※ 本記事は、Edward Luによる”Strengthening Security with Oracle’s Phishing-Resistant MFA and Passwordless Solutions“を翻訳したものです。

2025年3月6日

Steps for strengthening security with Oracle.

脅威の進化と認証の強化の必要性

サイバー脅威が拡大し続ける中、組織は機密情報やデジタル・リソースを保護するために堅牢なセキュリティ対策を採用することで、一歩先を行く必要があります。民間および公的機関は、従来のパスワードベースのセキュリティを超えて、フィッシング耐性のある多要素認証(MFA)、適応型リスクベースのセキュリティ、およびパスワードレス・アクセスを実装する必要があります。公共機関にとって、この必要性は、ベスト・プラクティスから、以下の指令により、多くの地域でコンプライアンス上の義務へと移行しました:

  • 米国政府のゼロトラスト指令: バイデン政権の執行覚書「ゼロ・トラスト・サイバーセキュリティ原則に向けた米国政府の動き」(M-22-09)は、フィッシング耐性のあるMFAを明示的に要求し、ゼロトラスト・アーキテクチャを実装するよう連邦政府機関に命じました。この指令は、連邦ネットワーク全体でのセキュアで検証済みのアクセスを確保するために、より広範なゼロトラスト目標に沿っています。
  • オーストラリアのEssential Eight: オーストラリア・サイバー・セキュリティ・センター(ACSC)は、Essential Eightフレームワーク内でMFAをコア戦略として含んでいます。重要なインフラおよび公共部門組織を保護するために、フィッシングに強いMFA方法を採用することを明示的に推奨しています。
  • 欧州連合のデジタル・オペレーショナル・レジリエンス法 (DORA)では、サイバー脅威に対する運用上のレジリエンスを確保するために、MFAのような堅牢なセキュリティ対策が必要です。

Oracle Advanced Authentication (OAA)、Adaptive Risk Management (OARM)およびUniversal Authenticator (OUA)ソリューションを使用すると、組織は認証エクスペリエンスを簡素化しながら、ユーザーとデータを保護できます。

OAAによるフィッシング耐性のあるMFAの開始

多くの組織は、フィッシング攻撃に対して脆弱なパスワードベースのセキュリティに依存しています。フィッシング攻撃はますます洗練されつつあり、電子メールやSMSベースのワンタイム・パスワード(OTP)などの従来のMFAでは、それを防ぐには十分ではありません。

OAAには、FIDO2ベースの認証などフィッシング耐性のあるMFAファクタを含む、幅広いMFAオプションが用意されています。これらのオプションは、パスワードが侵害された場合でも、攻撃者は追加の検証なしではアクセスできないようにするのに役立ちます。OAAには、次の機能と利点があります:

Oracle Advanced Authentication (OAA).

  • FIDO2認証: FIDO2は、現在利用できる認証方法の中で最も安全なものの1つです。これは、公開鍵と秘密鍵の暗号化を使用して、ネットワーク経由でパスワードを送信せずにユーザーのアイデンティティを検証します。この設定では、ユーザーの秘密鍵は、Yubikey などの FIDO2 セキュリティ キー、または Windows Hello や Mac TouchID などの生体認証対応デバイスに安全に格納され、OAAに格納されている公開鍵と比較してユーザーのアイデンティティを検証します。この方法は、セキュリティ キーやデバイスから秘密鍵が外部に漏れることがないため、攻撃者が偽のWebサイトや電子メールベースの攻撃を使用して秘密鍵を傍受することはできないため、この方法はフィッシングに対する耐性があります。
  • プッシュ通知と時間ベースのOTP: OAAでは、プッシュ通知とOTPベースのMFAもサポートされており、様々なユーザー・シナリオに柔軟に対応できます。たとえば、プッシュ通知を使用すると、ユーザーはモバイル・デバイスのプロンプトを承認するだけで認証でき、許可されたデバイスのみがアクセスを確認できるようになります。

OAAを採用することで、Oracleのお客様はフィッシング・リスクを大幅に削減し、セキュリティ体制を強化できます。

OARMによる適応型セキュリティを追加

ユーザーは、複数の場所、デバイスおよびネットワークからログインすることが多く、複雑なセキュリティ・レイヤーを実装しないと保護することが困難な場合があります。静的認証では、リスクの変更は考慮されません。Oracle Adaptive Risk Management (OARM)は、ユーザーのデバイス、場所、IPアドレス、動作履歴など、コンテキストに基づいて各ログイン試行のリスクを動的に評価します。OARMをOAAと統合することで、お客様は、次の機能を使用して、適応性の高いコンテキスト駆動型セキュリティを確立できます:

  • リスクベースのステップアップ認証: ユーザーの行動が通常のパターンと異なる場合、OARMは追加のセキュリティ対策をトリガーできます。たとえば、従業員が通常オフィスからログインし、その後見慣れていない場所からアクセスしようとすると、OARMによりMFAの検証を求めるプロンプトが表示されます。この構成は、異常な状況でも、正規のユーザーのみがシステムにアクセスできるようにするのに役立ちます。
  • 行動分析とIPインテリジェンス: OARMは、悪意のある可能性のあるアクティビティを検出するためのログイン試行を継続的に評価します。たとえば、リスクの高いIPアドレスまたはフラグが付けられたIPアドレスからログインすると、自動的にユーザーに再認証するか、追加の検証を行うことを要求します。

OARMを統合することで、Oracleのお客様は、正規のユーザーに邪魔されることなく、環境を動的に保護できます。

OUAによるデバイス・レベルのMFAによるセキュリティの強化

MFAは不正アクセスから保護できますが、組織は特定のデバイスを特定のユーザーにバインドし、信頼できるデバイスのみがアクセスを許可されるようにする方法も必要です。Oracle Universal Authenticator (OUA)は、デバイス・レベルのMFAのレイヤーを追加して、お客様が信頼できるデバイスを登録し、デバイス、アプリケーションおよびデータへのアクセスを次の機能でさらに保護できるようにします:

Logging in with Oracle Universal Authenticator.

  • デバイスの信頼と認識: OUAは、ユーザーのデバイスを信頼できるエンドポイントとして登録することで、デバイスベースのMFAを可能にします。そのため、ユーザーは認識されたデバイスでWebまたはデスクトップ・アプリケーションのログインを繰り返す必要がなく、ログインの手間が軽減され、セキュリティが向上します。たとえば、ユーザーが登録済のWindowsマシンからログインすると、優先MFAメソッドを使用してアイデンティティを確認するように求められる場合があります。その後、OAMで保護されたアプリケーションまたはデスクトップ・アプリケーションにシングルサインオンして、信頼できるデバイスに対するスムーズなエクスペリエンスを実現できます。
  • 認識されたデバイスへのシームレスなアクセス: デバイス・レベルの認証により、OAMのお客様は、厳密なセキュリティ要件とコンプライアンス要件を維持しながら、既知のデバイスに対する継続的な認証プロンプトを回避できます。このバランスは、シームレスで安全なエクスペリエンスをユーザーに提供するのに役立ちます。

OUAは、認可されたデバイスとユーザーのみが機密システムにアクセスできるようにし、組織のセキュリティとコンプライアンスを強化するのに役立ちます。

OAA、OARMおよびOUAを使用したパスワードレス・セキュリティへの移行

パスワードは、認証セキュリティで最も弱いリンクの1つです。パスワードは盗まれたり、共有されたり、再利用されたりする可能性があり、攻撃者にとって格好の標的となります。企業は、セキュリティとユーザーの利便性を高めるためのパスワードレス・ソリューションを求めています。

OracleのMFAソリューション(OAA、OARM、OUA)を組み合わせることで、パスワードレス認証へのシームレスな移行が可能になり、次のステップで高いセキュリティを維持しながら従来のパスワードが不要になります:

  1. FIDO2または生体認証ファクタを使用して、フィッシング耐性のあるMFA (OAA)を実装します。
  2. OARMを統合し、ログイン条件に動的に応答する、リスクベースの適応型セキュリティを追加します。
  3. OUAでデバイス信頼を拡張し、デバイス・レベルのログイン用にMFAを追加し、ユーザーを特定のデバイスに関連付け、保護レイヤーを追加します。
  4. FIDO2ベースの生体認証、Oracle Mobile Authenticatorを使用したプッシュ通知、OUAベースのデバイスMFAなど、アプリケーションおよびデバイス・レベルでパスワードなしの安全なログイン・オプションを許可することで、パスワードへの依存を減らします。

この段階的なアプローチにより、組織はパスワードレス認証を段階的に受け入れ、中断を最小限に抑え、ユーザーが完全に準備されるようにすることができます。

OracleのMFAおよびパスワードレス・ソリューションによる、将来に備えたセキュリティ・エコシステムの構築

Oracleのお客様は、Oracle Advanced Authentication、Adaptive Risk Management、Universal Authenticatorを通じてセキュリティを強化する強力な道筋を手に入れました。段階的なアプローチを採用することで、組織は徐々にセキュリティを強化し、パスワードへの依存を減らし、すべてのデバイスとアプリケーションでシームレスな認証エクスペリエンスを実現できます。

フィッシング耐性のあるMFAおよびパスワードレス・セキュリティを今すぐ開始するには、次のドキュメントおよびチュートリアルを参照してください: