MFAオーセンティケーターについて

適切な多要素認証(MFA)戦略の目標は、一定レベルの保証を提供することです。これは、サインインしようとしているユーザーが本人であることの信頼度です。オーセンティケーターは、要素タイプに応じて異なるレベルの保証を提供します。

  • 所有:ユーザーが所有しているもの。電話やメールアカウントのアクセス権など。

  • 知識:ユーザーが知っていること。パスワードやセキュリティ上の質問に対する回答など。

  • 生体認証:ユーザー自身であり、指紋リーダーや顔認証スキャナーなどのデバイスでスキャンできるユーザーの物理的特性で表されるもの。これにより、認証しようとしているユーザーが、このタイプの認証を当初セットアップしたユーザーと同一であることを確認します。

この表は、オーセンティケーター、要素タイプ、および方式の関係を示しています。

要素タイプ:知識

要素タイプ:所有

要素タイプ:生体認証/固有

あなたが知っているもの

あなたが持っているもの

あなたが何者か

オーセンティケーター
  • パスワード

  • セキュリティ上の質問

  • 電話

  • Google認証システム

  • メール

  • WebAuthn

N/A

メソッド

N/A

  • SMS

  • 音声

  • Google認証システム

  • Okta Verify(時間ベースのワンタイムパスワード(TOTP)とプッシュ)

  • メールマジックリンク

  • セキュリティキー(タッチ対応YubiKey

  • Okta Verify(バイオメトリクス使用)

  • WebAuthnTouch ID使用

  • セキュリティキー(生体認証使用のYubiKey

オーセンティケーターにも方式があります。たとえば、特定のデバイスにバインドされるオーセンティケーターや、(ボットなどの代わりに)ユーザーの物理的な存在を示すために使用されるオーセンティケーターがあります。以下に、方式の特徴をまとめた表を示します。

方式の特徴 説明
デバイスバウンド デバイスのキーまたはシークレットはデバイスに保存され、再登録せずに別のデバイスに転送することはできません。 メールと電話を除くすべての所有オーセンティケーター
ハードウェアで保護 シークレットまたは秘密鍵をハードウェアで保護するオーセンティケーター。デバイスのキーは、別のデバイス、Trusted Platform Module(TPM)、安全なエンクレーブ、またはRSA SecureIDなどの別のハードウェアトークンに保存されます。ハードウェアでの保護は、すべてのタイプのデバイスで提供されるわけではありません。 Okta Verifyの所有証明キー
フィッシング耐性 ログインサーバーを暗号で検証するオーセンティケーター。 WebAuthn
ユーザーの存在 ユーザーは、活動的に認証することによって(YubiKeyへのタッチやワンタイムパスワードの入力など、オーセンティケーターとやり取りすることによって)オーセンティケーターを制御していることを証明し、物理的に存在していることを示します。 所有証明キーで署名されたOkta Verify検証を除くすべての方式

各方式の登録は、要素タイプと方式の特徴のさまざまなセットを満たします。

より高いレベルのアシュアランスを提供するには、以下の組み合わせのような、異なる要素タイプに及ぶオーセンティケーターの組み合わせを選択します。

  • パスワードまたはセキュリティ上の質問を選択して、ユーザーが知っていることを尋ねます
  • Google認証システムを選択して、認証を行っているデバイスをユーザーが所有していること、およびそれが本当にそのユーザーのデバイスであることを証明します
  • 生体認証を有効にしたOkta Verifyを選択して、認証しようとしているユーザーを身体的に確認します

オーセンティケーターのリストにオーセンティケーターを追加する場合は、ご利用の環境で希望どおりに機能するように構成する必要もあります。各オーセンティケーターには固有の構成要件があり、一部のオーセンティケーターは特定の目的で使用されます。

たとえば、メール、電話またはセキュリティ上の質問を使用するオーセンティケーターを、認証(多要素認証またはシングルサインオン)のみ、パスワードのリカバリーのみ、またはその両方で使用するように構成できます。オーセンティケーターが多要素認証またはシングルサインオンに対して無効になっている場合、サインオンポリシーの評価中にオーセンティケーターが要求されることはありません。

フィッシング耐性

これは早期アクセス機能です。この機能を有効にするには、「早期アクセスおよびBeta機能の管理」で説明したように、早期アクセス機能マネージャーを使用します。

フィッシング耐性のある認証では、偽物のアプリケーションやウェブサイトへの機密認証データ公開を検知して防止します。WebAuthn(FIDO 2)とOkta VerifyOkta FastPassは、Eメール、SMS、ソーシャル・メディアでのフィッシング攻撃を防止する、フィッシング耐性のある認証オプションです。フィッシング耐性のあるオーセンティケーターは、コンピューターまたはネットワークをすでに侵害している攻撃に対しては無料です。

ユーザーがフィッシング耐性のある要素タイプで認証できるようにするには、次の手順に従います。

  1. WebAuthn(FIDO 2)とOkta Verifyをセットアップします。

  2. フィッシング耐性のある所有要素を必要とする認証ポリシー・ルールを構成します。

    WebAuthn(FIDO 2)とOkta Verify(Okta FastPassオプション)はフィッシング耐性要件を満たします。

  3. iOSまたはmacOS管理対象デバイスの場合は、Okta FastPassによる認証のフィッシング耐性を確保するため、SSO拡張プロファイルを構成します。

ユーザーがOkta FastPassまたはWebAuthnで認証するときにフィッシングの試みが行われると、そのイベントがシステム・ログに記録されます。「FastPassがフィッシングの試みを拒否しました」というメッセージにより、認証エラーが発生したことが通知されます。

ユーザーがフィッシング耐性のある要素を必要とするリソースにアクセスする際には、ほとんどのケースでOkta FastPassを使用できます。Okta FastPassがサポートされていない場合、ユーザーはWebAuthn(FIDO 2)で認証するよう求められます。

管理対象デバイスでのフィッシング耐性のある認証

オペレーティング・システム サポートされるブラウザー ネイティブ・アプリ
Android Okta FastPassまたはWebAuthn Okta FastPassまたはWebAuthn
iOS Okta FastPassまたはWebAuthn Okta FastPassまたはWebAuthn
macOS Okta FastPassまたはWebAuthn Okta FastPassまたはWebAuthn
Windows Okta FastPassまたはWebAuthn フィッシング耐性のある認証なし

管理対象外のデバイスでのフィッシング耐性のある認証

オペレーティング・システム サポートされるブラウザー ネイティブ・アプリ
Android Okta FastPassまたはWebAuthn Okta FastPassまたはWebAuthn
iOS WebAuthn* WebAuthn*
macOS Okta FastPassまたはWebAuthn WebAuthn
Windows Okta FastPassまたはWebAuthn フィッシング耐性のある認証なし**

* ユーザーはOkta FastPassでサインインし、フィッシング耐性のある要素であるWebAuthnで認証するよう求められます。

** アクセスは拒否されます。