を持つすべてのリソース/サービスへのシームレスなアクセスを柔軟に有効にできるようになります。他のアプリケーションアクセスと同様に、コンテキストとリスクに基づいて追加のチャレンジが提示される可能性があります。

Okta Device Accessは、時間はかかりましたが、Oktaがこれまで実現を目指してきた製品です。以前から、デバイスのセキュリティ態勢とユーザーエクスペリエンスを向上させることが必要とされてきました。Oktaが両方の要件を満たすサービスを導入したことは朗報です。

スポンサーからのメッセージ

Oktaの目標は、ワークフォースが勤務時間中のあらゆるタッチポイントで、あらゆるデバイスを通じて、あらゆるリソースに安全にアクセスできるようにすることです。Okta Device Accessの今後のアップデートにご期待ください。詳細は、www.okta.comをご覧ください。