2023年12月6日(水) - OneLogin Protectにナンバーマッチング機能を追加提供

2023年12月6日

OneLogin ご契約の皆様

ペンティオ株式会社
IDaaS事業部
OneLogin Engineer&Support Group

平素よりお世話になっております。

ペンティオ株式会社 OneLoginサポートチームです。

米国One Identityは、2023年11月7日に実施したNovember 2023 Releaseにおいて、OneLogin Protect アプリでナンバーマッチング認証に対応するアップデートを実施しました。スマートフォン向けモバイルOTPアプリ「OneLogin Protect」に新たにナンバーマッチング機能が追加され、ユーザーポリシーで利用設定が可能となります。iOS及びAndroidどちらのOSもサポートしております。Early Preview期間中は機能アクティベーションの申請後にご利用頂けるようになります。

ナンバーマッチングとは

ナンバーマッチングとは、OneLoginへのログイン時にブラウザのログイン画面に表示された数字をOneLogin Protectアプリのログイン承認画面に入力し、数値が一致するかを検証することで認証強度の向上と意図しないMFAの承認操作を防止する機能です。

この機能を有効化することで、攻撃者から多要素認証疲労攻撃（MFA Fatigue Attack）を受けた場合でも、攻撃者の画面に表示された数字をOneLogin Protectアプリ上で入力しなければログインが出来ないため、管理者に装ったメール・SMSなどでエンドユーザーが騙された場合や、通知を止めるために承認してしまう心理が働いても仕組み上アクセスを承認できないことから、今まで以上にOneLogin Protectを利用したMFA要求の安全性が向上します。

OneLoginでは2022年に攻撃が流行した際に緊急リリースとしてOneLogin Protectのプッシュ通知無効化機能を提供いたしましが、ユーザーの利便性とセキュリティの両立をより実現出来るナンバーマッチング機能を提供することで、みなさまに安心と安全を提供します。

ご利用の前提条件

• OneLogin の有効なサブスクリプション契約をお持ちであること
  • OneLogin Protect がご利用頂けるすべてのプランでお使いいただけます
• OneLogin Protect の最新バージョンを利用していること
• OneLogin 管理者がユーザーポリシーでナンバーマッチングを無効化していないこと

Early Preview の注意事項

OneLoginのEarly Previewは、お客様に新機能を先行してご利用いただくことで製品へのフィードバックを頂くことや多くのお客様環境で実際にご利用頂く中で課題点等を洗い出すために提供を行うものとなります。クローズドβ等のβテストを実施したあとのお客様へ新機能を公開する前段階での提供とはなりますが、細かなバグが含まれている可能性や、お客様に予告なくサービスの提供を中断する可能性、また製品版に必ず搭載されることをお約束するものではございません。

Early Preview 版の特性をご理解のうえ、ご申請・ご利用のほどよろしくお願い申し上げます。

ご利用にあたって必要なアクション

2024年3月8日現在、ナンバーマッチング機能は Early Preview として提供されています。そのためご利用を希望されるお客様はペンティオヘルプセンターにログインのうえ、リクエストを送信 ボタンから OneLogin 個別機能アクティベーション申請フォーム を選択してお問い合わせください。

アクティベート希望の機能から ★Number Matching ［Early Preview］をご選択ください。タイトルとお問い合わせ内容は必須項目となりますので、適宜ご入力頂けますと幸いです。

機能アクティベート後の設定

ナンバーマッチング機能がアクティベートされると、既存のユーザーポリシーでは動作に影響がないように自動的に無効化されています。新しいユーザーポリシーを作成する際はデフォルトで有効化されている点にご注意ください。

以下、既存ユーザーポリシーを変更してナンバーマッチングを適用する方法をご案内いたします。

作業上の注意事項

ユーザーポリシーの変更にあたって注意事項を確認します。

• 変更操作者はOneLoginのSuper UserまたはAccount Ownerである必要があります
• 既にユーザーポリシーでOneLogin ProtectをMFAとして設定してあるポリシーの変更を行います
  • 未設定の場合には別途OneLogin Protectを利用するための設定を先に実施してください
• ナンバーマッチングの利用には最新版のOneLogin Protectアプリが必要です
  • ナンバーマッチング非対応のバージョンを利用している場合はナンバーマッチングは求められず、通常通り承認操作が可能です
• ナンバーマッチング認証を利用することについて事前にエンドユーザーに周知してください
• OneLogin管理者やテストユーザーにだけ割当されたテストポリシーで有効化、動作検証を行うことを強く推奨いたします。その後、社内への十分な告知ののちエンドユーザーに展開します

既存ユーザーポリシーの変更方法

1. OneLogin に管理者としてログインします
2. OneLogin の管理コンソールを開き、Security > Policies メニューを開きます
   
3. 変更したいユーザーポリシーをクリックしてポリシー詳細画面を開きます
   
4. 左側のメニューから MFA タブ をクリックします
   
5. Disable OneLogin Protect push notifications セクション > ☑ Disable Number Matching のチェックを外して［Save］をクリックします
   

以上の操作により、変更したユーザーポリシーが割当されているユーザーは直ちにナンバーマッチング認証を求められるようになり、次回のログインから実際にご利用頂けるようになります。

よくあるご質問

Q1. ナンバーマッチングの利用に追加のライセンス費用は発生しますか？

→ 追加のライセンス費用が発生することはございません。OneLogin Protect（MFA）がご利用頂けるOneLoginの有効なサブスクリプションをお持ちのお客様テナントでは追加の費用発生なくこの機能をご利用いただけます。Starterプラン、SSOプランなどMFAを含まないお客様については、機能アクティベーションの前にライセンスのアップグレードが必要となりますので担当営業までご連絡ください。

Q2. 古いOneLogin Protect アプリを利用しているユーザーがログインできなくなりませんか？

→ ログイン出来なくなることはございません。OneLoginは、ログインしようとするユーザーのOneLogin Protect バージョンに応じてナンバーマッチング対応バージョンであればナンバーマッチングを要求しますが、非対応バージョンのときには従来どおりOTPコードの入力やプッシュ通知への応答のみで認証が可能でございます。

Q3. RADIUSでOneLogin Protectを利用しています。ナンバーマッチングを有効化しても認証できなくなることはありませんか？

→ 認証出来なくなることはございません。OneLoginがご提供するRADIUSサービスにおいてMFAを有効化し、OneLogin Protectをご利用のユーザー様がいらっしゃる場合でもナンバーマッチング機能のアクティベーションは可能です。

ナンバーマッチングは原則ブラウザでのログインなど番号が表示出来るログインフローでしか利用されないため、RADIUSではナンバーマッチングを有効化している環境、ユーザーであっても従来どおりOTPコードの入力やプッシュ通知への応答のみで認証が可能でございます。

実際に弊社検証機（Fortigate FG-40F）を用いて、OneLogin RADIUSを認証サーバーとするリモートアクセスVPN機能で動作検証を実施し、正常に動作することを確認しております。

Q4. エンドユーザーがナンバーマッチングを利用しているかログで確認できますか？

→ 現時点では監査ログにナンバーマッチングの利用有無を区別できる情報は記録されません。本機能は2024年3月8日現在はEarly Previewのため、今後製品版としてGA（一般提供）された際に改めて仕様について確認し、お伝えさせていただきます。なお、強いご要望がございましたらぜひ IDEAS Portal へのご意見の投稿をお願いいたします。

Q5. いつGA（一般提供開始）となりますか？

→ 2024年3月8日時点では、GA予定日が未定となっております。現在のところ大きな不具合や問題等は発生していないため、ご興味あるお客様はEarly Previewであるため予告なくサービス提供の中断や不具合発生の可能性についてご同意いただいたうえで、ぜひ先行テストをご活用下さい。