今日のSaaSファーストな組織において、OktaのようなIDプロバイダーは、まさに「王国のデジタル鍵」を握っています。組織がOktaのようなSSOプラットフォームを通じて認証を統合し続ける中、これらのIDシステムを保護する重要性はかつてないほど高まっています。
近年、ID基盤を狙った注目度の高い侵害事例が相次ぎ、洗練された組織であっても、設定ミスや弱いセキュリティ設定を突く攻撃の被害に遭い得ることが示されました。
課題はOktaを導入することだけではなく、時間の経過とともに強固なセキュリティ態勢を維持することにあります。組織が進化するにつれ、セキュリティ設定は徐々に逸脱し、新たな脆弱性が現れ、ベストプラクティスも変化します。
6か月前に有効だった対策が、今日の脅威に対してはもはや十分ではないかもしれません。
本記事では、レジリエントなIDセキュリティプログラムの基盤となる、Oktaの基本的なセキュリティベストプラクティス6つを紹介します。
これらの設定を実装することに加え、Oktaの継続的なセキュリティ態勢モニタリング(およびSaaSエコシステム全体)をNudge Securityのようなツールで行うことで、新たに出現する脅威に先回りし、環境が拡大・変化しても堅牢なセキュリティ態勢を維持できます。
シャドーSaaSのリスクを可視化し、コントロールを獲得
「Nudgeのトライアルに申し込んだところ、IdPに接続するだけで1時間以内に稼働できました。すぐに洞察が得られました。」- KarmaCheck ITスペシャリスト
KarmaCheckが、すべてのシャドーSaaSとAIを発見し、無駄な支出を削減し、彼らが「万能ツール(Swiss Army Knife of Utility)」と呼ぶものによってユーザーアクセスレビューを迅速化できた方法をご覧ください。
それでは、すべてのセキュリティ担当者のチェックリストに入れておくべき、Oktaの重要なセキュリティ設定6つを見ていきましょう。
1. パスワードポリシー
強固なパスワードポリシーは、あらゆるIDセキュリティ態勢プログラムの基盤です。Oktaでは管理者が、次のような堅牢なパスワード要件を強制できます。
-
最小文字数と複雑性の要件
-
パスワード履歴と有効期間(年齢)制限
-
推測されやすいパスワードを防ぐための一般的なパスワードチェック
Oktaでパスワード要件を設定するには: Okta管理コンソールで[Security]>[Authentication]>[Password Settings]に移動します。
2. フィッシング耐性のある2FAの強制
フィッシング攻撃がますます高度化する中、Oktaアカウントにフィッシング耐性のある二要素認証を実装することは不可欠です。特に特権管理者アカウントでは重要です。Oktaは、次のような強力な認証方式をサポートしています。
-
WebAuthn/FIDO2 セキュリティキー
-
生体認証
-
デバイストラスト付きOkta Verify
MFA要素を設定するには: [Security]>[Multifactor]>[Factor Enrollment]>[Edit]> 要素を「必須」「任意」「無効」に設定します。
また、管理コンソールのすべてのユーザーにMFAを強制するには、こちらのOktaヘルプドキュメントを参照してください。
3. Okta ThreatInsight
Okta ThreatInsightは機械学習を活用して、不審な認証試行を検知しブロックします。この機能は次を実現します。
-
悪意のあるIPアドレスを特定してブロック
-
クレデンシャルスタッフィング攻撃を防止
-
アカウント乗っ取りのリスクを低減
設定方法: [Security]>[General]>[Okta ThreatInsight settings]でThreatInsightを有効化します。詳細は、こちらのOktaヘルプドキュメントを参照してください。
4. 管理者セッションのASNバインディング
このセキュリティ機能は、管理者セッションを特定の自律システム番号(ASN)に紐付けることで、セッションハイジャックを防ぐのに役立ちます。有効化すると:
-
管理者セッションが、認証時に使用された元のASNに紐付けられる
-
異なるASNからのセッション試行がブロックされる
-
不正な管理者アクセスのリスクが大幅に低減される
設定方法: [Security]>[General]>[Admin Session Settings]にアクセスし、ASN Bindingを有効にします。
5. セッション有効期間の設定
セッションの有効期間を適切に設定することで、放置されたセッションや乗っ取られたセッションを通じた不正アクセスのリスクを最小化できます。次の実装を検討してください。
-
高い権限を持つアカウントには短いセッションタイムアウト
-
リスクレベルに基づく最大セッション長
-
非アクティブ期間後の自動セッション終了
設定方法: [Security]>[Authentication]>[Session Settings]に移動し、セッション有効期間のパラメータを調整します。
6. 行動ルール
Oktaの行動ルールは、次の方法で追加のセキュリティ層を提供します。
-
異常なユーザー行動パターンを検知
-
不審なアクティビティが検知された場合に追加の認証ステップをトリガー
-
潜在的なセキュリティ脅威に対するカスタマイズされた対応を可能にする
設定方法: [Security]>[Behavior Detection Rules]にアクセスし、行動ベースのセキュリティポリシーを設定・カスタマイズします。
Nudge Securityが支援できること
組織の成長に伴い、ID基盤とSaaSエコシステム全体で強固なセキュリティ態勢を維持することはますます複雑になります。そこで、Nudge SecurityのようなSaaSセキュリティ態勢管理(SSPM)ソリューションが大きな価値を提供します。
Nudge Securityは、包括的なSaaSセキュリティおよびガバナンスソリューションの一部としてOktaのセキュリティ態勢管理を提供し、上記に挙げたものを含む一般的なOktaのセキュリティ設定ミスを自動的に検出します。
Nudge Securityで無料のOktaセキュリティ態勢チェックを受ける
Nudge Securityの無料トライアルでは、次のことが可能です。
-
数分でシャドーSaaSとAIの全インベントリを取得
-
SSOとMFAのカバレッジのギャップを見つけて解消
-
OAuth付与がアプリ間のデータ共有を可能にしている箇所を把握
-
SSOで管理されていないアプリにおける退職者の残存アクセスを見つけて取り消し
詳細を確認し、14日間の無料トライアルを開始してください。
翻訳元: https://www.bleepingcomputer.com/news/security/6-okta-security-settings-you-might-have-overlooked/
