HealthInsightタスクおよび推奨事項
HealthInsightは、組織のセキュリティ改善に役立つ以下のセキュリティ・タスクを提供します。
セキュリティ・タスク | 推奨理由 | セキュリティへの影響 | エンドユーザーへの影響 |
---|---|---|---|
スーパー管理者ロールの数を制限する | 組織管理者に必要以上に権限を割り当てないようにするため。ほとんどの組織で、必要となるスーパー管理者は数人です。 | 重大 | 無効 |
Okta ThreatInsightを有効にして不審なIPアドレスをブロックする | 資格情報ベースの攻撃から不審なIPアドレスを検出するため。 | 重大 | 低 |
要素の登録ポリシーで脆弱なMFA 要素を無効にする | フィッシング攻撃と中間者攻撃に対する耐性を高めるため。 | 高 | 高 |
MFAでOkta Verifyを有効にする(可能な場合はプッシュも) | 組織へのサインインで使用する強力で安全な要素をエンドユーザーに提供するため。 | 高 | 高 |
すべてのポリシーで有限のセッションのライフタイムを強制する | (エンドユーザーのセッションがアクティブな時における)不審なサードパーティによるエンドユーザーのアプリケーションへのアクセスのリスクを低減するため。 | 高 | 中 |
不審なアクティビティのレポートの有効化 | アカウントのアクティビティメールから、認識されないアクティビティをエンドユーザーが報告できるようにするため。 | 高 | 低 |
新規サインオンに関する通知メールの有効化 | 新規または不明なデバイスやブラウザからの認識されないアクティビティをエンドユーザーにメールで通知するため。 | 高 | 低 |
要素の登録通知の有効化 | アカウントで新しいMFA登録アクティビティがあった場合にエンドユーザーにメールで通知するため。 | 高 | 低 |
要素のリセット通知の有効化 | アカウントのMFA要素がリセットされたときにエンドユーザーにメールで通知するため。 | 高 | 低 |
エンドユーザー向けのパスワードの変更通知 | アカウントのパスワードが変更されたことを知らせる通知をエンドユーザーにメールで送信するため。 | 高 | 低 |
アプリへのアクセスでSAML またはOIDC 認証を使用する | SAMLとOIDCの認証プロトコルを活用して、パスワードベースの認証に対する依存度を下げるため。 | 高 | なし |
ネットワークゾーンをブロックリストに登録してOktaテナントへのアクセスを拒否する | 既知の不正なIPアドレス、ロケーションからの、Oktaテナントからのアクセスを拒否するため。 | 中 | 低 |
強力なパスワードポリシー設定を有効にする | パスワードのロックアウト、履歴、最小有効期間、最小の長さに関する設定を定義する厳格なパスワードポリシーを適用するため。 | 低 | 中 |
MFA登録ポリシーで必須の要素を設定する | 特定のポリシーに割り当てられたエンドユーザーが多要素認証に登録されるようにするため。 | 低 | 高 |
アドバイザリーステートメント
HealthInsightおよびセキュリティの取り組みに関する推奨事項は、法律、セキュリティ、ビジネス上のアドバイスではありません。HealthInsight機能は一般的情報を提供することのみを目的としており、最新の市場および法律的進展を反映しない場合や、関連するビジネスおよび法律上の問題のすべてを反映しない場合があります。法律、セキュリティ、ビジネス上のアドバイスについては、HealthInsightに頼らず、担当弁護士などのプロフェッショナルアドバイザーから取得する必要があります。Oktaは、HealthInsightの推奨事項の導入により生じたとされる損失や損害に関する責任を負いません。ただし、署名済みのマスターサブスクリプション契約(または、同じ内容を取り扱うその他類似の契約)にて、Oktaとの間で明示的に合意されている場合を除きます。