ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド
11gリリース1 (11.1.1)
E67347-01
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

11 OAAMのセキュリティおよび自動学習ポリシー

この章では、認証のメイン・シナリオのフローと、OAAMベース・スナップショットの一部として製品に付属しているポリシーおよびルールについて説明します。この章では、付属の即時利用可能な自動学習ポリシーについても説明します。

ポリシーは、インポートする個別のポリシー・ファイルとしても含まれますが、質問、エンティティおよびパターンをインポートして、自動学習関連のプロパティを設定する必要があります。

11.1 認証フロー

図11-1に、Oracle Adaptive Access Managerによって保護されているアプリケーションにユーザーがログインした場合の、OAAMサーバーの認証フローを示します。

図11-1 認証フロー

認証フローが示されています。

11.2 パスワードを忘れた場合のフロー

パスワードを忘れた場合のフローでは、ユーザーはすべてのチャレンジ質問に正しく回答した後で各自のパスワードをリセットできます。


注意:

パスワードを忘れた場合の機能には、Oracle Identity Managerの統合が必要です。


図11-2 パスワードを忘れた場合のフロー

パスワードを忘れた場合のフローが示されています。

11.3 パスワード・リセット(KBAチャレンジ)フロー

チャレンジのリセットにより、ユーザーは各自のチャレンジの登録をリセットできます。

図11-3に、パスワード・リセットのフローを示します。

図11-3 パスワードのリセット

パスワード・リセット・フローが示されています。

11.4 OAAMのチェックポイントおよび役割

次の表に、OAAMのチェックポイントおよびその役割をリストします。

表11-1 OAAMのチェックポイントおよび役割

チェックポイント名 役割

認証前

要求がブロックされるかどうかを決定します。

デバイス識別

デバイスの識別方法を決定します。

AuthentiPad

使用する認証パッドを決定します。

認証後

要求が許可されるかブロックされるかを決定します。

登録

どのユーザー情報が登録保留中であるかを判別します。

チャレンジ

ユーザーへのチャレンジに使用するメカニズムを決定します。

CSR KBAチャレンジ

カスタマがサービスを求めて電話した場合に適用されます。設定のリセットは、CSR KBAチャレンジを通じて実行されます。

パスワードを忘れた場合

チャレンジに基づいて実行される、パスワードをリセットするアクティビティ。

プリファレンス

ユーザー情報(イメージ、フレーズ、OTP設定など)を設定します。


11.5 即時利用可能なOAAMポリシー

OAAMには、疑いのあるアクティビティを検出するための、即時利用可能な事前作成されたポリシーが標準で組み込まれています。

11.5.1 OAAM認証前

このポリシーは、不正なログイン試行をパスワードが入力される前に阻止します。

11.5.1.1 ポリシー・サマリー

表11-2に、OAAM認証前ポリシーの一般的なサマリーを示します。

表11-2 OAAM認証前ポリシー・サマリー

サマリー 詳細

目的

不正なログイン試行をパスワードが入力される前に阻止します。

スコアリング・エンジン

最大

重み

100

グループ・リンク

すべてのユーザー


11.5.1.2 OAAM認証前フロー図

図11-4に、OAAM認証前フローを示します。

図11-4 OAAM認証前フロー

OAAM認証前ブロックが示されています。

11.5.1.3 OAAM認証前: ルールの詳細

下の表に、OAAM認証前ポリシーのルールの条件およびパラメータを示します。

表11-3 OAAM認証前ポリシー・ルールの詳細

ルール ルールの条件およびパラメータ 結果

ブラックリストに記載された国

ロケーション: 国グループ内

リストにある = TRUE

国グループ内の国=OAAM制限付き国

アクション = OAAMブロック

アラート = OAAM制限付き国

スコア = 1000

重み = 100

ブラックリストに記載されたデバイス

デバイス: グループ内デバイス

グループ内 = TRUE

グループ内デバイス = OAAM制限付きデバイス

アクション = OAAMブロック

アラート = OAAM制限付きデバイス

スコア = 1000

重み = 100

使用されたWebZIP

デバイス: ブラウザ・ヘッダー・サブストリング

チェックするサブストリング = WEBZIP

アクション = OAAMブロック

アラート = OAAM制限付きソフトウェア

スコア = 1000

重み = 100

ブラックリストに記載されたIP

ロケーション: グループ内IP

リストにある = TRUE

IPリスト = OAAM制限付きIP

アクション = OAAMブロック

アラート = OAAM制限付きIP

スコア = 1000

重み = 100

ブラックリストに記載されたISP

ロケーション: グループ内ISP

リストにある = TRUE

ISPリスト = OAAM制限付きISP

アクション = OAAMブロック

アラート = OAAM制限付きISP

スコア = 1000

重み = 100

ブラックリストに記載されたユーザー

ユーザー: グループ内

グループ内 = TRUE

ユーザー・グループ = OAAM制限付きユーザー

アクション = OAAMブロック

アラート = OAAM制限付きユーザー

スコア = 1000

重み = 100


11.5.1.4 トリガー組合せ

なし

11.5.2 OAAM AuthenticationPad

このポリシーにより、使用するOAAM認証パッドが決定されます。

11.5.2.1 OAAM AuthenticationPadポリシー・サマリー

表11-4に、OAAM AuthentiPadポリシーの一般的なサマリーを示します。

表11-4 OAAM AuthenticationPadポリシーのサマリー

サマリー 詳細

目的

使用するOAAM認証パッドを決定します。

スコアリング・エンジン

平均

重み

100

グループ・リンク

すべてのユーザー


11.5.2.2 OAAM AuthenticationPadのフロー図

図11-5に、OAAM AuthentiPadフローを示します。

図11-5 OAAM AuthenticationPadフロー

OAAM認証パッドが示されています。

11.5.2.3 OAAM AuthenticationPad: ルールの詳細

表11-5に、OAAM AuthenticationPadポリシーのルールの条件およびパラメータを示します。

表11-5 OAAM認証パッド・ポリシー・ルールの詳細

ルール ルールの条件およびパラメータ 結果

チャレンジSMS

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = ChallengeSMS

リストにある場合の戻り値 = TRUE

アクション = OAAMテキスト・パッド

アラート = なし

スコア = 0

登録済のイメージおよびキャプション

ユーザー: 認証イメージ割当済

割当済 = TRUE

アクション = OAAMパーソナライズされたパッド

アラート = なし

スコア = 0

キー・パッド・ユーザー

ユーザー: 認証モード

認証モードは次のとおりです = フル・キーパッド

アクション = OAAM KeyPad

アラート = なし

スコア = 0

チャレンジ電子メール

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = ChallengeEmail

リストにある場合の戻り値 = TRUE

アクション = OAAMテキスト・パッド

アラート = なし

スコア = 0

チャレンジ質問の登録

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = RegisterChallengeQuestion

リストにある場合の戻り値 = TRUE

アクション = OAAM質問パッド

アラート = なし

スコア = 0

モバイル・ブラウザが使用されているかどうかの確認

デバイス: デバイスがモバイル・ブラウザを使用しているかどうかの確認

モバイル・ブラウザ・グループ = OAAMモバイル・ブラウザ・グループ

デフォルトの戻り値 = False

アクション = なし

アラート = OAAMモバイル・ユーザー

スコア = 0

チャレンジ質問

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = ChallengeQuestion

リストにある場合の戻り値 = TRUE

アクション = OAAM質問パッド

アラート = なし

スコア = 0


11.5.2.4 OAAM AuthenticationPad: トリガー組合せ

表11-6に、OAAM AuthentiPadのトリガー組合せを示します。

表11-6 OAAM AuthenticationPadポリシーのトリガー組合せ

説明 組合せの詳細 結果

スナップショットが空(モバイル・ブラウザの検出)

モバイル・ブラウザが使用されているかどうかの確認 = True

チャレンジSMS = 任意

登録済のイメージおよびキャプション = 任意

キー・パッド・ユーザー = 任意

チャレンジ電子メール = 任意

チャレンジ質問 = 任意

チャレンジ質問の登録 = 任意

アクション = OAAM HTMLパッド

アラート = なし

スコア = 0

スナップショットが空(登録されていないユーザー)

モバイル・ブラウザが使用されているかどうかの確認 = 任意

チャレンジ質問の登録 = 任意

チャレンジSMS = False

登録済のイメージおよびキャプション = FALSE

キー・パッド・ユーザー = 任意

チャレンジ電子メール = False

チャレンジ質問 = False

アクション = OAAMテキスト・パッド

アラート = なし

スコア = 0

スナップショットが空(登録済ユーザー)

チャレンジ質問の登録 = 任意

モバイル・ブラウザが使用されているかどうかの確認 = 任意

チャレンジSMS = False

登録済のイメージおよびキャプション = TRUE

キー・パッド・ユーザー = 任意

チャレンジ電子メール = False

チャレンジ質問 = False

アクション = OAAMテキスト・パッド・パーソナライズ済

アラート = なし

スコア = 0


11.5.3 OAAM認証後セキュリティ

このポリシーは、正常に認証された後のリスクのレベルを評価します。許可、ブロック、チャレンジのいずれかのアクションが可能です。

11.5.3.1 OAAM認証後セキュリティ・ポリシーのサマリー

表11-7に、認証後セキュリティ・ポリシーのサマリーを示します。

表11-7 OAAM認証後セキュリティ・ポリシーのサマリー

サマリー 詳細

目的

正常に認証された後のリスクのレベルを評価します。許可、ブロック、チャレンジのいずれかのアクションが可能です。

スコアリング・エンジン

最大

重み

100

グループ・リンク

すべてのユーザー


11.5.3.2 OAAM認証後セキュリティのフロー図

図11-6に、認証後セキュリティのフローを示します。

図11-6 OAAM認証後セキュリティのフロー

OAAM認証後セキュリティが示されています。

11.5.3.3 OAAM認証後セキュリティ: ルールの詳細

表11-8に、OAAM認証後セキュリティ・ポリシーのルールの条件およびパラメータを示します。

表11-8 OAAM認証後セキュリティ・ポリシー・ルールの詳細

ルール ルールの条件およびパラメータの値 結果

アクティブなアノニマイザ

ロケーション: グループ内IP

リストにある = TRUE

グループ内IP = anonymizer_active

アクション = OAAMブロック

アラート = OAAMアクティブなアノニマイザIP

スコア = 1000

疑いがあるアノニマイザ

ロケーション: グループ内IP

リストにある = TRUE

グループ内IP = anonymizer_suspect

アクション = OAAMチャレンジ

アラート = OAAM疑いがあるアノニマイザIP

スコア = 700

不明なアノニマイザ

ロケーション: グループ内IP

リストにある = TRUE

グループ内IP = anonymizer_active

アクション = OAAMチャレンジ

アラート = OAAM不明なアノニマイザIP

スコア = 600

プライベートなアノニマイザ

ロケーション: グループ内IP

リストにある = TRUE

グループ内IP = anonymizer_private

アクション = OAAMチャレンジ

アラート = OAAMプライベートなアノニマイザIP

スコア = 700

リスクのある接続タイプ

ロケーション: グループ内のIP接続タイプ

リストにある = TRUE

グループ内接続タイプ = OAAM高リスクの接続タイプ

アクション = OAAMチャレンジ

アラート = OAAMリスクのある接続タイプ

スコア = 700

最近ブロックされたユーザー

ユーザー: アクション指定時間

チェック・アクション = ブロック

秒 = 28800

次より大きい = 2

アクション = OAAMチャレンジ

アラート = 最近ブロックされたユーザー

スコア = 700

デバイス当たりの最大ユーザー数

デバイス: ユーザー件数

経過秒数 = 2592000

許可される最大ユーザー数 = 5

アクション = OAAMチャレンジ

アラート = OAAMデバイス複数ユーザー

スコア = 500

休眠IP

ロケーション: グループ内のIP接続タイプ

リストにある = FALSE

接続タイプ・グループ = OAAMモバイル接続

ロケーション: IP過剰使用

ユーザー数 = 4

範囲(時間) = 24

および使用されていない日数 = 30

アクション = OAAMチャレンジ

アラート = OAAM休眠IP

スコア = 500

IPからのユーザーの急増

ロケーション: グループ内のIP接続タイプ

リストにある = FALSE

接続タイプ・グループ = OAAMモバイル接続

ロケーション: IPはAOL

AOL = False

ロケーション: IP最大ユーザー数

経過秒数 = 300

最大ユーザー数 = 3

アクション = OAAMチャレンジ

アラート = OAAM IP複数ユーザー

スコア = 600

リスクのある国

ロケーション: 国グループ内

リストにある = TRUE

国グループ内の国 = OAAMモニタリング中の国

アクション = OAAMチャレンジ

アラート = OAAMモニターされる国

スコア = 500

休眠デバイス

デバイス: 過剰使用

ユーザー数 = 4

範囲(時間) = 24

および使用されていない日数 = 30

アクション = OAAMチャレンジ

アラート = OAAM休眠デバイス

スコア = 500

多数の失敗があるデバイス

デバイス: 期間内の指定ステータス以外

認証ステータスは次ではありません = 成功

期間範囲(秒) = 28800

4(回)より大きい

アクション = OAAMチャレンジ

アラート = OAAMデバイスからの多数の失敗

スコア = 600

ユーザー当たりの最大デバイス数

ユーザー: 使用されるデバイスの確認

最大デバイス数 = 2

期間範囲(秒) = 28800

アクション = OAAMチャレンジ

アラート = OAAMユーザーの最大デバイス数

スコア = 300

リスクのあるデバイス

デバイス: リストにある

グループ内 = TRUE

グループ内デバイス = OAAMリスクのあるデバイス

アクション = OAAMチャレンジ

アラート = OAAMリスクのあるデバイス

スコア = 700

デバイス最大速度

デバイス: 最終ログインからの速度

時間内の最終ログイン(秒) = 72000

次を超える1時間当たりのマイル = 600

アクション = OAAMチャレンジ

アラート = OAAMデバイス最大速度

スコア = 700

リスクのあるIP

ロケーション: グループ内IP

リストにある = TRUE

IPリスト = OAAMリスクのあるIP

アクション = OAAMチャレンジ

アラート = OAAMリスクのあるIP

スコア = 700


11.5.3.4 OAAM認証後セキュリティ: トリガー組合せ

なし

11.5.4 OAAM予測分析

このポリシーにより、Oracle Data Minerの予測機能が付加されます。ポリシー内のルールは、Oracle Data Minerが構成されている場合にのみ機能します。

11.5.4.1 OAAM予測分析ポリシーのサマリー

表11-9に、OAAM予測分析ポリシーのサマリーを示します。

表11-9 OAAM予測分析ポリシーのサマリー

サマリー 詳細

目的

Oracle Data Minerの予測機能を付加します。これらのルールは、Oracle Data Minerが構成されている場合にのみ機能します。

スコアリング・エンジン

最大

重み

100

グループ・リンク

リンク・ユーザー


11.5.4.2 OAAM予測分析のフロー図

図11-7に、OAAM予測分析のフローを示します。

図11-7 OAAM予測分析ポリシー・フロー

OAAM予測分析ポリシーが示されています。

11.5.4.3 OAAM予測分析ポリシー: ルールの詳細

表11-10に、OAAM予測分析ポリシーのルールの条件およびパラメータを示します。

表11-10 OAAM予測分析ポリシー・ルールの詳細

ルール ルールの条件およびパラメータ 結果

現在のセッションが不正かどうかの予測

ユーザー: 不正なユーザー・リクエストの確認

分類モデル = OAAM不正なリクエスト・モデル

必要な分類 = 不正

必要な確度の最小値 = 0.70

必要な確度の最大値 = 1.00

エラーの場合のデフォルトの戻り値 = FALSE

アクション = なし

アラート = OAAM不正の疑いがあるリクエスト

スコア = 700

現在のセッションが異常かどうかの予測

ユーザー: 異常なユーザー・リクエストの確認

異常モデル = OAAM異常なリクエスト・モデル

必要な確度の最小値 = 0.60

必要な確度の最大値 = 1.00

エラーの場合のデフォルトの戻り値 = FALSE

アクション = なし

アラート = OAAM異常なリクエスト

スコア = 600


11.5.4.4 OAAM予測分析ポリシー: トリガー組合せ

なし

11.5.5 自動学習(パターン・ベース)ポリシー: OAAMユーザー・プロファイルの有無

このポリシーでは、パターン自動学習が有効かどうかと、ユーザーの過去の動作が記録されているかが確認されます。十分な記録済動作のあるユーザーは独自のプロファイルに対して評価されますが、十分な記録済動作がないユーザーはその他のすべてのユーザーのプロファイルに対して評価されます。

11.5.5.1 「OAAMではユーザーがプロファイルを持ちます」ポリシーのサマリー

表11-11に、「OAAMではユーザーがプロファイルを持ちます」ポリシーのサマリーを示します。

表11-11 自動学習(パターン・ベース)ポリシー: 「OAAMではユーザーがプロファイルを持ちます」サマリー

サマリー 詳細

目的

パターン自動学習が有効かどうかと、ユーザーの過去の動作が記録されているかが確認されます。十分な記録済動作のあるユーザーは独自のプロファイルに対して評価されますが、十分な記録済動作がないユーザーはその他のすべてのユーザーのプロファイルに対して評価されます。

スコアリング・エンジン

最大

重み

100

グループ・リンク

すべてのユーザー


11.5.5.2 「OAAMではユーザーがプロファイルを持ちます」のフロー図

図11-8に、「OAAMではユーザーがプロファイルを持ちます」のフローを示します。

図11-8 自動学習(パターン・ベース)ポリシー: OAAMユーザー・プロファイルの有無のフロー

「OAAMユーザー・プロファイルの有無」ポリシーが示されています。

11.5.5.3 OAAMではユーザーがプロファイルを持ちます: ルールの詳細

表11-12に、「OAAMではユーザーがプロファイルを持ちます」ポリシーのルールの条件およびパラメータを示します。

表11-12 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー・プロファイルの有無

ルール ルールの条件およびパラメータ 結果

ユーザー・プロファイルの有無

システム - ブール・プロパティの確認

プロパティ = vcrypt.tracker.autolearning.enabled

値 = True

デフォルトの戻り値 = True

システム - ブール・プロパティの確認

プロパティ = vcrypt.tracker.autolearning.use.auth.status.for.analysis

値 = True

デフォルトの戻り値 = False

ユーザー: ログイン数の確認

現在のユーザーのみをチェック = True

認証ステータス = 成功

秒 = 0

次を超えるログイン = 7

エラーが戻された場合 = False

現在のリクエストを検討するかを考慮 = True

アクション = なし

アラート = なし

スコア = 0


11.5.5.4 OAAMではユーザーがプロファイルを持ちます: トリガー組合せ

表11-13に、「OAAMではユーザーがプロファイルを持ちます」のトリガー組合せを示します。

表11-13 自動学習(パターン・ベース)ポリシー: OAAMユーザー・プロファイルの有無のトリガー組合せ

説明 組合せの詳細 結果

ユーザーのプロファイルに動作が十分に記録されている場合、このポリシーによって評価されます。

ユーザーがプロファイルを持ちます = TRUE

ポリシー = OAAMユーザー対自分自身

アラート = なし

ユーザーのプロファイルに動作が十分に記録されていない場合、このポリシーによって評価されます。

ユーザーがプロファイルを持ちます = 任意

ポリシー = OAAMユーザー対すべてのユーザー

アラート = なし


11.5.6 自動学習(パターン・ベース)ポリシー: OAAMユーザー対自分自身

ユーザーが十分な量の履歴データを取得している場合、このポリシーは、現在の動作を自分の履歴動作に対して評価するために使用されます。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。

11.5.6.1 「OAAMユーザー対自分自身」ポリシーのサマリー

表11-14に、OAAMユーザー対自分自身ポリシーのサマリーを示します。

表11-14 自動学習(パターン・ベース)ポリシー: OAAMユーザー対自分自身のサマリー

サマリー 詳細

目的

ユーザーの現在の動作を自身の履歴動作に対して評価するために使用されます。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。

スコアリング・エンジン

最大

重み

100

グループ・リンク

リンク・ユーザー(ネストされたポリシー)


11.5.6.2 OAAMユーザー対自分自身のフロー図

図11-9に、OAAMユーザー対自分自身のフローを示します。

図11-9 自動学習(パターン・ベース)ポリシー: OAAMユーザー対自分自身のフロー

「OAAMユーザー対自分自身」ポリシーが示されています。

11.5.6.3 OAAMユーザー対自分自身: ルールの詳細

表11-15に、OAAMユーザー対自分自身ポリシーのルールの条件およびパラメータを示します。

表11-15 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー対自分自身

ルール ルールの条件およびパラメータ 結果

ISP

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 6

メンバーシップのパターン名 = ユーザー: ISPプロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: ISP

スコア = 600

接続タイプ

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 6

メンバーシップのパターン名 = ユーザー: ASNプロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: 接続タイプ

スコア = 600

ルーティング・タイプ

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 6

メンバーシップのパターン名 = ユーザー: ルーティング・タイプ・プロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: ルーティング・タイプ

スコア = 600

デバイス

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 10

メンバーシップのパターン名 = ユーザー: デバイス・プロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: デバイス

スコア = 700

該当週の日

エンティティ: エンティティは一定期間内で最初のパターン・バケットのメンバーです

メンバーシップのパターン名 = ユーザー: 曜日プロファイリング・パターン

条件がTrue = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 3

パターン・メンバーシップのメンバー・タイプ = ユーザー

初回数 = 1

アクション = OAAMチャレンジ

アラート = OAAMユーザー: 曜日

スコア = 500

国と都道府県

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 10

メンバーシップのパターン名 = ユーザー: 都道府県プロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: 都道府県

スコア = 600

時間

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 3

メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: 時刻

スコア = 500

ASN

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 6

メンバーシップのパターン名 = ユーザー: ASNプロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 1

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: ASN

スコア = 600

エンティティ: エンティティは特定の率より少ないパターンのメンバーです

次より小さいパターン・ヒット率 = 20

メンバーシップのパターン名 = ユーザー: 国プロファイリング・パターン

patternHitPercentより少ないメンバーシップ件数 = True

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 3

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = OAAMユーザー: 国

スコア = 700


11.5.6.4 OAAMユーザー対自分自身: トリガー組合せ

なし

11.5.7 自動学習(パターン・ベース)ポリシー: OAAMユーザー対すべてのユーザー

ユーザーが十分な量の履歴データを取得していない場合、このポリシーは、現在の動作を他のすべてのユーザーの履歴動作に対して評価するために使用されます。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。

11.5.7.1 OAAMユーザー対すべてのユーザー・ポリシーのサマリー

表11-16に、OAAMユーザー対すべてのユーザー・ポリシーのサマリーを示します。

表11-16 自動学習(パターン・ベース)ポリシー: OAAMユーザー対すべてのユーザーのサマリー

サマリー 詳細

目的

ユーザーの現在の動作を他のすべてのユーザーの履歴動作に対して評価します。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。

スコアリング・エンジン

最大

重み

100

グループ・リンク

リンク・ユーザー(ネストされたポリシー)


11.5.7.2 OAAMユーザー対すべてのユーザーのフロー図

図11-10に、OAAMユーザー対すべてのユーザーのフローを示します。

図11-10 自動学習(パターン・ベース)ポリシー: OAAMユーザー対すべてのユーザー・フロー

OAAMユーザー対すべてのユーザーのフローが示されています。

11.5.7.3 OAAMユーザー対すべてのユーザー: ルールの詳細

表11-17に、OAAMユーザー対すべてのユーザー・ポリシーのルールの条件およびパラメータを示します。

表11-17 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー対すべてのユーザー

ルール ルールの条件およびパラメータ 結果

ユーザー: 曜日

エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む)

次より小さいパターン・バケットのヒット率 = 5

メンバーシップのパターン名 = ユーザー: 曜日プロファイリング・パターン

パターン・ヒット率より少ないメンバーシップ数 = true

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 6

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = ユーザー: 曜日

スコア = 300

ユーザー: 国

エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む)

次より小さいパターン・バケットのヒット率 = 3

メンバーシップのパターン名 = ユーザー: 国プロファイリング・パターン

パターン・ヒット率より少ないメンバーシップ数 = true

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 6

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = ユーザー: 国

スコア = 500

ユーザー: 時刻

エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む)

次より小さいパターン・バケットのヒット率 = 5

メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン

パターン・ヒット率より少ないメンバーシップ数 = true

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 6

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = ユーザー: 時刻

スコア = 300

ユーザー: 接続タイプ

エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む)

次より小さいパターン・バケットのヒット率 = 5

メンバーシップのパターン名 = ユーザー: 接続タイプ・プロファイリング・パターン

パターン・ヒット率より少ないメンバーシップ数 = true

パターン・メンバーシップの期間タイプ = 月

パターン・メンバーシップの期間 = 6

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = ユーザー: 接続タイプ

スコア = 500

ユーザー: ロケール

エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む)

次より小さいパターン・バケットのヒット率 = 3

メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン

パターン・ヒット率より少ないメンバーシップ数 = true

パターン・メンバーシップの期間タイプ = 年

パターン・メンバーシップの期間 = 6

パターン・メンバーシップのメンバー・タイプ = ユーザー

アクション = OAAMチャレンジ

アラート = ユーザー: ロケール

スコア = 500


11.5.7.4 OAAMユーザー対すべてのユーザー: トリガー組合せ

なし

11.5.8 OAAM登録

このポリシーを使用して、登録する必要があるユーザー情報を決定します。

11.5.8.1 OAAM登録ポリシーのサマリー

表11-18に、OAAM登録ポリシーのサマリーを示します。

表11-18 OAAM登録ポリシーのサマリー

サマリー 詳細

目的

ユーザー情報のどの部分を登録する必要があるかを決定します。

スコアリング・エンジン

重み付け平均

重み

100

グループ・リンク

すべてのユーザー


11.5.8.2 OAAM登録のフロー図

図11-11に、OAAM登録フローを示します。

図11-11 OAAM登録フロー

OAAM登録フローが示されています。

11.5.8.3 OAAM登録: ルールの詳細

表11-19に、OAAM登録ポリシーのルールの条件およびパラメータを示します。

表11-19 OAAM登録ポリシー・ルールの詳細

ルール ルールの条件およびパラメータ 結果

登録の確認

ユーザー: アカウント・ステータス

ユーザー・アカウント・ステータス = アクティブ

次である = FALSE

アクション = OAAM登録

アラート = なし

スコア = 0

質問の登録

ユーザー: 質問ステータス

ユーザー質問ステータス = 設定

次である = FALSE

アクション = OAAMチャレンジ質問の登録

アラート = なし

スコア = 0

4回以上スキップされた登録

ユーザー: 期間内のアクション件数

チェックポイント(オプション) = なし

アクション = ユーザー登録(オプション)

秒 = 300

カウント・アクションはセッションごとに1回のみ = TRUE

次より大きい = 3

アクション = OAAM登録必須

アラート = なし

スコア = 0

ユーザー情報の登録

ユーザー: 情報の確認

確認するカンマ区切り値へのキー = RequiredChallengeInfo

情報が設定されている場合の戻り値 = FALSE

アクション = OAAMユーザー情報の登録

アラート = なし

スコア = 0

イメージおよびキャプションの登録

ユーザー: 認証イメージ割当済

割当済 = FALSE

アクション = OAAMプリファレンスの登録

アラート = なし

スコア = 0


11.5.8.4 OAAM登録: トリガー組合せ

なし

11.5.9 OAAMチャレンジ

このポリシーは、ユーザーへのチャレンジ方法を決定します。このポリシーのすべての意思決定は、トリガー組合せを使用して実行されます。

11.5.9.1 OAAMチャレンジ・ポリシーのサマリー

表11-20に、OAAMチャレンジ・ポリシーのサマリーを示します。

表11-20 OAAMチャレンジ・ポリシーのサマリー

サマリー 詳細

目的

ユーザーへのチャレンジ方法を決定します。このポリシーのすべての意思決定は、トリガー組合せを使用して実行されます。

スコアリング・エンジン

重み付け平均

重み

100

グループ・リンク

すべてのユーザー


11.5.9.2 OAAMチャレンジのフロー図

図11-12に、OAAMチャレンジ・フローを示します。

図11-12 OAAMチャレンジ・フロー

OAAMチャレンジ・フローが示されています。

11.5.9.3 OAAMチャレンジ: ルールの詳細

表11-21に、OAAMチャレンジ・ポリシーのルールの条件およびパラメータを示します。

表11-21 OAAMチャレンジ・ポリシー・ルールの詳細

ルール ルールの条件およびパラメータ 結果

SMS試行失敗の最大数

ユーザー: OTP失敗の確認

OTPチャレンジ・タイプ = ChallengeSMS

次以上の失敗数 = 3

次以上の場合 = TRUE

アクション = なし

アラート = なし

スコア = 0

電子メール試行失敗の最大数

ユーザー: OTP失敗の確認

OTPチャレンジ・タイプ = ChallengeEmail

次以上の失敗数 = 3

次以上の場合 = TRUE

アクション = なし

アラート = なし

スコア = 0

質問試行失敗の最大数

ユーザー: チャレンジの最大失敗数

次以上の失敗数 = 3

現在の質問件数のみですか。 = False

次以上の場合の戻り値 = True

アクション = なし

アラート = なし

スコア = 0

アクティブな質問

ユーザー: 質問ステータス

ユーザー質問ステータス = 設定

次である = True

アクション = なし

アラート = なし

スコア = 0

チャレンジ電子メール使用可能

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = ChallengeEmail

リストにある場合の戻り値 = True

アクション = なし

アラート = なし

スコア = 0

チャレンジSMS使用可能

セッション: カンマ区切り値内にある値の確認

パラメータ・キー = AvailableChallengeTypes

確認する値 = ChallengeSMS

リストにある場合の戻り値 = True

アクション = なし

アラート = なし

スコア = 0

高リスク・スコアの確認

セッション: リスク・スコア分類の確認

確認するリスク・スコア分類 = 高リスク

エラーの場合に返すデフォルト値 = False

アクション = なし

アラート = なし

スコア = 0


11.5.9.4 OAAMチャレンジ: トリガー組合せ

表11-22に、OAAMチャレンジのトリガー組合せを示します。

表11-22 OAAMチャレンジのトリガー組合せ

説明 組合せの詳細 結果

リスク・スコアが「高」以外でユーザーが登録されていない場合、そのユーザーを登録できます

高リスク・スコアの確認 = False

アクティブな質問 = False

チャレンジ電子メール使用可能 = False

チャレンジSMS使用可能 = False

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = 任意

SMS試行失敗の最大数 = 任意

ポリシー = なし

アクション = OAAM許可

アラート = なし

スコア = 0

リスク・スコアが「高」でユーザーがSMSに登録されており最大数のSMSチャレンジに失敗しなかった場合、SMSでチャレンジします。

高リスク・スコアの確認 = TRUE

アクティブな質問 = 任意

チャレンジ電子メール使用可能 = 任意

チャレンジSMS使用可能 = TRUE

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = 任意

SMS試行失敗の最大数 = FALSE

ポリシー = なし

アクション = OAAMチャレンジSMS

アラート = なし

スコア = 0

リスク・スコアが「高」でユーザーが電子メールに登録されており電子メール・チャレンジに最大回数失敗しなかった場合、電子メールでチャレンジします。

高リスク・スコアの確認 = 高

アクティブな質問 = 任意

チャレンジ電子メール使用可能 = TRUE

チャレンジSMS使用可能 = 任意

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = FALSE

SMS試行失敗の最大数 = 任意

ポリシー = なし

アクション = OAAMチャレンジ電子メール

アラート = なし

スコア = 0

ユーザーのチャレンジ質問がアクティブで質問の最大チャレンジ数に失敗しなかった場合、質問でチャレンジします

高リスク・スコアの確認 = 任意

アクティブな質問 = True

チャレンジ電子メール使用可能 = 任意

チャレンジSMS使用可能 = 任意

質問試行失敗の最大数 = True

電子メール試行失敗の最大数 = 任意

SMS試行失敗の最大数 = 任意

ポリシー = なし

アクション = OAAMチャレンジ質問

アラート = なし

スコア = 0

ユーザーがチャレンジSMSに失敗せずSMSに登録されている場合、OTPでチャレンジします。

高リスク・スコアの確認 = 任意

アクティブな質問 = 任意

チャレンジ電子メール使用可能 = 任意

チャレンジSMS使用可能 = TRUE

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = 任意

SMS試行失敗の最大数 = FALSE

ポリシー = なし

アクション = OAAMチャレンジSMS

アラート = なし

スコア = 0

ユーザーが電子メールに登録されており電子メール・チャレンジに最大回数失敗しなかった場合、電子メールでチャレンジします。

高リスク・スコアの確認 = 任意

アクティブな質問 = 任意

チャレンジ電子メール使用可能 = TRUE

チャレンジSMS使用可能 = 任意

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = FALSE

SMS試行失敗の最大数 = 任意

ポリシー = なし

アクション = OAAMチャレンジ電子メール

アラート = なし

スコア = 0

ユーザーが質問またはOTPに登録されておらずリスク・スコアが「高」の場合はブロックします。このブロックは、一時許可機能を使用してオーバーライドできます。

高リスク・スコアの確認 = TRUE

アクティブな質問 = False

チャレンジ電子メール使用可能 = FALSE

チャレンジSMS使用可能 = FALSE

質問試行失敗の最大数 = 任意

電子メール試行失敗の最大数 = 任意

SMS試行失敗の最大数 = 任意

ポリシー = なし

アクション = OAAMブロック

アラート = なし

スコア = 0

ユーザーがすべてのタイプのチャレンジ・メカニズムに回答できなかった場合、チャレンジ・ブロックを行います。注意: このブロックは、一時許可機能を使用してオーバーライドすることはできません。

結果付きのすべてのルール = 任意

ポリシー = なし

アクション = OAAMチャレンジ・ブロック

アラート = なし

スコア = 0


11.5.10 OAAMカスタマ・ケア質問依頼

このポリシーにより、ユーザーにアクティブな質問があるかどうか、チャレンジの質問がまだ残っているか、および失敗したチャレンジ数が判別されます。

11.5.10.1 OAAMカスタマ・ケア質問依頼ポリシーのサマリー

表11-23に、OAAMカスタマ・ケア質問依頼ポリシーのサマリーを示します。

表11-23 OAAMカスタマ・ケア質問依頼ポリシー

サマリー 詳細

目的

ユーザーにアクティブな質問があるかどうか、チャレンジの質問がまだ残っているか、および失敗したチャレンジ数が判別されます。

スコアリング・エンジン

重み付け最大

重み

100

グループ・リンク

すべてのユーザー


11.5.10.2 OAAMカスタマ・ケア質問依頼: ルールの詳細

表11-24に、OAAMカスタマ・ケア質問依頼ポリシーのルールの条件およびパラメータを示します。

表11-24 OAAMカスタマ・ケア質問依頼ルールの詳細

ルール ルールの条件およびパラメータ 結果

質問なし

ユーザー: 質問ステータス

ユーザーに登録済の質問がない場合にトリガーされます。考えられる2つのシナリオは、未登録のユーザーか、カスタマ・ケアでリセットされた質問を持つユーザーです。

ユーザーの質問ステータス

ユーザー質問ステータス: 未設定

次である = True

アクション = OAAMユーザー質問なし

アラート = なし

スコア = 0

重み = 100

最大回答失敗数

ユーザー: チャレンジ・チャネル失敗

現在の質問に許可されている最大回答数に失敗するとトリガーされます。回数はカスタマ・ケアとオンライン・チャレンジの合計です。

ユーザーの特定のチャネルからの失敗カウンタ値が指定された値を超える場合

チャレンジ・チャネル =<select>

現在の質問件数のみですか。 = True

次以上の失敗数 = 3

アクション = OAAM次の質問

アラート = なし

スコア = 0

重み = 100

ブロックされた質問

ユーザー: チャレンジ質問失敗

失敗のある質問数を確認します。

次以上の失敗数 = 1

アクション = OAAM質問のリセット

アラート = なし

スコア = 0

重み = 100

最大質問失敗数

ユーザー: 質問失敗

ユーザーが許可されている最大質問数に失敗するとトリガーされます。

次以上の失敗数 = 3

アクション = なし

アラート = なし

スコア = 0

重み = 100


11.5.10.3 OAAMカスタマ・ケア質問依頼: トリガー組合せ

なし

11.6 ユース・ケース

次の各項では、セキュリティ・ポリシーのユース・ケース・シナリオについて説明します。

11.6.1 ユース・ケース: WebZIPブラウザ

WebZIPブラウザを使用するすべてのユーザーを、ログイン試行からブロックする必要があります。

  1. user1はWebZipを使用し、アプリケーションにログインしようとします。

  2. user1はブロックされます。

  3. 管理者がOAAM管理にログインします。

  4. 管理者は、user1のセッションを表示します。

  5. 管理者は、ルール: 使用されたWEBZIPがトリガーされたことを確認します。

11.6.2 ユース・ケース: IPのリスクが高いユーザーへのOTPチャレンジ

ユーザーtest userは、登録済のユーザーです。別の国に出張中で、電子メールまたは電話を使用できません。ログインに使用したIPは、リスクの高いIPとみなされたため、SMSによるチャレンジを受けます。自分のOTPにアクセスできないため、SMSによるOTPチャレンジに回答できません。今度はKBA経由のチャレンジを受けましたが、不運なことに、自分のチャレンジ質問への回答を忘れました。質問に対して推測して回答しましたが間違っていました。システムからロックアウトされました。CSRに電話して、自分のIDを証明します。CSRがこのユーザーをロック解除したため、このユーザーは再びログインできるようになります。

  1. OTPがSMSおよび電子メールに設定されています。

  2. 自動学習ポリシー(OAAMではユーザーがプロファイルを持ちます)は無効になっています。

  3. ユーザーは、testuserとして登録されています。

  4. そのIPは、「リスクのあるIP」グループに入っています。

  5. testuserは、アプリケーションにログインしようとします。

  6. testuserは、SMS経由でチャレンジを受けます。

  7. testuserは、回答を3回間違えます。

  8. testuserは、KBA経由でチャレンジを受けます。

  9. testuserは、チャレンジ質問の回答に3回間違えます。

  10. testuserはロックアウトされます。

  11. CSRは、ケースを作成し、次にこのユーザーのチャレンジ質問をロック解除する必要があります。

  12. testuserは、アプリケーションに正常にログインできます。

11.6.3 ユース・ケース: アノニマイザIP - グループから

ユーザーanonymizerが、Quova地理的位置データベースでアノニマイザとみなされているIPを使用してログインします。このユーザーはブロックされ、適切な情報が含まれたケースが自動的に作成されます。調査担当者は、このケースを処理し、処置を追加し、このケースを閉じます。

管理者

  1. 管理者がOAAM管理にログインします。

  2. アクション・テンプレート「カスタマ・ケア・ケースの作成」を使用して、新しいアクション・インスタンスを作成します。

  3. 「認証後」チェックポイント、「ブロック」アクション、「1000」のスコア、およびケース・タイプ「2」を選択します。

ユーザー

  1. 新規ユーザーanonymizerが、アプリケーションにログインしようとします。

  2. このユーザーはブロックされます。

    不正ケースが自動的に作成されます。

調査担当者

  1. 調査担当者は、調査担当者としてOAAM管理にログインします。

  2. ケースを開き、ノートを追加します。

  3. 処置を行ってケースを閉じます。

11.6.4 ユース・ケース: パターン・ベース評価

ユーザーtest user2は、登録済のユーザーです。米国に住んでいるため、すべてのログインは通常、米国で行われています。中国に出張し、そこで何回かログインを実行します。OAAMによって、このことは通常の動作ではないと判断されるため、このユーザーはチャレンジを受けます。

ルール:

  • このルールは、使用されたデバイスが過去20時間内に毎時600マイルよりも高速で移動したと判断される場合にのみトリガーします。トリガーの結果として、チャレンジ・アクション、およびこのチャレンジの生成理由を十分に確認できる適切な情報アラートが発生します。

  • 次のルールは、次の2つの条件が両方ともfalseの場合にのみチャレンジ・アクションをトリガーします。このユーザーは今までこの国を3回以上使用しましたか。

    AND

    このユーザーは、先月にこの国を使用したのが10%を超えていますか。

  • ユーザーが認証後チャレンジを受け、KBAがアクティブで、OTPがアクティブでなく、リスクが600を超える場合、KBA質問を尋ねられる必要があります。