適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
ジオキネティクス ポリシー オブジェクトにより、ユーザーの現在地と最後に認証が正常に行われた場所を比較するポリシー オブジェクトを作成することができます。AuthPoint では、認証発生の距離と時間に基づいて、前回の認証の地点からユーザーがその時間内で移動できないと考えられる場所での認証が自動的に拒否されます。
ジオキネティクス ポリシー オブジェクトを作成する際は、許可する最大移動速度を指定します。
ユースケース
別の国の攻撃者がユーザーのログイン認証情報を取得し、MFA により保護されているリソースへのログインを試みたと想定します。攻撃者はソーシャル エンジニアリングまたはプッシュ爆撃 (多要素認証消耗攻撃) を使用して、ユーザーにプッシュ通知を承認させます。ユーザーによる前回の認証が発生した地点からその時間内で移動できないような場所に攻撃者が存在していれば、たとえユーザーがプッシュを承認しても、ジオキネティクスにより、AuthPoint で認証が拒否されます。
例
2 つの認証場所の間の距離を時速 600 マイル (飛行機の速度) で移動できない場合に、自動的に認証を拒否するジオキネティクス ポリシー オブジェクトを構成します。
あるユーザーがシアトル (米国) の本社から午前 9:00 に正常に認証し、ログインします。同じユーザーがパリ (フランス) から 30 分後に認証を試みます。このユーザーはシアトルからパリまで 30 分で移動できないため、ユーザーが MFA により正常に認証した場合でも、AuthPoint はこの認証を自動的に拒否します。
ジオキネティクス ポリシー オブジェクトは、認証が完了した後に適用されるため、他のポリシー オブジェクトとはしくみが異なります。
他のポリシー オブジェクト (ジオフェンス、タイム スケジュール、ネットワーク ロケーション) の場合は、ポリシー オブジェクトを認証ポリシーに追加すると、認証の条件とポリシー オブジェクトに一致するユーザー認証にのみポリシーが適用されます。たとえば、ポリシーに特定のネットワーク ロケーションを追加すると、そのポリシーは、そのネットワーク ロケーションから行われるユーザー認証に適用されます。
ジオキネティクスにより認証条件に影響が及ぶことはありません。そのため、ジオキネティクス ポリシー オブジェクトを認証ポリシーに追加する場合も、ジオキネティクス ポリシー オブジェクトなしで 2 つ目のポリシーを作成する必要はありません。
制限
ジオキネティクス ポリシー オブジェクトを構成する際には、以下の情報にご注意ください。
- ジオキネティクスは RADIUS 認証には適用されません。
- ジオキネティクス ポリシー オブジェクトは認証の完了後に適用されます。現在の認証と直近の有効な認証の間の距離を許容される速度で経過時間内に移動できなかった場合、ユーザーがプッシュを承認したり、正しい OTP または QR Code 検証を入力したりした場合でも、その認証は拒否されます。
- ジオキネティクスは、現在の認証の場所を、過去 24 時間に正常に行われた直近の認証の場所と比較します。
- 拒否された、または無効だった以前の認証は考慮されません。
- 24 時間以内の過去に成功した認証がない場合、AuthPoint はそのジオキネティクス ポリシー オブジェクトを無視します (24 時間あればほとんどの場所間を十分に移動できるため)。
- 認証ポリシーでパスワードのみが必要とされる (MFA が必要とされない) 場合、ジオキネティクスは Logon App、RD Web、および ADFS リソースには適用されません。これは、AuthPoint が認証後にジオキネティクスを検証するためです。AuthPoint がパスワードを検証しないシナリオでは、MFA / 認証要求が AuthPoint に送信されません。
ジオキネティクス ポリシー オブジェクトによる認証をサポートするには、以下のバージョンの AuthPoint エージェントをインストールする必要があります。
- AuthPoint Agent for Windows v2.7.1 以降
- AuthPoint Agent for RD Web v1.4.2 以降
- AuthPoint Agent for ADFS v1.2.0 以降
RD Web には、位置データを使った認証をサポートするという追加要件があります。詳細については、RD Web 用ジオキネティクス セクションを参照してください。
以下のリソースでは、ジオキネティクスはサポートされていません。
- AuthPoint Agent for macOS
- RADIUS
RADIUS 認証の場合は、ジオキネティクス ポリシー オブジェクトが含まれているポリシーは適用されません。これは、AuthPoint で、エンド ユーザーの IP アドレスまたは発信元 IP アドレスを特定することができないためです。
ジオキネティクス ポリシー オブジェクトの位置データ
ユーザーが認証されると、位置データにより、ユーザーが認証を受けたエリアが特定されます。ジオキネティクス ポリシー オブジェクトを構成する際は、精度の低い位置データを許可するように選択できます。精度の低いデータの場合、特定されるユーザー ロケーションの半径が大きくなります。たとえば、高精度の位置データであれば、ユーザーの実際の位置を 10 メートル範囲以内で特定できる可能性がありますが、精度の低い位置データの場合は、特定できる範囲が実際の位置から 1 キロ四方に及ぶ場合があります。
ブラウザ ベースの認証の場合は、ユーザーが認証されると、ユーザーの場所を共有することを求めるプロンプトがブラウザに表示されます。ユーザーがこれを受け入れると、ユーザー ロケーションの地理座標がブラウザから AuthPoint に送信されます。AuthPoint は、この情報を使用してジオキネティクスを検証します。これは、高精度の位置データとなります。
ユーザーがロケーションの共有を受諾しなかった場合は、IP アドレスに基づき位置が判断されます。AuthPoint では、IP アドレスに基づく位置データは精度が低いと見なされます。
以下のリソースでは、ブラウザ ベースの位置データが使用されます。
- IdP ポータル
- SAML
- RD Web
- ADFS
AuthPoint では、以下の認証の種類においてのみ、IP アドレスに基づく位置データがサポートされています。
- RDP 接続
- Firebox リソース
- Windows 仮想マシン (VM)
AuthPoint Agent for Windows では、Windows API 経由でユーザー ロケーションが取得されます。エージェントが Windows VM にインストールされている場合は、位置データは常に IP アドレスに基づきます (精度が低い)。
ジオキネティクス ポリシー オブジェクトを構成する
ジオキネティクス ポリシー オブジェクトを構成するには、AuthPoint Management UI で以下の手順を実行します。
- AuthPoint のナビゲーション メニューから ポリシー オブジェクト を選択します。
- ポリシー オブジェクトを追加する をクリックします。
ポリシー オブジェクトを追加する ページが表示されます。
- 種類 ドロップダウン リストから、ジオキネティクス を選択します。
追加のフィールドが表示されます。 - 名前 テキスト ボックスに、このジオキネティクス ポリシー オブジェクトを特定する名前を入力します。これは、認証ポリシーに追加する際に、このジオキネティクスを識別するのに役立ちます。
- 速度 テキスト ボックスとその隣のドロップダウン リストで、このジオキネティクス ポリシー オブジェクトに使用する AuthPoint の数値と単位を指定します。AuthPoint は、現在の認証と以前の認証の間の距離をこの速度で移動できない場合は、認証を拒否します。
既定の速度は時速 600 マイル (商用飛行機の平均速度) です。
- (任意) 例外 テキスト ボックスに、AuthPoint がこのジオキネティクス ポリシー オブジェクトに対して無視すべき、パブリック IP アドレスまたはパブリック IP アドレスの範囲を定義するネットマスクを入力し、Enter または Return を押します。複数の例外を指定することができます。これは、ユーザーが VPN に接続する際にジオキネティクス ポリシー オブジェクトが認証を拒否しないようにするためです。
- このジオキネティクス ポリシー オブジェクトが考慮されている際に AuthPoint が精度の低い位置データを持つ認証を考慮するようにするには、精度の低い位置データを用いた認証を考慮する チェックボックスを選択します。
このチェックボックスを選択しないと、低い精度の位置データを持つ認証がジオキネティクス ポリシー オブジェクトニタイシ評価されません。
- 保存 をクリックします。
- このジオキネティクス ポリシー オブジェクトを適用先の認証ポリシーに追加します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて。
他のポリシー オブジェクト (ジオフェンス、タイム スケジュール、ネットワーク ロケーション) とは異なり、ジオキネティクス ポリシー オブジェクトを認証ポリシーに追加する際に、ジオキネティクス ポリシー オブジェクトなしで 2 つ目のポリシーを作成する必要はありません。
RD Web 用ジオキネティクス
RD Web のジオキネティクス ポリシー オブジェクトをサポートするには、RD Web アクセス サーバーの webscripts-domain.js ファイルを編集し、ユーザー ロケーションが Cookie として RD Web サーバーに保存されるようにクライアントを構成する必要があります。これにより、ユーザーの認証時に RD Web からユーザーの座標が AuthPoint に送信されるようになります。
これは、RD Web 用ジオフェンスをサポートするためにも必要です。ジオフェンス ポリシー オブジェクトをサポートするためにこれらの手順をすでに完了している場合は、ジオキネティクスに対してそれらを再度実行する必要はありません。
- RD Web アクセス サーバーにログインします。
- Windows ファイル エクスプローラーを開き、C:\Windows\Web\RDWeb\Pages に移動します。
- テキスト エディタで webscripts-domain.js ファイルを開きます。
- onLoginPageLoad 関数の最後に、ブラウザから座標を取得して Cookie に保存するための次のスクリプトを追加します:
document.cookie = 'WatchGuardGeolocation=;max-age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';
}, function(error) { }, options);
}