SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

Cisco Duo ITDR 検証報告

セキュリティ
2026.07.09

こんにちは! この度 Cisco Duo の ITDRの動作について確認を行いました。

Duo ITDRとは

Duo の ITDR(Identity Threat Detection & Response) は、ユーザー ID を悪用した攻撃を検出し、リスクに応じた対応を行うための Duo のアイデンティティ脅威対策機能です。 従来の MFA だけでなく、ユーザー、認証、アクセス、デバイス、他社 ID 基盤などの情報を横断的に見て、「このユーザー/セッション/ID は信頼できるか」を判断する機能です。

設定

設定自体は非常に簡単です。 細かい内容については自分のブログに記載の内容をご確認ください。

https://licensecounter.jp/engineer-voice/blog/articles/20260401__asaduoitdr.html

検証

概要

今回行った検証の全体概要図は以下のようになっています。

ASAにはグローバルIPアドレスを持たせています。接続PCもASAとは別のグローバルIPアドレスを持ちインターネットに接続しています。

duo 検証環境.png

まずASAにリモートアクセスVPNを設定します。 そのうえでWeb loginを有効にしておきます。そしてDuoによるMFAを設定します。

ASA側でWeb loginを有効化しておくことによってASAは接続PCのブラウザからHTTPSで接続してきたクライアントに対してリモートアクセスVPNの認証を用いて相手を確認(認証)します。

1回目の認証

1回目は日本にある接続PCのブラウザから同じく日本にあるASAに対してログインし認証を行いました。

duo 検証環境 1回目.png

Duoは接続PCの送信元IPアドレスが日本であることを検知しています。そしてDuo側の設定に従いMFAも稼働し問題なく認証が通ります。

2回目の認証

2回目の認証を行います。

2回目はVPNを利用し接続PCをカナダのVPN GWへ接続します。

VPN接続が完了してから接続PCのブラウザからASAに対してHTTPSで接続を行います。
このようにVPNを利用することにより接続PCの送信元IPアドレスを日本ではなくカナダにしてしまいます。

duo 検証環境 2回目.png

2回目の認証も正常に終了しASAへ接続することができました。

結果

ITDRのレポートを見ると通常「Trusted」となっているトラストレベルが「Neutral」に変化しています。

duo trust level.png

詳細を確認すると新しい国からアクセスがあったことを表示しています。

duo country.png

認証的には成功しているものの、Duoからはユーザーに状況を確認することを推奨しています。
最後の画像はブラウザの日本語翻訳を利用しています。。。

duo recommend.png

他のログとしてDuo側のReports > Authntication Logから「Risk Assessment Detections」に「Unrealistic travel」をチェックしてログを確認していただくと時間的に移動不能な距離でのアクセスであったとDuoが検知していることが確認できます。

duo report.png

備考

ITDRの結果表示には少し時間がかかります。
リフレッシュが可能ということなのですが、検証時においてはうまく動作していませんでした。

資料のご紹介 「ASAとDuo連携設定資料(ITDR)」

著者紹介

SB C&S株式会社
技術本部 技術統括部 第3技術部 1課
柴山 弘