9 KBAチャレンジおよびOTPチャレンジのシナリオ

OTP AnywhereとKBAは一緒に使用できます。OTP Anywhereは、KBAチャレンジを補完するために使用することも、KBAのかわりに使用することもできます。

この章には次の項が含まれます:

• KBAおよびOTPの使用

• KBAおよびOTPのリスク範囲

• KBAおよびOTPのシナリオ

9.1 KBAおよびOTPの使用

Oracle Adaptive Access Managerのデプロイメントでは、KBAとOTPの両方を使用することも、それぞれを別々に使用することも、チャレンジ・メカニズムを一切使用しないことも選択できます。デプロイメントでKBAとOTPの両方を使用する場合、セキュリティ・チームは最初に高リスクの状況でOTPを使用し、次にフォールバックとしてKBAを使用することを選択できます。

たとえば、あるユーザーが通常のログイン元である都市の新しいIPアドレスからログインすることは比較的低リスクであり、有効なユーザーであることの検証を追加するには、KBAチャレンジが適切なオプションとなります。ただし、ユーザーが以前に使用したことがないアクセス元のデバイスとロケーションを使用して$1000以上の資金決済を試み、ユーザーがそれまで決済を行ったことがない場合、OTP Anywhereなどのより強力な手段が必要となります。

カスタマがKBAとOTPの両方を有効にしている場合、プロパティを介して優先度を構成できます。デフォルトでは、最初に、高リスクの状況でOTPチャレンジが実行され、次に、KBAチャレンジが実行されます。

9.2 KBAおよびOTPのリスク範囲

KBAチャレンジは、500から700のリスク範囲のスコアに適しています。OTPチャレンジは、701から900の範囲のスコアに適しています。900以上のスコアの場合、トリガーされるアクションは「ブロック」である必要があります。ユーザーは、スコアが500未満の場合に続行を許可される必要があります。

9.3 KBAおよびOTPのシナリオ

この章では、KBAおよびOTPのシナリオについて説明します。

• 常にチャレンジ、グループごと

• 高リスク、常にチャレンジによるCSR OTPプロファイル・リセット、グループごと

• 未登録低リスク・ユーザー(リスク・スコア500以下)

• 登録済低リスク・ユーザー(リスク・スコア500以下)

• 未登録高リスク・ユーザー(リスク・スコア500以上)

• 登録済高リスク・ユーザー(リスク・スコア500以上)

• 高リスク・ロックアウトの登録

• 高リスク除外

• 複数バケット・パターンによるOTPチャレンジ

9.3.1 常にチャレンジ、グループごと

あるユーザーのグループを、ログインするたびに(他の要因に関係なく)高リスクとみなす必要がある場合は、そのユーザーのグループにOTP(高リスク)で常にチャレンジするようにポリシーを構成できます。

管理者

1. OAAM管理にログインします。

2. 「High Risk Users」グループを作成し、グループに高リスク・ユーザーを追加します。

3. 次の値を使用してアクション・グループ「High Risk User」を作成します。

   アラート・タイプ: 不正

   アラート・レベル: 高

   アラート・メッセージ: High risk user login attempt

4. 次の値を使用してポリシーを作成します。

   ポリシー名: OAAM OTP RR

   ポリシー・ステータス: アクティブ

   チェックポイント: 認証後

   スコアリング・エンジン: 平均

   重み: 100

   説明: OAAM OTPサンプル・ポリシー

5. 次の一般的な値を使用してルールを追加します。

   ルール名: In High Risk Group

   ルール・ステータス: アクティブ

   ルール・ノート: Checks if user is in high risk user group.

6. ルールがトリガーされた場合の結果を指定します。

   スコア: 1000

   重み: 100

   アクション・グループ: OAAMチャレンジ

   アラート・グループ: High Risk User

7. 次の値を使用して条件USER: User in Login Groupを追加します。

   グループ内: True

   ユーザー・グループ: High Risk Users

ユーザー

注意: ユーザー名がHenryであるユーザーはすでに1回ログインしたことがあり、登録を完了しています。

HenryがOAAMサーバーに再度ログインします。このユーザーは常にSMSによるチャレンジを受けます。

9.3.2 高リスク、常にチャレンジによるCSR OTPプロファイル・リセット、グループごと

KBAに登録されているものの、カスタマ・サービスによってOTPプロファイルがリセットされたユーザーからの高リスク・ログインは、新しいOTPプロファイルへの登録を許可される前に、他の方法によるチャレンジを受けます。

注意: ユーザーのHenryは、OTPがリセットされています。

1. ユーザーが、ユーザー名HenryでOAAMサーバーにログインします。

   このユーザーは(OTPが登録されていないため)KBAによるチャレンジを受けます。

2. ユーザーはチャレンジ質問に回答します。

3. ユーザーはOTP登録を完了します。

4. その後、このユーザーがユーザー名Henryで再度ログインします。

5. ユーザーはOTPチャレンジを受けます。

9.3.3 未登録低リスク・ユーザー(リスク・スコア500以下)

低リスクまたはリスクなし状況の未登録ユーザーは、イメージ/フレーズ、チャレンジ質問およびOTPプロファイルを登録するように要求されます。

1. ユーザーがユーザー名StanleyでOAAMサーバーにログインします。Stanleyは低リスク・ユーザーです。

   登録画面が表示されます。

2. ユーザーは登録を完了します。

9.3.4 登録済低リスク・ユーザー(リスク・スコア500以下)

低リスク状況でログインする登録済ユーザーは、KBAによるチャレンジを受けます。

1. Frankが午後1時にOAAMサーバーにログインします。

2. このユーザーは登録する必要がないため、「登録」ページで「スキップ」を押します。

3. PhilがFrankと同じデバイスで午後2時にOAAMサーバーにログインします。

4. このユーザーは登録する必要がないため、「登録」ページで「スキップ」を押します。

5. Stanleyが同じデバイスで午後3時にOAAMサーバーにログインします。

6. 4人のユーザーが8時間以内に同じデバイスからログインしているため、Stanleyはチャレンジを受けます。リスク・スコアは500 (ルール・スコアは1000、「重み」は100、「スコアリング・エンジン」は「平均」)であり、KBAチャレンジが実行されます。

9.3.5 未登録高リスク・ユーザー(リスク・スコア500以上)

未登録ユーザーによる高リスク・ログインは登録を許可されません。

1. 高リスク・ユーザーのHenryが無効なパスワードでOAAMサーバーに4回ログインします。

2. 高リスク・ユーザーのHenryが正しいパスワードでOAAMサーバーにログインします。

3. 無効なログイン試行が原因でリスク・スコアが600になったため、ユーザーはロックされ、登録されません。

9.3.6 登録済高リスク・ユーザー(リスク・スコア500以上)

登録済ユーザーが高リスク状況でログインし、OTPチャレンジが行われます。

1. Stanleyが正しいパスワードでOAAMサーバーにログインします。

2. 無効なログイン試行が原因でリスク・スコアが最大600であるため、このユーザーはOTP (SMS)チャレンジを受けます。

9.3.7 高リスク・ロックアウトの登録

チャレンジに失敗した回数が多くなりすぎたユーザーは、カスタマ・サービスに依頼して、失敗した試行をリセットできます。

このシナリオでは、あるユーザーが、チャレンジに正しく回答できなかったためにロックアウトされます。CSRはユーザーのロックを解除し、ログインできるようにする必要があります。ユーザーはログインし、再度チャレンジを受けます。

1. Stanleyが正しいパスワードでOAAMサーバーにログインします。

2. このユーザーはOTP (SMS)チャレンジを受け、間違ったチャレンジ値を3回入力しました。

3. KBAチャレンジに回答するように要求されます。

4. KBAの回答を3回間違えました。

5. ユーザーはブロックされます。

6. ユーザーは再度ログインを試みますが、ブロックされたままです。

7. OAAM管理にCSR権限でログインしたCSRが、Stanleyのためにケースを作成します。

8. このとき、このユーザーのためにOTPをロック解除します。

9. Stanleyが正しいパスワードでOAAMサーバーにログインします。

10. ユーザーはOTPによるチャレンジを受けます。

9.3.8 高リスク除外

ユーザーがOTPを使用できない場合は、ユーザーを除外グループに追加して、高リスク・チャレンジが行われないようにできます。

1. セキュリティ管理者がOAAM管理にログインします。

2. 管理者はStanleyを「High Risk Exclusion」ユーザー・グループに追加します。

3. 管理者はOAAMチャレンジ・ポリシー「高リスク・スコアの確認」ルールを、事前条件で「除外ユーザー・グループ」として「High Risk Exclusion」を使用するように変更します。

4. StanleyがOAAMサーバーにログインします。

5. このユーザーは、高リスク・スコアである場合にもOTPチャレンジではなくKBAチャレンジを受けます。

9.3.9 複数バケット・パターンによるOTPチャレンジ

「ユーザー: IP」は、ユーザーが使用するIPアドレスごとにバケットを作成する複数バケット・パターンです。これにより、すべてのアプリケーション・ユーザーの30%未満が分類されるIPアドレス・バケットにJenが分類される場合に、JenはOTPチャレンジを受けるなどの評価が可能になります。

1. セキュリティ管理者がOAAM管理にログインします。

2. 管理者は、演算子、「各」および属性「IP」を指定して、メンバー・タイプ「ユーザー」の複数バケット・パターンを作成します。

3. このとき、このユーザーが過去3か月に少なくとも2回ログインしたかどうか、ユーザー・エンティティをイメージ内のすべてのエンティティと比較する(30%)、およびこのユーザーがOTP登録しているかどうか、という条件を持つルールを含むポリシーを確認します。

4. JenがAccess Managerサーバーにログインします。

5. OTP登録を実行します。

6. 同じIPアドレスからさらに2回ログインします。

7. 4回目のログインで、異なるIPアドレスからログインします。

8. ルールがトリガーされます。

9. 異なるIPアドレスで、再度ログインします。

10. ルールが再度トリガーします。