強力なアクセス管理ソリューションは、高いセキュリティ保証水準を確保するよう、相乗効果のある複数のセキュリティ要素を含めた強力なMFA基盤の上に構築しなければなりません。サイバー保険会社からNISTをはじめとする基準設定組織にいたるまで、セキュリティ専門家は可能な限りMFAを実装することを推奨しています。また、どの要素を実装するか検討する際、生体認証はユーザーアイデンティティの確認に非常に効果的な方法であり、知識要素と比べ、盗難やなりすましに対しはるかに高いバリヤーを築くことができます。
生体認証とOkta FastPassを組み合わせたゼロトラストフィッシング耐性の認証機能なら、最初のアクセス要求後も長期間にわたる保護が可能です。これで、アイデンティティベースの攻撃を確認して阻止する、最も安全な方法を確立できます。
しかし、生体認証は本質的に人間固有の特徴を活用してユーザー認証の最良の形態を提供する一方、企業にその実装を躊躇させるいくつかの懸念もあります。生体認証の効果的な実装には適切なソフトウェアとハードウェアが必要ですが、特に中小企業にとってはそれがコスト障壁となります。エンドユーザーによっては、個人のプライバシーに関する懸念(この点については後述)や、企業がどのようなデータを収集し、それをどのように使用するのかという不安があるかもしれません。また、地域の規制が、個人データの共有や保存の方法に関与する場合もあります。そして最後に一番大事なこととして、アクセシビリティに関する懸念もあります。コンピューティングテクノロジーは、障害を持つユーザーにとって大幅に改善されてきましたが、生体認証の設計では、指紋や顔認証を提供できないユーザーへの配慮が十分ではないという問題が残っています。
Oktaでは、すべてのユーザーに最も安全なログイン方法を提供できるよう努めています。生体認証やデバイスにバインドされたパスコードと組み合わせた FastPassを企業が活用できるようにし、リスクの高い場合における安全な認証を強化した理由はそこにあります。
生体認証またはデバイスにバインドされたパスコードでユーザー認証を強化
FastPassは、Okta Verifyアプリケーションのフィッシング耐性のあるパスワードレス認証機能であり、フィッシング攻撃、セッションの盗難、不正なローカルアクティビティの影響を軽減します。多層防御を目的として設計されたFastPassは、ユーザーが保護されたリソースを開くたびにデバイスのコンテキストを評価し、マネージド/アンマネージドにかかわらず、すべての主要なプラットフォームとデバイスを通じ一貫して、ユーザーフレンドリーなエクスペリエンスを提供します。FastPassは、デバイスの生体認証と統合することで、所有要素と内在要素の証明による、より強固なセキュリティ保証水準を実現するなど、最も安全な認証方法を提供します。しかし、現在、生体認証をサポートしていないデバイスを使用しているユーザーや、生体認証を使用できない、または使用を望まないユーザーは、FastPassと一緒にパスコードを提供して、フィッシング耐性のあるMFAを完備させることができます。
FastPassオンボーディング中にユーザー確認を設定
Okta Verifyの登録プロセスは、生体認証に加えてパスコードを使用したユーザー認証をサポートできるようになりました。エンドユーザーがこの機能を有効にすると、パスコード(通常はデバイスのログインパスワードまたは該当する場合Windows Hello PIN)を確認するように求められます。この機能強化により、アクセシビリティが広がり、デバイスの機能、個人の制約、コンプライアンス要件に関係なく、すべてのユーザーがOkta VerifyとFastPassで認証できるようになります。この機能強化は現在、早期アクセス(EA)にてご利用いただけます。詳細については、製品ドキュメントをお読みください。
FastPassを使用したアプリケーションへの認証にユーザー認証を要求
現在、新しい認証ポリシーのルールを編集または作成する際、エンドユーザーに彼らが実際に存在することを証明をするように要求し、FastPassで認証を行うことができます。エンドユーザーは、システムパスコードまたは生体認証を使ってこの要件に対応できます。この機能強化は現在一般公開中です。製品マニュアルにて 詳細をご覧ください。
デバイスにバインドされたパスコードは、なぜパスワードと比較してより安全なのでしょうか?
デバイスパスコードとOktaパスワードの違いを理解することは、それぞれのセキュリティ上の影響を理解するために不可欠です。FastPassがデバイスに登録されると、固有のデバイスバインドキーを利用します。それは、通常、TPMやSecure Enclaveなどのコンポーネント内に保存されています。このキーへのアクセス、およびオンラインアプリケーションやサービスへの認証は、生体認証またはデバイスバインドパスコードなどのローカル認証方法によって制御されます。この設定により、認証プロセスは特定のデバイス専用キーで署名され、セキュリティが強化されます。一方、Oktaのサーバーに保存されているOktaパスワード、フレーズ、またはパスコードは、インターネットに接続された任意のデバイスからのアクセスを許可するように設計されています。決定的な違いはセキュリティモデルにあります。Oktaパスワードが漏洩した場合、あらゆるデバイスから使用される可能性があるのに対し、デバイスバインドキーは、安全で、かつ登録されたデバイス専用の状態を維持します。つまり、攻撃者がデバイスバインドパスコードを入手したとしても、そのパスコードで解除できるキーは、そのデバイスでしか使用できないということです。これにより、漏洩したパスコードが悪用される可能性のある、フィッシング攻撃を軽減できます。
ご安心ください。Oktaはユーザーの生体認証データを見ることはできません
データプライバシーとセキュリティに関する規制は、テクノロジーの行き過ぎから個人を保護するために長年かけて成熟してきており、組織のデータ慣行に大きな影響を与えています。たとえば、2008年に制定されたイリノイ州生体情報プライバシー法(BIPA)には、生体認証データの取り扱いに関する明確なガイドラインがあり、さまざまな企業の財政と評判に影響を与える多数の訴訟が発生しています。
Oktaの製品は、生体情報の処理や保存は行いません。Okta Verifyおよび FastPassは、ラップトップやスマートフォンに内蔵された生体認証装置から提供される生体情報を2 要素認証(2FA)に使用しますが、Okta が認識するのは、生体認証が成功したことを示すユーザー認証暗号化キーの交換のみであり、生体データにはアクセスできません。言い換えれば、ユーザーがOkta Verifyアプリケーションで生体情報を使用して認証した場合、Oktaは生体データを受け取りませんが、その代わり、ローカルのデバイスオペレーティングシステムから認証の失敗または成功の通知を受け取ります。生体認証データはデバイス上で管理され、デバイスが実際の生体認証情報を保存するかどうかは、デバイスのプロバイダーによって異なります。 Appleデバイス、Googleの携帯電話、またはその他のコンピュータを使用している場合、各社のデータプライバシーポリシーを参照して、各社がどのように生体認証データを処理しているか確認してください。
これまでと同様、生体認証を使用するかしないかを選択することができます。管理者またはユーザーは、デバイスの設定を通じて、いつでも生体認証技術を有効または無効にすることができます。また、パスコードによるユーザー認証のオプションが追加されたことで、生体認証を使用せずに、FastPassと併用してMFAを適用することも可能です。
FastPassのその他の新機能とは?
Oktaでは、市場で最もセキュアな認証機能であるFastPassを使って、お客様の従業員全員がアプリケーションに簡単にアクセスできるようにしたいと考えています。これは、フィッシング耐性のある認証にとどまらず、フィッシング耐性のあるFastPassのリカバリとオンボーディングプロセスを提供し、安全なエンドツーエンドの認証管理を実現することを意味します。そのため、Oktaは最近、管理者がエンドユーザーに対して、より安全性の高い方法であるOkta Verify登録を施行できるよう、さらに柔軟性を加えました。これは、現在、認証機能の設定にて一般にご利用いただけます。
さらに、Windows Okta Verify 4.9では、仮想デスクトップインフラ(VDI)環境のWindows Okta VerifyおよびFastPassのサポートが一般利用可能になりました。サポート環境には、Windows 365、Citrix、AWS WorkSpacesがあります。管理者は、AuthenticatorOperationModeフラグを設定することで、仮想環境で動作するようにWindows Okta Verifyを設定することができます(Windows Okta Verifyの設定方法を参照)。2FAの場合、管理者はOkta Verifyを構成して、デバイスにバインドされたユーザー検証キーへのアクセスを保護して許可するパスコードの作成を、ユーザーに促すこともできます。この機能でFastPassとデバイスポスチャ―チェックを利用し、仮想Windows環境における認証フローを保護することができます。エンドユーザーにとっては、これは仮想デスクトップからリソースへの、安全で直観的なフィッシング耐性のアクセスを意味します。
製品の柔軟性と可視性を革新し、改善し続け、組織が自信を持ってより高いセキュリティ保証オプションに進むことができるようにすることに興奮しています。FastPass の今後のアップデートにご期待ください!
FastPassまたはデバイスのセキュリティについて質問がありますか?コミュニティディスカッションボードに参加してください。
