Okta FastPassによるコンテキストの再評価

Chandra Shirashyad  and  Harish Chakravarthy
March 27, 2024

サイバー攻撃者は絶えず進化し、より洗練された方法を開発しています。フィッシング攻撃やソーシャルエンジニアリング攻撃は増加の一途をたどっており、組織がより高度な認証システムを実装すると、攻撃者はそれらに急速に適応します。新たな戦略のひとつは、ユーザーのWebブラウザから直接セッショントークンを盗み出すことです。これは、デジタルセキュリティの戦いにおいて新たな挑戦となっています。

Oktaでは、攻撃者がユーザーのデバイス上の機密情報にアクセスするのを防ぐことを最優先事項としています。Okta FastPassは、コンテキストの再評価によって、この種の攻撃を阻止するのに役立ちます。

コンテキストの再評価とは? そのメリットとは?

Okta FastPassは、新しいアプリにアクセスするたびにセキュリティチェックをサイレントに実行し、Oktaがデバイスのアイデンティティやポスチャに重大な変化があったと判断した場合、それ以降のアクセスを防止します。デバイスとユーザーのリスクの変化を処理するこの機能は、盗まれたセッションがダウンストリームアプリケーションにアクセスするのを防ぐという大きなメリットをもたらします。

V0 6xsyUOy P3JGr2Tiw ggFcBO7UmINv93MBjVonOey21ny4BqZKuqeZGr0SZh8 7tYBEtH3nAdOIxF50mozB1uHJXxbAWgk6zW9zF3pZNZzFKv5trODPyW4GeGWjbsRcsEfPtZtbCShOldAJgyS10

コンテキストの再評価を使ってOkta FastPassを構成するには?

ステップ 1: Okta Verifyを認証システムとして追加

ステップ 2: 認証システムの登録ポリシーを作成。 「Eligible authenticators(対象認証システム)」セクションで、Okta Verifyが「Required(必須)」に設定されていることを確認してください。

ステップ 3: 認証ポリシーを作成し、アプリケーションを割り当てる。

  1. 認証ポリシー規則を次の設定で追加。
    1. 「Device state(デバイス状態)」を「Registered(登録済)」に設定。
    2. 「 User must authenticate with(認証時に要求)」を「Possession(所有)」に設定。
    3. 「Phishing Resistant(フィッシング耐性)」チェックボックスをチェック。
    4. 「Hardware Protected(ハードウェアの保護)」チェックボックスをチェック(推奨)。
    5. また、「User's group membership includes(ユーザーのグループメンバーに以下を含める)」 をテスト目的で特定のグループに設定することもできます。
    6. 「Re-authenticate frequency(再認証の頻度)」セクションで、「Re-authenticate after(再認証開始時間)」を2時間に設定します。この値は、ビジネスニーズに基づいて変更できます。
  2. デフォルトのCatch-all Rule(キャッチオールルール)を編集し、「Access(アクセス)」を「Denied(拒否)」に設定。

ステップ 4にある手順に従って、ユーザーがロックアウトされないようにしてください。

  1. ダウンストリームアプリケーションをポリシーに追加。
    1. 「Applications(アプリケーション)」タブを選択し、 「Add app(アプリを追加)」をクリック。
    2. それぞれのアプリで「Add(追加)」をクリックし、このポリシーに追加。
    3. 「Close(閉じる)」をクリック。

ステップ 4: Access Testing Tool(アクセステストツール)で検証。(推奨)

Access Testing Toolは、アプリケーションへのアクセスに対する実際のユーザーからのリクエストのシミュレーションを実行できます。その結果、ユーザーにアプリへのアクセスが許可されるかどうか、また、認証と登録の要件の作成に構成のどのルールと設定が一致したかが表示されます。

  1. Admin Console(管理コンソール)で、「Reports(レポート) > Access Testing Tool(アクセステストツール)」に移動。
  2. Application(アプリケーション): ステップ 3で使用したアプリケーションを選択。
  3. Username(ユーザー名):アクセスをテストするユーザーのユーザー名を入力。表示されたら、リストから選択。
  4. Device State(デバイスの状態)を「Registered(登録済)」に設定。
  5. 必要に応じて他のオプションを変更します。
  6. 「Run Test(テスト実行)」をクリック。

そのページの「Results(結果)」セクションで結果を確認します。Matching Policies(マッチングポリシー)セクションに、テストが成功した場合は、条件に一致するすべてのポリシーが表示されます。「Sign-in journey(サインインジャーニー)」オプションで「Authenticate(認証)」タイルを選択してください。このオプションは、シミュレーターに構成した条件に一致する認証システムと認証要件を含むポリシーを表示します。ここには、ステップ 3で作成した認証ポリシーが表示されます。

ステップ 5: その他のダウンストリームアプリケーションを認証ポリシー(オプション)に追加。

ステップ 6: デバイス保証ポリシーを追加(推奨)。

デバイス保証チェックには、セキュリティ関連のデバイス属性のセットが含まれています。デバイス保証チェックを認証ポリシーのルールに追加することで、組織内のシステムやアプリケーションにアクセスするデバイスの最低要件を確立することができます。

  ステップ 6.1: デバイス保証ポリシーを追加

   ステップ 6.2: 認証ポリシーにデバイス保証を追加

では、コンテキストの再評価を実際に見てみましょう。

次のステップは?

Oktaは、Okta FastPassが組織により高いセキュリティを提供できるよう、継続的な改善に取り組んでいます。現在、Oktaはブラウザベンダーと協力し、セッションCookieが盗まれたり、許可された元のデバイス以外のデバイスで使用されたりするのを防ぐための標準的なソリューションに取り組んでいます。

Okta FastPassやDevice Securityについてご質問がある場合には、Okta Devices and Mobilityコミュニティボードに参加して、会話を開始しましょう。

このブログ記事についてのご質問は、[email protected]までご連絡ください。

Chandra Shirashyad
Chandra Shirashyad
Director, Engineering

Chandra Shirashyad, an Engineering Director at Okta, leads the Okta FastPass and Device Assurance teams, focusing on helping customers achieve maximum security while enabling seamless access to corporate resources across diverse devices. He has a strong cybersecurity background, especially in identity and access management.

He holds a bachelor's degree in engineering from India and a prestigious LEAD Executive Education certification from Stanford University. Chandra's passion for cybersecurity drives him to seek innovative solutions to safeguard organizations from evolving threats continuously.

Chandra enjoys biking, golfing, and spending cherished moments with family and friends outside work

Harish Chakravarthy
Harish Chakravarthy
Senior Technical Marketing Manager

Harish is passionate about helping organizations solve their Identity and security challenges. Harish takes great pride in empowering customers to implement defense-in-depth best practices. Harish holds a master's degree in computer science and enjoys the outdoors, gardening, volunteering, and spending time with family and friends.

Tags

Okta Fastpass context re-evaluation cyberattacks device assurance フィッシング phishing resistance
Previous
Next

June 28, 2024

アイデンティティベース攻撃からの自動防御

By Raghu Pamidimarri
このブログはこちらの英語ブログ(2024年6月28日公開)の翻訳、細谷 卓によるレビューです。 アイデンティティは、現代のセキュリティ戦略の基盤です。アイデンティティベース攻撃は増加傾向にあり、ほとんどのデータ侵害は認証情報の窃取によって引き起こされています。1万8,000社以上のお客様を抱え…

今すぐ読む

March 26, 2024

QAクロニクル:一般公開機能の品質の保護

By Ashish Joshi
このブログはこちらの英語ブログ(2024年3月26日公開)の翻訳、細谷 卓によるレビューです。 ソフトウェア開発企業が一般公開(GA: Generally Available)機能の提供に向けて競争を繰り広げる中、品質保証(QA: Quality Assurance)の重視はこれまで以上に重要になっています…

今すぐ読む

March 25, 2024

Okta Identity Engineによるエンドユーザー登録エクスペリエンスの向上

By Ramya Sundaresha
このブログはこちらの英語ブログ(2024年3月25日公開)の翻訳、南野 要によるレビューです。 セルフサービス登録は、Oktaのお客様にとって必要不可欠かつ一般的に使用されている機能です。Okta Classic Engineでは、管理者設定ページのディレクトリ設定の一部としてこの機能があり、Okta…

今すぐ読む

February 28, 2024

共有信号の相互運用性によるセキュリティの強化

By Apoorva Deshpande
このブログはこちらの英語ブログ(2024年2月28日公開)の翻訳、大野 克之によるレビューです。 サイバーセキュリティの状況は絶えず進化しており、柔軟で協調的なソリューションが求められています。Oktaは、異なるベンダー間でシームレスなセキュリティデータ交換を可能にする新たな標準であるShared Signals…

今すぐ読む

November 20, 2023

アクセス要求の舞台裏:ワーカータスク | Okta

By Tarun Batra
DALL-Eで生成した画像 バックグラウンド Oktaの受信トレイプラットフォームは、OktaのWorkforce Identity Cloudに含まれるさまざまな製品をサポートし、そこでは人間の入力が必要とされます。Okta Identity Governanceのアクセス要求のフローでは…

今すぐ読む