クラウド型ID管理基盤(IDaaS)を提供しているOkta Japanは2021年7月13日、スマートフォンアプリ「Okta Verify」を用いた多要素認証において、リスクベース認証を組み合わせて使えるようにしたと発表した。エンドユーザーが組織にサインインしてOkta Verifyで認証する時のルールとして、リスクレベルを設定できるようにした。リスクが低い場合のサインイン手続きを簡素化できるようになった。
Okta Japanは、クラウド型のID管理基盤(IDaaS)サービス「Okta Identity Cloud」を提供しているベンダーである。Salesforce.comやOffice 365などのSaaSや業務アプリケーションにアクセスするためのID情報(アカウントとアクセス権限)を一元管理する(関連記事:クラウド型ID管理の米Oktaが日本法人「Okta Japan」を設立)。
システム管理者から見たOkta Identity Cloudのメリットは、ID管理やアクセス制御を一元化できることである。一方、エンドユーザーから見たOkta Identity Cloudのメリットは、複数のSaaSや業務アプリケーションに対して、SSO(シングルサインオン)でログインできることである。
認証方法は、パスワード認証に加え、各種の認証手段を組み合わせた多要素認証が利用できる。例えば、SMSやメールでの認証、ワンタイムパスワードによる認証、専用のスマートフォンアプリ「Okta Verify」を利用したプッシュ認証、生体認証、などを利用できる。普段とは違う環境からアクセスしている場合など、リスクが大きい時に限って多要素認証を実施するリスクベース認証も利用できる。
スマートフォン認証のルールにリスクレベルを設定
Okta Verifyは、ユーザーがOkta Identity Cloudにサインインする際に、登録したデバイス(スマートフォンとOkta Verifyアプリ)を用いてユーザーを認証する。今回、Okta Verifyアプリにおいて、リスクベース認証を組み合わせられるようにした。組織にサインインしてOkta Verifyで認証する時のルールとして、リスクレベルを設定できるようにした(画面1)。
画面1:Okta Verifyで認証する時のルールとして、リスクレベルを設定できるようにした(出典:Okta Japan)拡大画像表示
リスクベース認証への対応では、Okta Verifyの認証ルールとして、3つのリスク要因と、それぞれに3つのリスクレベル(高・中・低)を選択できるようにした。リスク要因は、「場所やIP情報の変則性」「デバイス情報の変則性」「疑わしい脅威(DDoS、ブルートフォースやパスワードスプレー攻撃など)」の3つである。
リスクが低いと判断した場合は、認証手続きを簡素化できる。一方で、リスクが高いと判断できる認証が生じた時(例えば、中間者攻撃を受けやすいと判断した場合など)は、Okta Verifyのモードが自動的にナンバーチャレンジ(複数の選択肢の中から正しい選択肢をタッチするモード)へと切り替わる(画面2)。リスクベース認証とOkta Verifyを組み合わせることで、リスクに応じて柔軟な防御措置ができるとしている。
画面2:Okta Verifyのナンバーチャレンジ画面。ユーザー所有デバイスに表示されている複数の選択肢の中から正しい選択肢をタッチして認証を受ける(出典:Okta Japan)拡大画像表示
