STORES Product Blog

こだわりを持ったお商売を支える「STORES」のテクノロジー部門のメンバーによるブログです。

Oktaの SMS/音声認証終了に対応しました

こんにちは、コーポレートエンジニアの伊藤(ito2)です。

今回は、先日対応した Okta のSMS/音声認証の停止について書いていきます。同様のケースを検討される際の参考になれば幸いです。

以下、前置きです。

私は、PX 部門 IT 本部コーポレートエンジニアリンググループに所属しています。 PX は、人事、採用、労務、広報、社内IT からなる部門で、人事はプロダクト開発と同じ、従業員と考えるのではなく、ユーザーと捉えようという考えから「People Experience(PX)」と名乗っています。社内 IT についても同じ文脈で活動しており、ユーザー体験を重視するメンバーが集まっています。

コーポレートエンジニアリンググループでは、デバイス、ネットワーク、SaaS 活用、社内アプリケーション開発など、各々の強みを活かして、エンジニアリングの力で社内の課題に日々向き合っています。

私はこのグループのマネージャーをする傍ら、SaaS の管理や新規プロジェクトの企画、導入などを担当しております。

SMS/音声認証を停止することになったきっかけ

今回、SMS/音声認証を停止することになったきっかけは、Okta 社によるテレフォニーサービスの終了です。 Okta は以前より、電話ベースの認証(SMS/音声認証)から、Okta Verify、FastPass、FIDO2 等のより安全な認証方法への移行を推奨してきました。

これは、電話ベースの認証には、電話番号の乗っ取りやフィッシングによって認証コードを盗まれるリスクがあるためです。

フィッシングは、偽サイトに認証コードを入力させるというよく知られた手法です。

電話番号の乗っ取りでよくある方法は SIM スワップと呼ばれていて、電話番号の所有者本人になりすまして、携帯キャリアに SIM カードを再発行させることで電話番号を奪います。

他にも、攻撃者が被害者のアカウントにログイン試行したあと、サポート担当者を装った電話を掛けて認証コードを聞き出すソーシャルエンジニアリングという手法もあります。

こうした経緯で、2024年9月15日以降の契約更新日を期限として、Okta 単体では電話ベースの認証を利用できなくなっています。 これ以降も電話ベースの認証は設定できるのですが、Twilio等のテレフォニープロバイダーと別途契約し、Oktaと連携させる必要があります。

Okta 公式記事はこちらです。

https://support.okta.com/help/s/article/bring-your-own-telephony-required-for-sms-and-voice

SMS/音声認証を停止するタイミング

当初は契約更新のタイミングで自動的に停止されるのを待てばよいと考えていたのですが、それより手前にスケジュールを引いて、SMS/音声認証を停止することにしました。

これは、停止タイミングを自分たちでハンドリングすることで、停止後に想定外の影響が生じても復旧できる余地を残すためです。

例えば、停止後 Okta にログインできなくなった!という問い合わせが殺到したとしても、一時的にSMS/音声認証を有効化すれば大規模な業務影響は避けられるといった感じですね。

SMS/音声認証のクローズ手順

停止タイミング以外は以下のとおりオーソドックスな手順です。

  • SMS/音声認証の利用者を特定
  • 他の認証方法を登録いただくよう案内
  • SMS/音声認証の停止
  • ユーザーからの問い合わせ状況を経過観察
  • ユーザーのサインインに問題がないことを確認した後、Authenticator から電話を削除する

この手順について、いくつかポイントを説明します。

まず、MFA に SMS/音声認証だけを設定しているユーザーを特定する方法が見つけられなかったため、過去の SMS/音声認証の利用履歴から対象者をリストアップしました。

利用履歴は、管理コンソールのレポート > テレフォニー使用状況レポート から確認できます。

テレフォニー使用状況レポート

次に、SMS/音声認証の停止方法については、電話の Authenticator そのものを削除すると再設定できなくなる恐れがあるため、Authenticator は残しつつ、認証できない設定に変更することで対応しました。

管理コンソールのセキュリティ > Authenticator > 電話 > アクション > 編集 から確認できます。

通話とSMSの両方のチェックを外すか、復旧のみを選択すれば認証に利用できなくなります。

Authenticator 電話の編集画面

これで SMS/音声認証は使えなくなりますので、ユーザーからの問い合わせ状況を経過観察し、サインインに問題がないことを確認した後、Authenticator から電話を削除すればOKです。

簡単ですね!

今回は以上です。最後までお読みいただきありがとうございました。

宣伝:STORES ではコーポレートエンジニアを募集しています

STORES では現在、コーポレートエンジニアを募集しています。 この記事を読んで、少しでも社内ITの仕事に興味を持ってくださった方がいらっしゃいましたら、ぜひジョブディスクリプションのページをご覧いただければと思います。

hrmos.co