HealthInsightタスクと推奨事項
Okta HealthInsightは、orgのセキュリティ強化のために以下のセキュリティタスクを提供します。
|
セキュリティタスク |
推奨理由 |
セキュリティへの影響 |
エンドユーザーへの影響 |
|---|---|---|---|
| スーパー管理者ロールの数を制限する | org管理者に必要以上に権限を割り当てないようにするため。ほとんどのorgでは、スーパー管理者は数名で十分です。 | 重大 | なし |
| Okta ThreatInsightで不審なIPアドレスのブロックを有効にする | 資格情報を使った攻撃から不審なIPアドレスを検出するため。 | 重大 | 低 |
| 要素の登録ポリシーで脆弱なMFA要素を無効にする | フィッシング攻撃と中間者攻撃に対する耐性を高めるため。 | 高 | 高 |
| MFAでOkta Verifyを有効にする(可能な場合はプッシュも) | Orgへのサインインで使用する強力で安全な要素をエンドユーザーに提供するため。 | 高 | 高 |
| すべてのポリシーで有限のセッションライフタイムを強制する | (エンドユーザーのセッションがアクティブな時における)悪意のあるパーティによるエンドユーザーのアプリケーションへのアクセスのリスクを低減するため。 | 高 | 中 |
| 疑わしいアクティビティのレポートを有効化する | アカウントのアクティビティメールから、認識されないアクティビティをエンドユーザーが報告できるようにするため。 | 高 | 低 |
| 新規サインオンのメール通知を有効にする | 新規または不明なデバイスやブラウザーからの認識されないアクティビティをエンドユーザーにメールで通知するため。 | 高 | 低 |
| 要素の登録通知の有効化 | アカウントで新しいMFA登録アクティビティがあった場合にエンドユーザーにメールで通知するため。 | 高 | 低 |
| 要素のリセット通知の有効化 | アカウントのMFA要素がリセットされたときにエンドユーザーにメールで通知するため。 | 高 | 低 |
| エンドユーザーへのパスワードの変更通知 | アカウントのパスワードが変更されたことを知らせる通知をエンドユーザーにメールで送信するため。 | 高 | 低 |
| アプリのアクセスにSAMLまたはOIDC認証を使用する | SAMLとOIDCの認証プロトコルを活用して、パスワードベースの認証に対する依存度を下げるため。 | 高 | なし |
| 認証の頻度を構成する | セッションの有効期限を短くする場合、エンドユーザーに対してより頻繁に再認証を要求します。 |
中 |
中 |
| 各リクエストのリスクスコアを評価する |
リスクスコアが中高のユーザーがサインインするたびにMFAを要求します。 |
中 |
中 |
| Oktaテナントへのアクセスを拒否するブロックリストネットワークゾーン | 既知の不正なIPアドレスによるアクセス、またはOktaテナントのロケーションからのアクセスを拒否するため。 | 中 | 低 |
| 強力なパスワードポリシー設定を有効にする | パスワードのロックアウト、履歴、変更禁止期間、および最短の長さの設定を定義する厳格なパスワードポリシーを適用するため。 | 低 | 中 |
| MFA登録ポリシーで必須の要素を設定する | 特定のポリシーに割り当てられたエンドユーザーが多要素認証に登録されるようにするため。 | 低 | 高 |
|
MFA要件が振る舞い検知と競合しないこと、およびMFAポリシールールが意図せずバイパスされないことを確認するため。 |
中 |
なし |
助言に関する注意事項
Okta HealthInsightおよびセキュリティプラクティスに関する推奨事項は、法律、セキュリティ、またはビジネスに関する助言ではありません。Okta HealthInsightの機能は一般的な情報提供のみを目的としており、市場や法律の最新動向、関連するビジネスや法律上の問題を反映していない場合があります。お客様にはご自身の弁護士またはほかの専門のアドバイザーから法律、セキュリティ、またはビジネス上のアドバイスを受ける責任があり、Okta HealthInsightに依存すべきではありません。Oktaは、Okta HealthInsightでの推奨事項の実装に起因する損失または損害について、お客様とOktaの間で署名されたマスターサブスクリプション契約(または同一の件に関するほかのかかる契約)で明示的に同意されている場合を除き、責任を負わないものとします。