Okta FastPass、デバイスに紐づいたパスコードオプションでフィッシング耐性を拡大
このブログはこちらの英語ブログ(2024年2月6日公開)の翻訳、石橋禎史によるレビューです。
強力なアクセス管理ソリューションは、高いセキュリティ保証水準を確保するよう、相乗効果のある複数のセキュリティ要素を含めた強力なMFA基盤の上に構築しなければなりません。サイバー保険会社からNISTをはじめとする標準策定組織にいたるまで、セキュリティ専門家は可能な限りMFAを実装することを推奨しています。また、どの要素を実装するか検討する際、生体認証はユーザーアイデンティティの確認に非常に効果的な方法であり、知識要素と比べ、盗難やなりすましに対しはるかに高い保護を築くことができます。
生体認証とOkta FastPassを組み合わせたゼロトラストのフィッシング耐性をもつ認証機能なら、最初のアクセス要求後も長期間にわたる保護が可能です。これで、アイデンティティベースの攻撃を確認して阻止する、最も安全な方法を確立できます。
しかし、生体認証は本質的に人間固有の特徴を活用してユーザー認証の最良の形態を提供する一方、企業にその実装を躊躇させるいくつかの懸念もあります。生体認証の効果的な実装には適切なソフトウェアとハードウェアが必要ですが、特に中小企業にとってはそれがコスト障壁となります。エンドユーザーによっては、個人のプライバシーに関する懸念(この点については後述)や、企業がどのようなデータを収集し、それをどのように使用するのかという不安があるかもしれません。また、国や地域の規制が、個人データの共有や保存の方法に関与する場合もあります。そして最後に一番大事なこととして、アクセシビリティに関する懸念もあります。コンピューティングテクノロジーは、障害を持つユーザーにとって大幅に改善されてきましたが、生体認証の設計では、指紋や顔認証を提供できないユーザーへの配慮が十分ではないという問題が残っています。
Oktaでは、すべてのユーザーに最も安全なログイン方法を提供できるよう努めています。それが、Okta FastPassを生体認証やデバイスに紐づいたパスコードと組み合わせて活用し、リスクの高いシナリオにおける安全な認証を強化した理由です。
生体認証またはデバイスに紐づいたパスコードでユーザー認証を強化
FastPassは、Okta Verifyアプリケーションのフィッシング耐性のあるパスワードレス認証機能であり、フィッシング攻撃、セッションの盗難、不正なローカルアクティビティの影響を軽減します。多層防御を目的として設計されたFastPassは、ユーザーが保護されたリソースを開くたびにデバイスのコンテキストを評価し、マネージド/アンマネージドにかかわらず、すべての主要なプラットフォームとデバイスを通じ一貫して、ユーザーフレンドリーなエクスペリエンスを提供します。FastPassは、デバイスの生体認証と統合することで、所有要素と内在要素の証明による、より強固なセキュリティ保証水準を実現するなど、最も安全な認証方法を提供します。しかし、現在、生体認証をサポートしていないデバイスを使用しているユーザーや、生体認証を使用できない、または使用を望まないユーザーは、FastPassと一緒にパスコードを提供して、フィッシング耐性のあるMFAを完備させることができます。
Okta FastPassオンボーディング中にユーザー確認を設定
Okta Verifyの登録プロセスは、生体認証に加えてパスコードを使用したユーザー認証をサポートできるようになりました。エンドユーザーがこの機能を有効にすると、パスコード(通常はデバイスのログインパスワードまたは該当する場合にWindows Hello PIN)を確認するように求められます。この機能強化により、アクセシビリティが広がり、デバイスの機能、個人の制約、コンプライアンス要件に関係なく、すべてのユーザーがOkta VerifyとOkta FastPassで認証できるようになります。詳細については、製品ドキュメントをお読みください。
Okta FastPassを使用したアプリケーションへの認証にユーザー認証を要求
現在、新しい認証ポリシーのルールを編集または作成する際、エンドユーザーに彼らが実際に存在することを証明をするように要求し、Okta FastPassで認証を行うことができます。エンドユーザーは、システムパスコードまたは生体認証を使ってこの要件に対応できます。詳細については、製品ドキュメントをお読みください。
デバイスに紐づいたパスコードは、なぜパスワードと比較してより安全なのでしょうか?
デバイスパスコードとOktaパスワードの違いを理解することは、それぞれのセキュリティ上の影響を理解するために不可欠です。Okta FastPassがデバイスに登録されると、デバイスに紐づいた固有のキーを利用します。それは通常、TPMやSecure Enclaveなどのコンポーネント内に保存されています。このキーへのアクセス、およびオンラインアプリケーションやサービスへの認証は、生体認証またはデバイスに紐づいたパスコードなどのローカル認証方法によって制御されます。この設定により、認証プロセスは特定のデバイス専用キーで署名され、セキュリティが強化されます。一方、Oktaのサーバーに保存されているOktaパスワード、フレーズ、またはパスコードは、インターネットに接続された任意のデバイスからのアクセスを許可するように設計されています。決定的な違いはセキュリティモデルにあります。Oktaパスワードが漏洩した場合、あらゆるデバイスから使用される可能性があるのに対し、デバイスに紐づいたキーは、安全で、かつ登録されたデバイス専用の状態を維持します。つまり、攻撃者がデバイスに紐づいたパスコードを入手したとしても、そのパスコードで解除できるキーは、そのデバイスでしか使用できないということです。これにより、漏洩したパスコードが悪用される可能性のある、フィッシング攻撃を軽減できます。
ご安心ください。Oktaはユーザーの生体認証データを見ることはできません
データプライバシーとセキュリティに関する規制は、テクノロジーの行き過ぎから個人を保護するために、長年かけて進化し、組織のデータ慣行に大きな影響を与えています。例えば、2008年に制定されたイリノイ州生体情報プライバシー法(BIPA)には、生体情報の取り扱いに関する明確なガイドラインが定められており、その結果、さまざまな企業の財務や評判に影響を与える事例が数多く発生しています。
Oktaの製品は、生体情報の処理や保存は行いません。Okta VerifyおよびOkta FastPassは、ラップトップやスマートフォンに内蔵された生体認証装置から提供される生体情報を2 要素認証(2FA)に使用しますが、Okta が認識するのは、生体認証が成功したことを示すユーザー認証暗号化キーの交換のみであり、生体データにはアクセスできません。言い換えれば、ユーザーがOkta Verifyアプリケーションで生体情報を使用して認証した場合、Oktaは生体データを受け取りませんが、その代わり、ローカルのデバイスオペレーティングシステムから認証の失敗または成功の通知を受け取ります。生体認証データはデバイス上で管理され、デバイスが実際の生体認証情報を保存するかどうかは、デバイスのプロバイダーによって異なります。 Appleデバイス、Googleの携帯電話、またはその他のコンピュータを使用している場合、各社のデータプライバシーポリシーを参照して、各社がどのように生体認証データを処理しているか確認してください。
これまでと同様、生体認証を使用するかしないかを選択することができます。管理者またはユーザーは、デバイスの設定を通じて、いつでも生体認証技術を有効または無効にすることができます。また、パスコードによるユーザー認証のオプションが追加されたことで、生体認証を使用せずに、Okta FastPassと併用してMFAを適用することも可能です。
Okta FastPassのその他の新機能とは?
Oktaでは、市場で最もセキュアな認証機能であるOkta FastPassを使って、お客様の従業員全員がアプリケーションに簡単にアクセスできるようにしたいと考えています。これは、フィッシング耐性のある認証にとどまらず、フィッシング耐性のあるOkta FastPassのリカバリとオンボーディングプロセスを提供し、安全なエンドツーエンドの認証管理を実現することを意味します。そのため、Oktaは最近、管理者がエンドユーザーに対して、より安全性の高い方法であるOkta Verify登録を施行できるよう、さらに柔軟性を加えました。これは、Authenticatorの設定項目にてご利用いただけます。
さらに、Windows Okta Verify 4.9では、仮想デスクトップインフラ(VDI)環境のWindows Okta VerifyおよびOkta FastPassのサポートが一般利用可能になりました。サポート環境には、Windows 365、Citrix、AWS WorkSpacesがあります。管理者は、AuthenticatorOperationModeフラグを設定することで、仮想環境で動作するようにWindows Okta Verifyを設定することができます(Windows Okta Verifyの設定方法を参照)。2FAの場合、管理者はOkta Verifyを構成して、デバイスに紐づいたユーザー検証キーへのアクセスを保護かつ許可するためのパスコードの作成を、ユーザーに促すこともできます。この機能でOkta FastPassとデバイスポスチャ―チェック(デバイスのセキュリティ設定状況のチェック)を利用し、仮想Windows環境における認証フローを保護することができます。エンドユーザーにとっては、これは仮想デスクトップからリソースへの、安全で直観的なフィッシング耐性のアクセスを意味します。
Oktaは、製品の柔軟性と可視性の革新と改善を続けることで、各企業が自信を持ってより高いセキュリティ保証オプションに移行できるよう支援できることを大変うれしく思っています。Okta FastPassのさらなるアップデートにご期待ください!
Okta FastPassやデバイスのセキュリティについてのご質問がありましたら、コミュニティディスカッションボードに参加してください。
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
