はじめに
こんにちは、ネクストモード株式会社 テクニカルサポート担当です。
今回は、Okta ユーザーが侵害されたパスワードを使用している場合の対応方法をご紹介します。
近年、大規模なデータ漏洩事件が頻発し、流出した認証情報がダークウェブで売買されるケースが増えています。ユーザーが複数のサービスで同じパスワードを使い回していると、一つのサービスから漏洩したパスワードが他のサービスへの不正アクセスに悪用されるリスクがあります。そのため、侵害されたパスワードを早期に検出し、速やかに対応することが組織のセキュリティ維持において重要です。
具体的には、ユーザーを即座にログアウトさせてパスワード変更を強制する、Okta Workflows を活用して Okta 管理者へ通知を送る、といった対応が可能です。
設定方法
以下のドキュメントに沿って設定を行います。
パスワードポリシー設定
Okta Admin Console から「Security」 > 「Authenticators」に移動し、「Password」の Actions から Edit をクリックします。
編集をするポリシーを選択し、Edit をクリックします。
Password Security 内の Breached credentials protection で以下の項目を設定します。
- Expire the password after this many days (パスワードを期限切れにするまでの日数)
- Log out user from Okta immediately (すぐにOktaからログアウトする)
- Take custom actions using Workflows (Okta Workflows を呼び出す)
Okta Workflows 設定
以下のように Delegated flow をトリガーとして、侵害されたパスワードが検出された際に特定のSlack チャンネルに通知を行います。
- トリガーとして「Delegated Flow」を選択します。
- 「Okta Read User」カードで通知に活用する属性を取得します。
- 「Compose」カードで通知メッセージを作成します。
- 「Slack Send Message to Channel」通知先のチャンネルやボット名や絵文字などを指定します。
- 前述のパスワードポリシー設定で「Take custom actions using Workflows」にこのフローを指定します。
これにより、侵害されたパスワードが検出された際に、自動的に管理者へ通知が送信されます。
動作確認
この仕組みを試すには、新規ユーザーを作成し、「OKTA-BREACH-TEST-」で始まるパスワードを設定します。この「OKTA-BREACH-TEST-」はOktaがテスト用に用意した特別なパスワードパターンで、侵害されたパスワードとして検出されるようになっています。
初回ログイン時にパスワードを入力すると以下のようなログが記録されます。
侵害されたパスワードとのマッチを検出し、リスクとして検知後にユーザーのパスワードが期限切れとセッションをクリアされた様子がわかります。また、Delegated flow が起動していることも読み取れます。
Delegated flow が起動した結果として以下のような通知が行われます。
まとめ
今回は、Okta が提供する資格情報侵害保護機能を効果的に活用することで、侵害されたパスワードを早期に検出し、即座に適切な対応を行う方法について詳しくご紹介しました。
パスワードポリシーの適切な設定と Okta Workflows の自動化機能を組み合わせることによって、セキュリティインシデントの早期発見と迅速かつ確実な対応を実現することが可能になります。ぜひ、この機能を導入して、組織全体のセキュリティ体制の強化にお役立てください。
