このブログはこちらの英語ブログの機械翻訳です。
更新: 2025年2月7日
「誰かが何かにログインしようとするまで、何も起こらない」
– 古代の認証のことわざ
私たちが覚えている限り、ユーザーは強力で安全な認証と、優れた、摩擦のないユーザーエクスペリエンスのどちらかを選択する必要がありました。もう、その必要はありません。Okta FastPassは、堅牢でセキュアバイデザインの認証メカニズムであり、私たちの先祖が夢見ていた「使いやすさ」を備えた、他に類を見ない製品です。米国の政府機関は、アプリケーションへのログインにスマートカード(CACおよびPIV)を長年使用してきましたが、このインフラストラクチャは、クラウドコンピューティングとモバイルデバイスアクセスという現代の世界では、ますますサポートが困難になっています。
ただし、「強力な認証」や「最高級のユーザーエクスペリエンス」だけではありません。攻撃者の一歩先を行くには、認証フローに直接組み込まれた動的なセキュリティモデルが必要です。OktaのIdentity Threat Protectionのようなものは、いずれ、現代の認証の状況を一変させるでしょう。
FastPassを選ぶ理由
最初の認証ポイントで保護し、アクティブなシングルサインオン(SSO)セッションのライフスパンに沿って継続することで、FastPass はフィッシング攻撃、セッションの盗難、および不正なローカルアクティビティの影響を軽減できます。FastPass は、信頼できるアプリケーションへのパスワードレスで暗号化された安全なアクセスのみを可能にし、管理対象または管理対象外の主要なプラットフォームおよびデバイス全体で一貫して直感的なユーザーエクスペリエンスを提供します。FastPass は、すべてのアプリログイン時におけるブラウザとデバイスのオプションのサイレントコンテキスト評価、およびより広範なセキュリティソリューションエコシステムからのシグナルにより、組織の Zero Trust セキュリティを強化します。
多層防御のために設計されたFastPassは、最初のアクセス要求後も保護を継続する、フィッシング耐性のある認証を可能にします。FastPassは、パスワードレスでフィッシング耐性のあるフローとデバイスのポスチャチェックを活用することで、エンドユーザーの摩擦を最小限に抑えながら、米国政府のリソースへの安全なアクセスを実現できます。
Okta FastPassを使用すると、米国政府機関は次のことができます。
- フィッシングに強い認証を有効にする:サポートされているすべてのプラットフォーム上の管理対象および非管理対象デバイスに対する最も一般的なフィッシング攻撃を軽減します。
- デバイスコンテキストの評価:認証中に使用されたデバイスとブラウザを検証し、ファーストパーティおよびサードパーティソースからのシグナルを収集して、より情報に基づいた認証および承認の決定を行います。
- パスワードレスログインを許可する:FastPassで保護されたすべてのリソースに対してパスワードレス認証を提供し、従業員の体験を向上させ、複数のパスワード(およびパスワードのリセット)、プッシュ、時間ベースのワンタイムパスワード、SMSなどの帯域外要素による摩擦を軽減します。
包括的な機能とセキュリティに重点を置いている Okta FastPass は、セキュリティとユーザーエクスペリエンスの向上とのバランスを取り、今日の最新の従業員のニーズを満たすことを目指す agencies にとって理想的なソリューションです。
Okta FastPass のサードパーティによるフィッシング耐性評価
米国の政府機関は、政府職員が使用するためのセキュリティおよびコンプライアンス要件を満たす認証器について、NISTのガイダンスを参考にしています。NIST 800-63B(v4)の次のバージョン(現在ドラフト版)では、フィッシング耐性の定義が拡張され、スマートカードやハードウェアセキュリティキー(YubiKeyなど)だけでなく、より広範な認証器が対象となります。OMB M-22-09の通過と、NIST 800-63 v4に関するドラフトガイダンスにより、米国政府は明確な道筋を描いています。
Okta FastPassが、FedRAMP HighおよびFedRAMP Moderateの認証範囲に含まれるようになったことを発表いたします。FastPassは、NIST 800-63B Authentication Assurance Level 2(AAL2)およびAAL3にも準拠しています。これにより、政府機関は、FastPassを含む、ニーズに最適なフィッシング耐性のある認証方式をユーザーに提供できるようになり、従業員のアクセシビリティと使いやすさが向上します。
FastPass は、以下を含む NIST ガイドライン に沿っています。
- 多要素認証(MFA): 2つ目の要素として、所持、固有性、または知識を証明します。
- フィッシング耐性認証:検証者名(オリジン)バインディングメカニズムを利用して、フィッシング耐性の要件を満たします。 これは、NIST SP 800-53rev5 に基づく米国の機関向けの FedRAMP Moderate 以上の要件です。
- 暗号化認証器:ハードウェアでサポートされたTPMストアを介して同じデバイスでユーザーを認証するためにのみ使用される、デバイスにバインドされた認証器(すべての暗号化機能用)
FastPassのジャーニーは、デバイスのOkta Verifyアプリでの登録(またはアカウントの追加)プロセスから始まります。FastPassは、デバイスのポスチャチェックとデバイスコンテキストの再評価も容易にし、管理対象か管理対象外かにかかわらず、使用中のデバイスのセキュリティを確保します。
FastPassを構成し活用する上での顧客の責任
当社の取り組みには、FastPassのFedRAMP High認可、およびFastPassがサポート対象デバイスで適切に構成されている場合にAAL2/AAL3に準拠しているというFedRAMP第三者評価機関(3PAO)からの証明が含まれます。FastPassのようなフィッシング耐性のあるソフトウェアソリューションの使用には、依然としてリスクがあり、お客様はそれを認識しておく必要があります。お客様の責任:
- ディスクの FIPS 暗号化)
- デバイスでFIPS検証済みのTPMを使用すること
- デバイスで FIPS 検証済みのモジュールを使用する
- ミッション要件とユースケースに沿ってFastPassを実装する
- たとえば、NIST 800-53 rev5セキュリティコントロールIA-2(6)の場合、顧客は要件を満たすためにFastPassに加えて、別の物理認証子を要求する場合があります。
暗号化が必要な場合、FIPS 140 検証済みの暗号化モジュールを使用することは連邦政府の義務です。これは MFA ツールにも適用されます。詳細については、Okta FIPS 準拠情報およびデバイスプラットフォーム暗号化の顧客要件 および Okta Verify FIPS 構成 をご覧ください。
リソースの用語集
革新的なMFA要素は、顧客体験の向上に貢献しますが、それらを理解し、保証することは複雑になる可能性があります。たとえば、機関は別のデバイスで生成される所持証明を要求できます。以下は、米国連邦政府のリソースです。ご活用ください。
- 米国のGeneral Services Administration(一般調達局)のPhishing-Resistant Authenticator Playbook
- NIST SP 800-63Bの補足、デジタルアイデンティティガイドライン:認証
- およびライフサイクル管理
- NIST SP 800-63 rev 4、デジタルアイデンティティガイドライン
- 米国行政管理予算局覚書(OMB M-22-09)、米国のゼロトラストサイバーセキュリティ原則への移行
- アメリカ国家安全保障局(NSA)による安全な多要素認証ソリューションの選択
当社のOkta Security Identity Commitmentの詳細については、次回のOkta Gov Identity Summitへの登録でもご確認いただけます。分科会D「Okta and ATOs, they go together」では、FastPass AAL3から、既存の認証からセキュリティ技術導入ガイド(STIG)まで、アイデンティティ攻撃に対する当社の取り組みを直接お聞きいただけます。
