.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)
こんにちは、 ネクストモード株式会社のhagiです。 引き続き、Okta社が主催する米国の年次イベント「Oktane」をレポートしています。
はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
当エントリは『ネクストモード フルリモート業務を実現するSaaS活用&カルチャー Advent Calendar 2024』3日目のエントリです。
ネクストモード株式会社では、設立時より基本的に全員フルリモートで働いています。
就業場所に関しての制限は特に設けてはおらず、ワーケーションや自宅以外からの業務も推奨しています。
働き方は『自由に楽しく効率よく』。社員一人ひとりが自分にマッチした働き方を見つけることができます。
今回のアドベントカレンダー企画では、そんなネクストモードの働き方=フルリモート業務を実現するためにSaaSをどのように活用しているか、
また働き方のベースとなっている『ネクストモードのカルチャー』をどのように絡めて日々業務を遂行しているかについて
メンバー個々のユースケースや実践例、想いなどを様々な切り口でご紹介します。
今回はIDaaS製品のOkta WICを利用してリモートワーク環境下でもセキュアに働くための設定をご紹介していきます。
Okta WICによるセキュリティ強化
リモートワーク環境でセキュアに業務を遂行するためにOktaは様々な側面からアプローチが可能です
今回は機能の一部を抜粋してご紹介します
シングルサインオン(SSOライセンス)
Otkaのメイン機能であるシングルサインオンを活用することでアプリケーションとSAMLやOIDC等の認証プロトコルで認証を制御することが可能です
パスワードでのログインから脱却することで認証強化を実現できます
多要素認証(MFAライセンス)
Oktaは様々な認証要素により多要素認証を実現することができます
Okta Verifyなどフィッシング耐性の強い認証要素を利用することで、アプリケーションへの強固な認証が可能です
デバイストラスト(Adaptive MFAライセンス)
SSO、MFAによりアプリケーションへの認証を強固にしても、社給デバイス以外のデバイスからのログインを許容していると抜け道となってしまいます
社給デバイス(管理デバイス)からの認証に制限することで、デバイスからアプリケーションへの認証を一貫して保護することが可能です
デバイス保証(Adaptive MFAライセンス)
デバイストラストはMDMソリューションにより証明書をデバイスに配布することで可能となりますが、MDMによる端末管理をできていない場合はデバイス保証(Device Assurance)により、まずは特定の条件に合致したデバイスからのみアクセス可能とするのがよいでしょう
シングルサインオン
Oktaとアプリケーションを連携する方法はざっくりと下記2パターンあります
- SAML, OIDC, WS-Federationでの認証
- ID / Passwordでの認証(Secure Web Authentication)
1の方式ではアプリケーションにパスワードなしで認証することが可能となり、パスワードの運用から開放されます
SAML等に対応するためにアプリケーション側の追加オプションが必要なケースもありますが、可能であれば実施しない手はないでしょう
OktaにはOkta Integration Network(OIN)と呼ばれるSAMLなどの設定が事前定義されたアプリケーションがありますので、会社で利用しているアプリケーションが対応しているかどうか確認してみましょう
例:Okta管理画面 → アプリケーション → アプリカタログを参照 → 機能のSAMLにチェック
多要素認証
Oktaが対応している認証要素はサードパーティ製品も含めて所有・生体・知識の要素で多岐に渡ります
Oktaが提供する認証要素であるOkta VerifyによるOkta FastPassという認証方式はハードウェア保護に対応しており、フィッシング耐性のある強固な認証が実現可能です
また、上記の認証要素を用いてアプリケーション毎に認証ポリシーを細かく制御することができるため、「重要なデータを保存しているアプリケーションでは、認証にフィッシング耐性やハードウェア保護が必要という制約をつける」といった制御が可能です
例:Okta管理画面 → セキュリティ → 認証ポリシー →特定のアプリに紐づく認証ポリシーのルールを追加 / 編集
デバイストラスト
社給デバイスに限ってOktaの認証を許可するためには、Adaptive MFAライセンスで提供されるデバイストラストという機能を利用します
デバイスにOkta Verifyをインストールし、デバイスに関連付けられたユーザープロファイルがMDMソリューションによって管理されていると、Okta上で該当端末が管理対象として認識されます
この情報をもとに管理対象デバイスのみ認証を許可する認証ポリシーを設定することが可能です
例:Okta管理画面 → セキュリティ → 認証ポリシー →特定のアプリに紐づく認証ポリシーのルールを追加 / 編集
MDMソリューションによる管理証明については、OSやMDMによって方法が異なるため本エントリーでは触れませんが、設定については一例にはなりますが弊社メンバーが書いたMicrosoft Intuneでのデバイス制御のブログをご覧ください
デバイス保証
Adaptive MFAライセンスで実現できることの一つとして、デバイス保証ポリシー(Device Assurance Policy)の定義があります
MDMソリューションを利用していない企業ではデバイストラストの実現が難しいため、そういった場合に利用することができます
※ Okta Workflowsを利用した簡易的なデバイス制御は可能ですが、今回は割愛します
デバイス保証の機能はOkta Verifyをインストールしたデバイスにて、Okta Verifyが収集したOSバージョンなどの情報をもとに認証ポリシーにて制御します
制御できる内容の例としては「ディスク暗号化されているか」「OSバージョンが会社が定めた規定より古くないか」などです
例:Okta管理画面 → セキュリティ → デバイス保証ポリシー → ポリシーの追加
上記設定によってデバイス保証の定義ができたので、アプリケーションに割り当てている認証ポリシーでデバイス保証ポリシーを設定します
例:Okta管理画面 → セキュリティ → 認証ポリシー →特定のアプリに紐づく認証ポリシーのルールを追加 / 編集
直近のアップデートでデバイス保証ポリシーに準拠していない端末が対処するまでの猶予期間を設定できるようになりましたので、下記エントリーも合わせてご覧ください
さいごに
Oktaの導入はIDaaSによるID統制を実現するためにとても重要なステップです
一方で、Oktaを導入してID統制をするだけでなく、本エントリーで記載したようなセキュリティ強化も合わせて進めていくことがリモートワークを支える重要な要素となってきます
すべてを一気に実現するのは難しいですが、社内のシステム導入の状況に合わせて、できるところから対策を進めて強固な業務環境を整えていきましょう!
明日4日目はおくのさんによるエントリとなります。お楽しみに!
