MFAオーセンティケーターについて
適切な多要素認証(MFA)戦略の目標は、一定レベルの保証を提供することです。これは、サインインしようとしているユーザーが本人であることの信頼度です。オーセンティケーターは、要素タイプに応じて異なるレベルの保証を提供します。
-
所有:ユーザーが所有しているもの。電話やメールアカウントのアクセス権など。
-
知識:ユーザーが知っていること。パスワードやセキュリティ上の質問に対する回答など。
-
生体認証:ユーザーが備えているもの。指紋リーダーや顔認証スキャナーなどのデバイスによるスキャンの対象となるユーザーの物理的な属性です。スキャンは、認証を試みる人物が、元々そのタイプの認証をセットアップした人物と同一であるかどうかを決定するのに使用されます。
この表は、オーセンティケーター、要素タイプ、認証方法の関係を示しています。
要素タイプ | |||
---|---|---|---|
知識(知っていること) | 所有(持っているもの) | バイオメトリクス/生得(自分自身) | |
オーセンティケーター |
|
|
N/A |
メソッド |
N/A |
|
|
オーセンティケーターにも方式があります。各方式の登録は、要素タイプと方式の特徴のさまざまなセットを満たします。たとえば、特定のデバイスにバインドされるオーセンティケーターや、(ボットなどの代わりに)ユーザーの物理的な存在を示すために使用されるオーセンティケーターがあります。以下に、方式の特徴をまとめた表を示します。
方式の特徴 | 説明 | 例 |
---|---|---|
デバイスバウンド | デバイスのキーまたはシークレットはデバイスに保存され、再登録せずに別のデバイスに転送することはできません。 | メールと電話を除くすべての所有オーセンティケーター |
ハードウェアで保護 | シークレットまたは秘密鍵をハードウェアで保護するオーセンティケーター。デバイスのキーは、別のデバイス、Trusted Platform Module(TPM)、安全なエンクレーブ、またはRSA SecureIDなどの別のハードウェアトークンに保存されます。ハードウェアでの保護は、すべてのタイプのデバイスで提供されるわけではありません。 | Okta Verifyの所有証明キー |
フィッシング耐性 | ログインサーバーを暗号で検証するオーセンティケーター。 | WebAuthn |
ユーザーの存在 | ユーザーは、活動的に認証することによって(YubiKeyへのタッチやワンタイムパスワードの入力など、オーセンティケーターとやり取りすることによって)オーセンティケーターを制御していることを証明し、物理的に存在していることを示します。 | 所有証明キーで署名されたOkta Verify検証を除くすべての方式 |
より高いレベルのアシュアランスを提供するには、以下の組み合わせのような、異なる要素タイプに及ぶオーセンティケーターの組み合わせを選択します。
- パスワードまたはセキュリティ上の質問を選択して、ユーザーが知っていることを尋ねます
- Google認証システムを選択して、認証を行っているデバイスをユーザーが所有していること、およびそれが本当にそのユーザーのデバイスであることを証明します
- 生体認証を有効にしたOkta Verifyを選択して、認証しようとしているユーザーを身体的に確認します
オーセンティケーターのリストにオーセンティケーターを追加する場合は、ご利用の環境で希望どおりに機能するように構成する必要もあります。各オーセンティケーターには固有の構成要件があり、一部のオーセンティケーターは特定の目的で使用されます。
たとえば、メール、電話またはセキュリティ上の質問を使用するオーセンティケーターを、認証(多要素認証またはシングルサインオン)のみ、パスワードのリカバリーのみ、またはその両方で使用するように構成できます。オーセンティケーターが多要素認証またはシングルサインオンに対して無効になっている場合、サインオンポリシーの評価中にオーセンティケーターが要求されることはありません。
フィッシング耐性
フィッシング耐性のある認証では、偽物のアプリケーションやウェブサイトへの機密認証データ公開を検知して防止します。WebAuthn(FIDO 2)とOkta VerifyのOkta FastPassは、Eメール、SMS、ソーシャル・メディアでのフィッシング攻撃を防止する、フィッシング耐性のある認証オプションです。フィッシング耐性のあるオーセンティケーターは、コンピューターまたはネットワークをすでに侵害している攻撃に対しては無料です。
ユーザーがフィッシング耐性のある要素タイプで認証できるようにするには、次の手順に従います。
-
WebAuthn(FIDO 2)とOkta Verifyをセットアップします。
-
フィッシング耐性のある所有要素を必要とする認証ポリシー・ルールを構成します。
WebAuthn(FIDO 2)とOkta Verify(Okta FastPassオプション)はフィッシング耐性要件を満たします。
-
iOSまたはmacOS管理対象デバイスの場合は、Okta FastPassによる認証のフィッシング耐性を確保するため、SSO拡張プロファイルを構成します。
-
「iOSデバイスのSSO拡張機能を構成する」を参照してください。
-
「macOSデバイスのSSO拡張機能を構成する」を参照してください。
-
認証ポリシールールにデバイス条件がある場合に、すべての認証試行からデバイス信号を強制的に収集できるようになりました。信号は、ユーザーがOkta FastPassにサインインしていない場合でも収集されます。この機能を有効にしない限り、デバイス信号はセッションにキャッシュされ、収集することはできません。この早期アクセス機能をアクティブ化するには、管理コンソールで[Okta FastPass collects device signals in every auth attempt(すべての認証試行でOkta FastPassがデバイス信号を収集)]を有効にします。詳細については、「早期アクセス機能とベータ機能の管理」を参照してください。
ユーザーがOkta FastPassまたはWebAuthnで認証するときにフィッシングが試みられると、そのイベントがSystem Logに記録されます。「FastPass declined phishing attempt(FastPassがフィッシング試行を拒否しました)」というメッセージにより、認証エラーが発生したことが通知されます。
ユーザーがフィッシング耐性のある要素を必要とするリソースにアクセスする際は、通常はOkta FastPassを使用できます。Okta FastPassがサポートされていない場合、ユーザーはWebAuthn(FIDO 2)で認証するよう求められます。
管理対象デバイスでのフィッシング耐性のある認証
オペレーティング・システム | サポートされるブラウザー | ネイティブ・アプリ |
---|---|---|
Android | Okta FastPassまたはWebAuthn | Okta FastPassまたはWebAuthn |
iOS | Okta FastPassまたはWebAuthn | Okta FastPassまたはWebAuthn |
macOS | Okta FastPassまたはWebAuthn | Okta FastPassまたはWebAuthn |
Windows | Okta FastPassまたはWebAuthn | フィッシング耐性のある認証なし |
管理対象外のデバイスでのフィッシング耐性のある認証
オペレーティング・システム | サポートされるブラウザー | ネイティブ・アプリ |
---|---|---|
Android | Okta FastPassまたはWebAuthn | Okta FastPassまたはWebAuthn |
iOS | WebAuthn* | WebAuthn* |
macOS | Okta FastPassまたはWebAuthn | WebAuthn |
Windows | Okta FastPassまたはWebAuthn | フィッシング耐性のある認証なし** |
* ユーザーはOkta FastPassでサインインし、フィッシング耐性のある要素であるWebAuthnで認証するよう求められます。
** アクセスは拒否されます。
レート制限について
Oktaは、認証者が認証に失敗した場合のレート制限を強制することで、機密性の高い企業リソースを未承認アクセスから保護します。認証に失敗した試行の累積回数が5分間で5回に達すると、制限が適用されます。認証の失敗がレート制限を超えると、レート制限期間が経過するまで認証は許可されません。メッセージがユーザーインターフェイスに表示され、System Logにエントリが書き込まれます。