この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
最初に
東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。
統合認証を成功に導くID管理・認証と認可~IDaaSのリーダー「okta」の活用術と導入事例~ | Security Days Spring 2023
セッション概要
いまやテレワークと出社の両方での働き方が当たり前となり、クラウドサービスの導入が急増し、IT主導だけでなく現場部門主導でのクラウドサービスも増加しております。加えて、入退社や異動に伴うアカウント管理の煩雑さや、削除漏れなどによる情報漏洩リスクも無視できません。 これらへの解決手段として、働く場所が多様化したことによる、企業リソースへアクセスする際のセキュリティ強化や、ID源泉の統合と、アカウント管理の自動化が必要になります。 本セッションでは、これらを実現できるIDaaSであるOktaをベースに、事例を交えて解説いたします。
スピーカー
Okta Japan(株) シニアソリューションエンジニア 岸本 卓也 様
NRIセキュアテクノロジーズ(株) DXセキュリティプラットフォーム事業本部 クラウドセキュリティ事業部 セキュリティコンサルタント 藤井 貴弘 様
レポート
Okta が提供している認証機能
- WIC(Workforce Identity Cloud)
- 身元が分かっている従業員、契約社員、取引先の方向けの認証サービス
- アプリケーションを使用するにあたっては、Okta の認証を通ってからアプリケーションを利用できる
- CIC(Customer Identity Cloud)
- 不特定多数のコンシューマユーザ向けの認証サービス
WIC(Workforce Identity Cloud)
- Okta に ID を登録することも可能
- 既に使用している AD、LDAP と連携可能
- CASB、EDR、SIEM との連携も可能
- 不審な動きを検知したユーザがいれば、Okta 側で認証させないように対処可能
WIC アクセス管理機能
- SSO
- 一度の認証で様々なアプリケーションと連携可能にすること
- SAML、WS-Federation、OpenID
- 7400以上のアプリケーションとの連携に対して、設定手順をまとめたテンプレートを提供
- MFA
- 知識(パスワードなど)所持(スマホ、PC など)生体(指紋、顔)の要素で構成
- 二要素認証の強度レベルが高いもの
二要素以上の要素を組み合わせて認証させること
指紋 + 所持(指紋だけで、裏では二要素認証できる状態になるため、ユーザの利便性が向上する)
- Adaptive
- コンテキストは、いつだれが何をしたのかの一連の流れの情報
- 「何時、誰が、何をする」という情報を定めているのに対して、逸脱をチェックする
コンテキストを用いたアクセス制御
普段は日本から会社支給の端末でアクセスしているのに、5分後に送信元IP アドレスが米国からになったなど
WIC ユーザ管理機能
- Universal Directory
- 既に使用している AD、LDAP を Okta に統合できる
- ディレクトリを持ってない、別の認証サーバを使用している場合は、CSV でインポート可能
認証ソースが点在していても、単一ディレクトリとして、Okta で認証できるようにする機能
(ユーザの異動、退職など、ユーザ情報の変更が1回で済む)
- Lifecycle Management
- Okta にユーザがエントリーされた場合、アプリケーションにもユーザ情報連携できる
(アプリケーションにもユーザ情報がエントリーされないと使えないため)
- Workflows
- ノーコード、ローコードで変数の設定が可能
ユーザの属性情報変更を自動化できる
例)5/1 人事異動がある → ユーザ情報を変更 → スラック通知などの自動化
WIC デバイス制御機能
- Okta Verify
- Okta FastPass
- 端末とユーザ情報の整合性が取れている場合、ワンファクタ認証ではアクセスしたときにクリックするだけで認証可能になる
- 二要素を加えると、指紋認証しただけで認証が完了する(ユーザ目線では指紋しか使用してないので一要素に見えるが、裏で二要素認証出来ている状態になる)
- 端末情報を Okta が渡せるため、端末の状態をもとに認証を許可/拒否できるようになる
端末に Okta Verify というソフトウェアをインストールして使用する
Okta Verify > Okta FastPass 機能では、端末情報をユーザと紐づけて登録可能
「Windows10 20H2 以上」で、「生体認証が有効になっている」人だけ許可する設定など
- エンドポイントセキュリティ
- EDR で端末の怪しい動きを検知すると、それに応じて Okta 側で許可/拒否の制御
- 端末制御
- MDM、EMM
CrowdStrike などのエンドポイントセキュリティ製品と統合可能
IT 部門で発行したものだけ通信させたい場合、事前に UEID の情報を伝達しておけば制御可能
端末管理ツールで管理しているデバイスのみ許可させることも可能(証明書を使用して管理している)
NRIセキュアテクノロジーズ(株)WIC 事例
事例1)コールセンターなどの ID 編成の異なるパートナー向けの認証基盤
- 課題)事業部が独自で運営しているサービスに対して認証したい
- 規模:1000 名以上
- 対象:事業部
- 業種:金融
- 期間:1か月
事業部で運用していくので、複雑な設定が必要な IDaaS 製品を運用できない。キャッチアップに時間がとられると、本業に影響が出るので、シンプルな IDaaS を使用したい。
コールセンターシステムに対する認証が必要で、様々な属性(社員、パート)向けに利用させたいが、多要素認証で利用する形だと制限が出る。具体的には、ワンデイ、ワンタイムパスワードを使用するために、Authentication アプリケーションを使用させるとなると、社給スマホを配布するわけにもいかないので、使用スマホにインストールすることになるが、紛失のリスクもあるので、ハードルが高い。物理トークンも提供すると入れ替わりが激しいという理由で NG だった。
Okta は GUI がシンプルで、お客様にせっていただきやすい。ユーザ側でのパスワードリセットもユーザで出来るので、管理者負担が減る。メール認証で、ワンタイムパスワード、マジックリンク(トークンを含むURL)の配布が可能。
社内であれば、一要素認証(メール、パスワード)メール認証なら、Passwordレスに認証可能。社外であれば、在宅のユーザもいたので、多要素認証を使用した。
事例2)人事システムのユーザ情報を IDaaS に連携に将来の発令に対応できない
- 課題)クラウドサービスで利用する属性値が足りなかった
- 規模:2000人以上
- 対象:全社
- 業種:IT
- 期間:11か月
人事システムと連携するときの課題感として、将来の発令日に属性を反映される仕組みが少ないので、人事システムを更新すると、即時認証基盤に連携される。具体的には、4月に移動する場合において、3月に先に属性変更されてしまうと、異動先の部署のシステムにアクセスできてしまうし、今までのシステムにアクセスできなくなる。
人事システムに使用する ID 情報(メールアドレス)が存在しなかった。IDaaS を使用するのに不足している状態だった。
Okta に一時的にテーブルを設けて情報を格納して、発令日になったらユーザ情報を変更させる仕組みを作成した。Okta Workflows を使用して、認証の為に不足している情報(属性:値)を一時テーブルに保存された氏名情報などで、ID、メールアドレスなどの自動生成生成した。そして、発令日に情報連携させるように設定。
事例3)既存の認証が煩わしい(利用するアプリケーションの増加、定期的なパスワード変更の運用をしたい)
- 課題)様々なクラウドサービスの利用に於いて、Passwordしか利用できない、MFA しか利用できないなど
- 規模:2500人以上
- 対象:全社
- 業種:インフラ
- 期間:9か月
まずは、認証を Okta にまとめることによって、一元管理して、認証の入り口を1つに統一した。利用しているサービスごとに MFA、ワンタイム、秘密の質問などをしなくて済むので、利便性が向上する。
Okta Verify の Okta FastPass機能 + Workflows により、社給端末(Windows Hello あり / なし)、社給端末以外でのアクセスに於いて管理端末チェック(社給端末であるかないか)して、ファストパスで二要素認証にした。
まとめ
既存の認証基盤が抱える問題に対するアプローチ方法が豊富にそろっており、非常に柔軟に課題を解決できるソリューションだと感じました。昨今では、DevOps のみならず、Security の基盤も含めて非常に多くのプラットフォームが存在し、それぞれの ID 管理や、パスワードポリシーもある中、Okta を利用すれば従業員のアカウントレベルできめ細かく認証させることが出来るのでセキュリティ向上と運用負荷の低減が狙え、利用ユーザもログイン認証のストレスを感じにくいのではないでしょうか。今回は、WIC の講演でしたが、CIC の方も講演を聞きたいと思いました。
2
