OktaのデスクトップMFA：待望のサービスが登場

Frank Dickson

Group Vice President, Security and Trust, IDC

June 13, 2023

パスワードは、登場した当時から大きな問題を抱えてきましたが、それも当然のことです。パスワードを最初に作成したのは、MITのコンピューター科学者であったFernando Corbató氏ですが、同氏ですらパスワードを「一種の悪夢」と呼んだほどです。現在、私たちはそれぞれに何百ものパスワードを使っており、知識ベースの認証要素の弱点を克服するための複雑なルールが増え続けています。こうした状況は、Corbató氏でも想像できなかったのではないでしょうか。

脆弱なアイデンティティ検証を増強する多要素認証（MFA）は、ワンタイムパスコード、生体認証、物理トークンなどの強力な要素を使用することで、現代のセキュリティ対策を鼓舞するものとなっています。完璧ではありませんが、どのような認証方法でもパスワードに比べればマシです。

通常、何らかの価値を持つアプリケーションの認証には、パスワードを補強するために検証を追加する必要があります。シングルサインオン（SSO）は、多要素を自動化してユーザーエクスペリエンスを向上させます。MFAによるアプリケーションアクセスの欠点は、アクセスのプロビジョニングで指定されるエンドポイントが、パスワードベースの認証に限定されることが少なくないことです。たとえば、パスワードで保護されたコンピューターから実行されるアプリケーションへのアクセスに、強力な認証を提供しているケースを考えてみましょう。強力な認証で保護されたアプリケーションであっても、デバイスの認証が不十分であれば、脆弱性が生じます。そして残念ながら、ほとんどのデバイスは依然として主にパスワードで保護されているのです。

今日では、リモートワークまたはハイブリッドな働き方を利用できる人が多くなっています。その結果として、デスクトップ、ノートPCなどのデバイスが世界中のどこからでも使用され、こうしたエンドポイントからアクセスが実行されるようになっています。これらのデバイスが適切に保護されなければ、不正なエンタープライズゲートウェイアクセスに使用される可能性があります。

さらに、セキュリティだけでなく、ユーザビリティも考慮する必要があります。強力なセキュリティ態勢を維持しながら、ワークフォースの俊敏性を確保するようにバランスを取ることが重要です。つまり、従業員が生産的に作業するために、必要なアプリケーションへの容易かつ安全なアクセスを可能にしなければなりません。使いやすさと利便性は、セキュリティと同じくらい重要な考慮事項です。ユーザーエクスペリエンスに問題があると、結果的に従業員は抜け道を見つけて仕事を遂行しようとします。

パスワードベースのデバイス認証の問題に対処するため、OktaはOkta Device Accessの導入を計画しています。デバイスは基本的に、統合IAM（Identity and Access Management/アイデンティティ＆アクセス管理）ソリューションによって保護を強化できるタッチポイントです。従来、Oktaは主としてアプリケーションやネットワークベースのリソースへのアクセスを保護するための支援を提供してきました。エンドポイントMFAは以前から可能でしたが、パートナーソリューションを利用する必要がありました。デバイスへの認証を開始し、信頼できるエンドポイントからのアプリケーションの認証を可能にする改善の道はないかと、お客様からの問い合わせがOktaに寄せられていました。

Okta Device Accessが想定するユーザーエクスペリエンスは、比較的単純です。ユーザーは、Oktaの資格情報を使用して、企業がプロビジョニングしたデバイスにログインできます。ユーザーに対しては、フィッシング耐性のあるMFAチャレンジが求められる可能性が高くなると考えられますが、パスワードレス認証が提供されれば理想的です（ただし、これは別件の問題として扱う必要があります）。ユーザーが強力なデバイス認証を完了すると、アクティブなセッションが1つ確立されます。これにより、ダウンストリームのリソースすべてにSSOが拡張され、ユーザーはその日の勤務時間中はアプリケーションやその他のサービスにアクセスできるようになります。会社のデバイスに最初にサインインした後、ユーザーは再度サインインせずにアクセス権を保持できます。ユーザーが再認証を求められるのは、何らかの理由で、デバイスのセキュリティ態勢の変化によってリスクレベルが変更された場合、またはアプリケーションへのアクセスに関するポリシーで要求された場合のみです。

このサービスは、いくつかのフェーズで段階的に展開されます。まず、ローカルのパスワード、ADのパスワードなど、状況に応じてユーザーが使用するものに加えて、デスクトップMFAがユーザーに対してチャレンジを実行します。ユーザーは、ローカルデバイスのパスワードをOktaのパスワードと同期することも可能です。Okta Device Accessの成熟に応じて、お客様はパスワードレスのOkta認証情報、フィッシング耐性のある要素、ユーザーがダウンストリームで特権や資格を持つすべてのリソース/サービスへのシームレスなアクセスを柔軟に有効にできるようになります。他のアプリケーションアクセスと同様に、コンテキストとリスクに基づいて追加のチャレンジが提示される可能性があります。

Okta Device Accessは、時間はかかりましたが、Oktaがこれまで実現を目指してきた製品です。以前から、デバイスのセキュリティ態勢とユーザーエクスペリエンスを向上させることが必要とされてきました。Oktaが両方の要件を満たすサービスを導入したことは朗報です。

スポンサーからのメッセージ

Oktaの目標は、ワークフォースが勤務時間中のあらゆるタッチポイントで、あらゆるデバイスを通じて、あらゆるリソースに安全にアクセスできるようにすることです。Okta Device Accessの今後のアップデートにご期待ください。詳細は、www.okta.comをご覧ください。

Frank Dickson

Group Vice President, Security and Trust, IDC

Frank Dickson is the group vice president for IDC’s security and trust research practice. In this role, he leads the team that delivers compelling research in the areas of security services; information and data security; endpoint security; trust; governance, risk and compliance; Identity and digital trust; IoT security; network security; privacy and Legal Tech; security analytics; video surveillance; and application security and fraud. Topically, he provides thought leadership and guidance for clients on a wide range of security topics, including ransomware and emerging products designed to protect transforming architectures and business models.

OktaのデスクトップMFA：待望のサービスが登場

スポンサーからのメッセージ

Tags

未来のSaaSアプリを守るには

Okta State of Inclusion：エクイティの実現に向けた取り組み

Businesses at Work 2024：組織基盤の強化に注力

Okta Secure Identity Commitmentを発表

Okta、2023年10月のセキュリティインシデントに関する調査を終了