リスクベース認証の実装に役立つOkta：セキュリティ強度と使いやすさの両立

数えきれないほど多くの組織が、顧客と従業員の両方について「セキュリティの強度」と「使いやすさ」のバランスをとるという課題に直面しています。ITチームとエンドユーザーの両方を満足させるのは、容易なことではありません。この問題への対応として、Oktaはすべてのお客様向けにリスクベース認証を一般提供するようになりました。

終わりなき戦い：セキュリティの強度と使いやすさのバランス

顧客にとっての意義

顧客に対応する組織であれば、ユーザーに摩擦が及ぶことは是が非でも避けなければなりません。アプリケーションのユーザーエクスペリエンスが低下すれば、組織の収益が甚大な影響を受ける可能性があります。

顧客のアプリへのログインでは、アクセスの場所、タイミング、使用デバイスにかかわらず、可能な限り摩擦を少なくする必要があります。しかし、セキュリティをないがしろにはできません。さもなければ、現代の多くの組織で起こっているように、大規模なデータ漏洩の犠牲になって大々的に報道される事態に陥るリスクを負うことになり、収益に悪影響が及びます。では攻撃者に都合の良い状態を作らずに、ユーザーができるだけ簡単にアプリケーションにアクセスできるようにするには、どうしたらよいでしょうか。

従業員にとっての意義

従業員のエクスペリエンスについても、同じことが当てはまります。社員、パートナー、請負業者は、これまで以上に多くの場所やデバイスから、より多くのリソースにアクセスするようになっています。これらのユーザーが多様化し続ける新しいアプリケーション、ツール、デバイスにアクセスできるようにするため、多くの組織は大きな圧力にさらされています。それとともに、従業員はネットワーク境界の外へと分散し続けています。

これらのさまざまな場所やデバイスから企業データにアクセスしようとするユーザーのアイデンティティを確認するため、ITチームとセキュリティチームには何が求められるのでしょうか。

コンテキストは自動化の鍵：リスクベース認証について

このようなセキュリティの強度と使いやすさの両立という課題の解決に役立つのがOktaです。Oktaのリスクベース認証は、ユーザーがログインを試みるコンテキストを特定することで問題（顧客と従業員の双方）に対処し、大幅に強力な認証手法とシナリオに応じた緩和策を実装することでセキュリティを自動化します。同時に、ユーザーの挙動が通常の範囲内であれば、シームレスなログインエクスペリエンスを提供します。

リスクベース認証は、ログイン試行ごとに、デバイス、場所、IPアドレス、入力生体認証など、個別化された一連のコンテキスト変数が監視されます。この情報に基づいて、Oktaは各ユーザーのプロファイルを構築します。これは、ユーザーの通常のログインパターンの「デジタルDNA」と考えることができます。これが、ログイン試行ごとに認証と承認の決定に役立つ情報を提供します。

リスクレベルに応じてカスタマイズ可能な応答

おそらく貴社の管理者は、複数の異なるユーザーグループのアクセスポリシーを継続的に管理するために、すでに手に負えないほど大量のルールを抱えているのではないでしょうか。このタスクを、Oktaのリスクベース認証が引き受けます。

リスクベース認証モデルは、ログインのコンテキストを各ユーザーのデジタルDNAに照合し、Okta ThreatInsightから得られる攻撃者のデータと組み合わせて、各ログインイベントのリスクスコアを1～100のスケールで計算します。スコアが高いほど、ログインのリスクが高くなり、悪意のある試行である可能性が高くなります。

管理者は、リスクレベルを適切な応答と組み合わせて、認証セキュリティに対する動的なアプローチを自動化できます。たとえば、リスクの高いログインイベントの場合、Oktaのリスクベース認証を使用すれば、管理者はFIDO2.0互換要素やプッシュ通知付きOkta Verifyといった強力なオーセンティケーターのみを介したパスワードレスの認証と承認を要求できます。また、リスクの低いログインの場合には、SMS認証、Okta Verify、FIDO2.0トークンなど、組織に最適な要素を使用するパスワードレスのエクスペリエンスも提供できます。

機械学習による継続的改善

OktaのCEO兼共同創設者であるTodd McKinnonは、次のように述べています。「Oktaは、お客様/統合/認証の広範なエコシステムから豊富なデータに基づく知見を得ています。これに、個別化された機械学習モデルを組み合わせることで、強力なネットワーク効果が生まれ、透明性が高く、それでいて実用的なセキュリティが可能になります」

Oktaがリスクの高いログインを検知した場合、管理者は不審なログインが試行されたことを通知するメールをユーザーに送信できます。このメッセージでは、ユーザーはそのログイン試行が不正であるか確認するよう求められます。不正な場合、すべてのセッションがクリアされ、パスワードが強制的にリセットされます。

このような修復のフィードバックと継続的なログイン試行を組み合わせることで、各ユーザーの挙動について機械学習モデルの理解が徐々に調整され、ログインの各インスタンスに対する応答の精度が次第に高くなっていきます。その結果、ユーザーのログインエクスペリエンスが継続的に改善され、不要な摩擦が可能な限り排除されます。

効果：ユーザーではなくハッカーにとっての不都合を作り出す

「テクノロジーに組み込まれるセキュリティは、使いやすさの障壁となったり、後から思いつきで追加されたりすることが往々にしてあります。しかし、従業員や顧客に最高のエクスペリエンスを提供することと、情報の安全性を確保することは、どちらも重要です。片方を犠牲にするようなことがあってはなりません」– Okta CEO兼共同創設者、Todd McKinnon

Oktaのリスクベース認証の新しい機能を活用することで、組織はリスクの高いログイン試行を自動的に検知して応答できます。複数の複雑なルールを作成する必要がなく、アプリを使用しようとする顧客の妨げとなったり、社員の業務遂行を阻害したりすることもありません。

Oktaのリスクベース認証は、アダプティブ多要素認証の一環として一般提供されています。適応型MFAが実現する顧客の支援と従業員の支援について、詳細をご確認ください。