従業員は、場所や時間に関係なく、業務に必要なアプリやツールに安全かつシームレスにアクセスすることを求めています。しかし、従来のシングルサインオン(SSO)と多要素認証(MFA)だけでは十分でないことは、明らかになっています。ユーザーは認証プロンプトの繰り返しにストレスを感じるだけでなく、これらの標準的な防御策では、より高度なアイデンティティベースの攻撃を防げない可能性もあります。
SSOの普及により、従業員の生産性とユーザーエクスペリエンスは大幅に向上しましたが、一方で永続的なセッショントークンやCookieという単一の価値の高いアセットが作成され、MFAをバイパスするために悪用される可能性があります。2025 SpyCloud Identity Exposure Reportによると、2024年にはマルウェアに感染したデバイスから約173億件のセッションCookieが盗まれました。組織は、どのようにセッションリプレイを防ぎ、従業員のログイン時の煩わしさを軽減できるでしょうか。
Oktaでは、アイデンティティセキュリティによって、ITチームとセキュリティチームが生産性や俊敏性を損なうことなく、すべてのログインタッチポイントを保護すべきだと考えています。そのため、Oktaは主要プラットフォームとの徹底的なデバイス統合の提供、そしてデバイスアクセスへの有意義な投資を長年優先してきました。
この度、Okta Device Accessの次の進化として、デバイスを活用してアプリケーションの保護方法を再定義する新しい方法を発表いたします。Device-Bound Single Sign-On(SSO)は、セッションリプレイ保護と合理化されたログインエクスペリエンスを実現して、ユーザーが安全に必要な場所にアクセスできるように支援します。
ハードウェア保護されたSSOで安全に開始する
Okta Device Accessの新機能であるDevice-Bound SSOは、デバイスへのログイン後にダウンストリームアプリケーションへのシームレスなアクセスを実現するために、ハードウェア保護されたSSOセッションを開始します。この機能は、従来のSSOとは異なり、認証プロンプトを減らしながら、Okta SSOセッションのリプレイリスクを最小限に抑えます。アプリケーションへのアクセスを信頼できるユーザーとデバイスのアイデンティティに結び付けることで、多層防御のセキュリティを確保できます。
Device-Bound Single Sign-Onを利用すると、デバイスへのログイン時に最初に検証されるとSSOが開始されるため、セキュリティを最も早いアクセスポイントに移行して、信頼がデバイス自体から始まるようにします。つまり、Okta Device Accessで正常に完了したデバイスへのログインを活用して、同じレベルのセキュリティ保証を必要とするダウンストリームリソースにアクセスできます。これにより、認証を求められる頻度が減り、攻撃者の侵入ポイントが減少するだけでなく、ハードウェア保護され暗号的に安全なセッションが開始されて、アイデンティティベースの攻撃がはるかに困難になります。これは、アクセスがユーザーだけでなくデバイスにも関連付けられているため、攻撃者がアクティブなOkta SSOセッションを盗めるとしても、別のデバイスからそれを悪用できないためです。
Okta Device Accessによって、Oktaのシンプルで安全な認証エクスペリエンスが、WindowsおよびmacOSコンピューターのデバイスログイン時に最大限に発揮されます。そして、Device-Bound SSOを利用すると、ユーザーはOktaに接続しているデバイスにサインインするだけで、業務のリソースに安全にアクセスできるようになり、より安全かつ迅速に作業を開始できます。
デバイスがOktaに接続するように構成する
Device-Bound SSOは、Oktaに接続しているすべてのデバイスで利用できます。デバイスをOktaに接続させることで、デバイスからアプリまで、統一された最新の認証エクスペリエンスを活用できます。
Oktaに接続しているデバイスとは、Oktaに直接登録され、組織の信頼できるIdentity Security Fabricの一部であるデバイスを指します。そのデバイスは単なるハードウェアではなくなり、最優先のアイデンティティとして認識・保護されます。言い換えれば、Oktaは、デバイス管理ソリューションおよびツールのエコシステムと連携して、ユーザーとデバイスアイデンティティの統合認証レイヤーおよびディレクトリとして、そのデバイスのアクセス管理要件を処理します。
これにより、従業員はよりスムーズに業務を開始できるようになります。つまり、デバイスで一度サインインすると、Oktaで保護されたアプリにシームレスにアクセスできます。ITチームとセキュリティチームにとっては、各ログインが、ユーザー、デバイス、組織間での信頼を示す仕組みとなり、デバイス自体をセキュリティ態勢に結び付けることで、断片化されたアイデンティティのギャップを埋めながら、データの保護と従業員の稼働を容易にします。
組織は、Active DirectoryまたはEntra IDに接続済みのデバイスをOktaに接続して、ハイブリッドなOkta接続状態にすることができます。いずれの場合も、組織は次のような主要なアイデンティティセキュリティの成果により、安全で最新のエクスペリエンスを得ることができます。
- デバイスはOkta Universal Directoryに登録され、オペレーティングシステム(OS)プロファイルをプライマリOktaユーザーに連携できる
- デバイスでの認証は、ハードウェア保護されたデバイスセッションで保護される(つまり、Device-Bound SSOを有効にするには、デバイスがOktaに接続している必要がある)
- 認証時、OktaはユーザーがOktaに接続しているデバイスから保護されたリソースにアクセスしていることを証明する
Okta Device Accessで引き続き機能や能力が追加されていくなかで、Oktaに接続しているデバイスは、最初のログインで始まる保護を最大限に活用できるため、デバイスを信頼できるゲートウェイに変えることができます。
さらに詳しく知るには
Okta Device Accessは、Oktaに接続しているデバイスで統一された最新の認証エクスペリエンスを実現し、より安全かつ迅速に業務できるように支援します。最初のログイン時に信頼性を検証することで、セキュリティがデバイス自体から始まり、保護を強化しながらダウンストリームリソースへの経路を効率化します。
Device-Bound SSOは、セルフサービスの早期アクセスで利用可能になっています。WindowsおよびmacOSデバイスの両方でサポートが利用できます。Device-Bound SSOの詳細については、製品ドキュメントをご覧ください。
