メインコンテンツへスキップ

【要対応】2025年6月16日(月) - OneLogin Active Directory Connector 脆弱性対応に伴うアップデートのお願い

2023年12月6日(水) - OneLogin Protectにナンバーマッチング機能を追加提供

長田 紘典
  • 作成日
  • 更新日

2023年12月6日

OneLogin ご契約の皆様

ペンティオ株式会社
IDaaS事業部
OneLogin Engineer&Support Group

平素よりお世話になっております。

ペンティオ株式会社 OneLoginサポートチームです。

 

米国One Identityは、2023年11月7日に実施したNovember 2023 Releaseにおいて、OneLogin Protect アプリでナンバーマッチング認証に対応するアップデートを実施しました。スマートフォン向けモバイルOTPアプリ「OneLogin Protect」に新たにナンバーマッチング機能が追加され、ユーザーポリシーで利用設定が可能となります。iOS及びAndroidどちらのOSもサポートしております。Early Preview期間中は機能アクティベーションの申請後にご利用頂けるようになります。

最新情報(2025年5月29日現在)

OneLogin Protect のナンバーマッチング認証(Number Matching)機能は、2024年12月に実施されたアップデートリリースにより、Early Preview版から正式に機能リリースとなり、機能アクティベーションの申請なしでご利用頂けるようになりました。

 

ナンバーマッチングとは

ナンバーマッチングとは、OneLoginへのログイン時にブラウザのログイン画面に表示された数字をOneLogin Protectアプリのログイン承認画面に入力し、数値が一致するかを検証することで認証強度の向上と意図しないMFAの承認操作を防止する機能です。

この機能を有効化することで、攻撃者から多要素認証疲労攻撃(MFA Fatigue Attack)を受けた場合でも、攻撃者の画面に表示された数字をOneLogin Protectアプリ上で入力しなければログインが出来ないため、管理者に装ったメール・SMSなどでエンドユーザーが騙された場合や、通知を止めるために承認してしまう心理が働いても仕組み上アクセスを承認できないことから、今まで以上にOneLogin Protectを利用したMFA要求の安全性が向上します。

OneLoginでは2022年に攻撃が流行した際に緊急リリースとしてOneLogin Protectのプッシュ通知無効化機能を提供いたしましが、ユーザーの利便性とセキュリティの両立をより実現出来るナンバーマッチング機能を提供することで、みなさまに安心と安全を提供します。

 

ご利用の前提条件

  • OneLogin の有効なサブスクリプション契約をお持ちであること
    • OneLogin Protect がご利用頂けるすべてのプランでお使いいただけます
  • OneLogin Protect の最新バージョンを利用していること
  • OneLogin 管理者がユーザーポリシーでナンバーマッチングを無効化していないこと

 

作業上の注意事項

ユーザーポリシーの変更にあたって注意事項を確認します。

  • 変更操作者はOneLoginのSuper UserまたはAccount Ownerである必要があります
  • 既にユーザーポリシーでOneLogin ProtectをMFAとして設定してあるポリシーの変更を行います
  • ナンバーマッチングの利用には最新版のOneLogin Protectアプリが必要です
    • ナンバーマッチング非対応のバージョンを利用している場合はナンバーマッチングは求められず、通常通り承認操作が可能です
  • ナンバーマッチング認証を利用することについて事前にエンドユーザーに周知してください
  • OneLogin管理者やテストユーザーにだけ割当されたテストポリシーで有効化、動作検証を行うことを強く推奨いたします。その後、社内への十分な告知ののちエンドユーザーに展開します

 

既存ユーザーポリシーの変更方法

  1. OneLogin に管理者としてログインします

  2. OneLogin の管理コンソールを開き、Security > Policies メニューを開きます
    onelogin_number_matching_howto02.png


  3. 変更したいユーザーポリシーをクリックしてポリシー詳細画面を開きます
    onelogin_number_matching_howto03.png


  4. 左側のメニューから MFA タブ をクリックします
    onelogin_number_matching_howto04.png


  5. Disable OneLogin Protect push notifications セクション > ☑ Disable Number Matchingチェックを外してSave]をクリックします
    onelogin_number_matching_howto05.png

以上の操作により、変更したユーザーポリシーが割当されているユーザーは直ちにナンバーマッチング認証を求められるようになり、次回のログインから実際にご利用頂けるようになります。

 

よくあるご質問

Q1. ナンバーマッチングの利用に追加のライセンス費用は発生しますか?

→ 追加のライセンス費用が発生することはございません。OneLogin Protect(MFA)がご利用頂けるOneLoginの有効なサブスクリプションをお持ちのお客様テナントでは追加の費用発生なくこの機能をご利用いただけます。Starterプラン、SSOプランなどMFAを含まないお客様については、機能アクティベーションの前にライセンスのアップグレードが必要となりますので担当営業までご連絡ください。

 

Q2. 古いOneLogin Protect アプリを利用しているユーザーがログインできなくなりませんか?

→ ログイン出来なくなることはございません。OneLoginは、ログインしようとするユーザーのOneLogin Protect バージョンに応じてナンバーマッチング対応バージョンであればナンバーマッチングを要求しますが、非対応バージョンのときには従来どおりOTPコードの入力やプッシュ通知への応答のみで認証が可能でございます。

 

Q3. RADIUSでOneLogin Protectを利用しています。ナンバーマッチングを有効化しても認証できなくなることはありませんか?

→ 認証出来なくなることはございません。OneLoginがご提供するRADIUSサービスにおいてMFAを有効化し、OneLogin Protectをご利用のユーザー様がいらっしゃる場合でもナンバーマッチング機能のアクティベーションは可能です。

ナンバーマッチングは原則ブラウザでのログインなど番号が表示出来るログインフローでしか利用されないため、RADIUSではナンバーマッチングを有効化している環境、ユーザーであっても従来どおりOTPコードの入力やプッシュ通知への応答のみで認証が可能でございます。

実際に弊社検証機(Fortigate FG-40F)を用いて、OneLogin RADIUSを認証サーバーとするリモートアクセスVPN機能で動作検証を実施し、正常に動作することを確認しております。

 

Q4. エンドユーザーがナンバーマッチングを利用しているかログで確認できますか?

→ 現時点では監査ログにナンバーマッチングの利用有無を区別できる情報は記録されません。本機能は2024年3月8日現在はEarly Previewのため、今後製品版としてGA(一般提供)された際に改めて仕様について確認し、お伝えさせていただきます。なお、強いご要望がございましたらぜひ IDEAS Portal へのご意見の投稿をお願いいたします。

 

Q5. いつGA(一般提供開始)となりますか?

→ 2024年12月の製品アップデートリリースにて、正式に機能がリリースされました。

関連記事

運営会社: ペンティオ株式会社サービス利用規程

CONFIDENTIAL

当ウェブサイトに掲載されている情報は一般公開されているコンテンツを除き、当社の承諾なくご契約者様以外への開示・転送・転載することはできません