本記事では、Prisma Browserを利用したアカウント保護機能の設定方法をご紹介します。

　

アカウント保護とは

機密データを取り扱うアプリケーションや、重大度の高い業務を実行しているサービスであるにもかかわらず、IdP経由のSSO統合に対応していないアプリケーションは数多く存在します。このようなサービスでは、ユーザーアクセスの制御や多要素認証 (MFA) の実装ができていないことが課題となります。

アカウント保護は、SSO非対応アプリケーションのアカウントを保護することで安全なログインを実現する機能です。Prisma Browserからこれらのアプリケーションにアクセスすることで、システム内でのユーザーアクションを可視化し、機密データ保護の適用やステップアップ認証の実装などが可能になります。

　

しくみ

アカウント保護機能は、保護アクセスブローカー (PAB) を介してパスワード管理を強化することで管理対象外サービスに新たなセキュリティ層を追加します。

ユーザーがログイン時に入力したパスワードに対して、Prisma Browser側で安全なトークンを付与します。このトークンはPrisma Browser側で自動的に付与・管理されるため、万が一パスワードが流出した場合でもアカウントを保護することが可能です。

アカウント保護を有効にするためのフローは以下の通りです。

❶パスワードリセット
アクセスブローカー (PAB) 経由で、アプリケーションのパスワードリセットを行います。

❷安全なパスワード生成
ログイン画面でユーザーが入力したパスワードとトークンを組み合わせて、Prisma Browserが自動的に安全なパスワードを生成します。
※ユーザーごとに固有のトークンを使用するか、対象サービスのすべてのユーザーでトークンを共有するか、設定で選択可能

❸パスワード置き換え
PABは、ユーザーが入力したパスワードを❷で生成した「安全なパスワード」に置き換えて送信します。

----------------------------------------------------------------------------------------------------------------------------------------
Prisma Browser上でのパスワードリセット後は、Prisma Browser以外のブラウザからはアカウントに
ログインできなくなります。
----------------------------------------------------------------------------------------------------------------------------------------

　

ユーザーの利用方法

初回ログイン

アカウント保護を有効にすると、保護されたアプリケーションに初めてログインしようとするユーザーには、パスワードをリセットするかアカウントを作成するように求めるプロンプトが表示されます。

パスワードリセットまたはアカウント作成実施後、アカウントは自動的にアカウント保護に追加されます。

　

Prisma Browser経由でパスワードリセット、もしくはアカウント作成するまでアプリケーションにログインできません。

　

次回以降、新規パスワードでアカウントにログイン可能です。
Prisma Browserでのパスワード変更後は、他のブラウザからログインしようとしても失敗します。

　

視覚的な表示

Prisma Browserのアドレスバーインジケーターに、アカウント保護が有効であることが示されます。一部のアプリケーションではログイン試行時に追加のインジケーターが表示され、ログインに失敗した場合や保護されたアカウントを使用している場合にガイダンスが提供されます。

　

まとめ

Prisma Browserのアカウント保護の仕組みと利用イメージについてご紹介しました。
この機能を活用することで、SSO非対応のアプリケーションを保護して安全なログインを提供します。
Prisma Browserならではのユニークな機能ですので、ぜひお試しいただければと思います。

　

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております