Cisco Duoとは?MFAを中核とした主要機能及び、活用事例を紹介

こんにちは!SCSKセキュリティのタカハシです。

今回はCiscoのアイデンティティセキュリティソリューションであるCisco Duoについて紹介します。
Cisco Duoとはどのような製品なのか、主要機能や活用事例を交えながら解説していきます。

はじめに

近年、クラウドサービスの利用拡大やリモートワークの普及により、ID・パスワードだけに依存した認証では十分なセキュリティを確保できなくなっています。
フィッシング攻撃や認証情報の漏えいを起因とする不正アクセスは増加しており、多要素認証(MFA)は多くの企業で必須のセキュリティ対策となっています。
さらに近年では、単なるMFAの導入だけでなく、ユーザーやデバイスの信頼性を評価し、状況に応じてアクセスを制御する考え方が重要視されています。
こうした背景の中で注目されているのが、Ciscoが提供する「Cisco Duo」です。

Cisco Duoとは

Cisco Duoは、Ciscoが提供するIDセキュリティを強化するIAM(Identity and Access Management)製品です。

多要素認証(MFA)を中核に、デバイスの信頼性評価やアクセス制御を組み合わせることで、ID・パスワードだけでは防げない不正アクセスのリスクを低減します。

MFAだけではなく、シングルサインオン(SSO)、パスワードレス認証、デバイストラスト、ITDR(Identity Threat Detection and Response)、ISPM(Identity Security Posture Management)などの機能を提供しており、企業のIDセキュリティ強化を幅広く支援します。

「認証する」だけではなく、「安全なユーザーが、安全な端末から、安全にアクセスできる状態を継続的に実現できる」ことがCisco Duo最大の強みです。

Cisco Duoの主要機能

ここではCisco Duoの主要機能を6つ紹介します。

  • 多要素認証
  • パスワードレス認証
  • デバイストラスト(信頼性評価)
  • シングルサインオン(SSO)
  • Duo Passport
  • Cisco Identity Intelligence(CII)

① 多要素認証(MFA)

Cisco Duoの中核となる機能が多要素認証(MFA)です。

ユーザーはID・パスワード入力後に追加の認証を行うことで、
仮に認証情報が漏えいした場合でも不正ログインを防止できます。

主な認証方式

   

主な認証方式については下記に概要をまとめました。

認証方式 概要
Duo Push(スマートフォン通知) Duo Mobileアプリへ通知を送信し、Duo Mobileアプリで承認する認証方式
Duo Mobile Passcode Duo Mobileアプリで生成されたワンタイムパスコードをアクセス端末に入力する認証方式
Hardware Token ハードウェアトークンが生成するワンタイムパスコードをアクセス端末に入力する認証方式
SMS Passcode(SMS認証) SMSで登録済みの電話番号宛に送信されたワンタイムパスコードをアクセス端末に入力する認証方式
Phone Callback(電話認証) 登録済みの電話番号へ自動発信し、電話応答によって本人確認を行う認証方式
Passkey  生体認証やセキュリティキーを利用した認証方式
Proximity Verification(近接認証) アクセス端末とDuo Mobileアプリをインストールしたスマートフォンが物理的に近くに存在することを確認する認証方式

 

Duo MobileアプリはCisco Duoの多要素認証(MFA)で利用するスマートフォン向け認証アプリです。
ユーザーはDuo Mobileを利用することで、ログイン時に送信されるDuo Push通知を承認したり、Duo Mobileアプリで生成されたワンタイムパスワードをアクセス端末に入力することで本人確認を行えます。
近年では、認証情報の窃取だけでなく、MFAの突破を狙う高度なフィッシング攻撃(AiTM:Adversary-in-the-Middle)が増加しています。
Cisco Duoは、こうした脅威への対策として、Passkeyや近接認証(Proximity Verification)など、フィッシング耐性の高い認証方式を提供しています。特に近接認証では、認証を実施しているアクセス端末と、Duo Mobileをインストールしたスマートフォンが物理的に近くに存在することを確認した上で認証を行うため、リモートから認証情報だけを悪用する攻撃への対策として有効です。

② パスワードレス認証

Passkeyを利用したパスワードレス認証にも対応しています。

パスワードを使用せず、Windows Helloのような生体認証やセキュリティキーで認証することで、
フィッシング耐性の向上とユーザー利便性の両立を実現します。

③ デバイストラスト(信頼性評価)

Cisco Duoでは、アクセスを行う端末のセキュリティ状態(デバイスポスチャ)を評価し、設定したポリシーに基づいてアクセス可否を制御できます。

より詳細なデバイスヘルス情報を取得するためには、アクセス端末(Windows、macOS、Linux)に Duo Desktop という専用ソフトウェアをインストールする必要があります。

Duo Desktopを導入することで、OSのバージョンやディスク暗号化の有効化状況、ファイアウォールの状態などの情報を収集できます。

図:Duo Desktopによるデバイスヘルスの確認画面

Cisco Duoはこれらの情報をもとに、設定されたアクセスポリシーに従って端末の信頼性を評価します。
例えば、以下のような端末をアクセス制御の対象とすることが可能です。

  • OSが最新のセキュリティ要件を満たしていない端末
  • ディスク暗号化が無効化されている端末
  • セキュリティソフトが導入されていない端末
  • ホストファイアウォールが無効化されている端末

また、管理者はDuo Desktopのインストールを必須とするポリシーを設定できるため、必要なセキュリティ要件を満たした端末のみアクセスを許可するといった制御も可能です。

④ シングルサインオン(SSO)

シングルサインオン(SSO)機能を提供します。
SAMLやOIDCに対応しており、各種SaaSや業務アプリケーションと連携可能です。

Duo Central(ユーザ向けのアプリケーションポータル)にログインすると、利用を許可されたSaaSや業務アプリケーションが一覧表示されます。ユーザはアクセスが必要なアプリケーションをクリックするだけで各サービスにアクセスすることができるため、ユーザビリティが向上します。

図:Duo Centralの画面

⑤ Duo Passport

従来の認証方式では、ユーザーがクラウドアプリや社内アプリ、社内リソースへアクセスするたびに認証を求められる場合があります。
セキュリティを維持できる一方で、頻繁な認証操作はユーザーの負担となり、業務効率や利便性の低下につながります。また、認証回数が増えることで、利用者が煩わしさを感じる要因にもなります。

Duo Passportは、一度成功した認証結果を安全に保持し、一定期間その認証状態を引き継ぐ機能です。
ブラウザまたはデスクトップクライアントからアクセスしたときに認証を完了すると、その後はポリシーで定義された有効期間内に限り、別のアプリケーションやリソースへアクセスする際の再認証を削減できます。
これにより、セキュリティレベルを維持しながら、ユーザー体験の向上を実現します。

  • 従来のアクセスフロー
    以下の図は、アプリケーションやリソースへアクセスするたびに認証が求められる従来のアクセスフローを示しています。ユーザーは同じ業務の中で複数のアプリケーションを利用する場合でも、その都度認証操作が必要となるため、利便性が低下する場合があります。

  • Duo Passport利用時のアクセスフロー
    以下の図は、Duo Passportを利用したアクセスフローです。
    初回ログイン時の認証後は認証状態が安全に保持され、一定期間は複数のアプリケーションやリソースへシームレスにアクセスできます。これにより、再認証を削減しながら、セキュリティと利便性の両立を実現します。

⑥ Cisco Identity Intelligence(CII)

CIIはITDR(Identity Threat Detection and Response)機能およびISPM(Identity Security Posture Management)機能により「侵入前」「侵入後」双方の対策を実施します。危険な状況にあるアイデンティティの可視化、不審な挙動の検出が可能です。

 

CIIで検出可能な項目の一例を以下に示します。

検知項目 説明
Never Logged in ログインに一度も使用されたことのないアカウントを検出
Inactive Users  指定日数以上操作を行っていないアカウントを検出
No MFA Configured 多要素認証(MFA)が有効になっていないユーザーを検出
User Trust Level Alert ユーザーの信頼レベルに基づいて組織内でリスクの高いユーザーを検出

検出項目の例として、「Never Logged in」を紹介します。
作成されたものの、利用されていないアカウントは管理者から見落とされやすく、攻撃者に悪用されるリスクがあります。CIIはこうした「放置アカウント」を継続的に監視し、早期発見を支援することができます。

図:CIIによる「Never Logged In」チェックの例

上記画面のように、作成後一度も利用されていないアカウントを検出し、放置アカウントの悪用リスクを可視化するチェック項目です。

複数のID基盤や認証基盤が混在する環境では、IDの可視化や継続的な監視が困難になるという課題があります。
Cisco Duoは CII を活用し、複数環境にまたがるIDの振舞いを分析します。IDを起点とした攻撃の兆候を早期に把握し、迅速な対応を行う体制を構築できます。

Cisco Duoの活用事例

先ほど説明した主要機能を踏まえて、Cisco Duoをどう活用できるのか、簡単に紹介します。

①SSE・VPNのセキュリティ強化

パスワード認証や強度の低い多要素認証のみに対応しているアプリケーションやVPN環境に対し、
強度の高い多要素認証(MFA)とデバイスの信頼性評価を追加する活用例です。

リモートワークの普及により、VPNやSSE(SWG・ZTNAなど)を経由して社内システムへアクセスする機会が増えています。一方で、ID・パスワードのみの認証や強度の低い認証方式では、不正アクセスのリスクを十分に防ぐことができません。
Cisco Duoを導入することで、強度の高い多要素認証(MFA)に加え、デバイスの信頼性評価を組み合わせたアクセス制御を実現できます。これにより、本人確認だけでなく、利用している端末のセキュリティ状態も考慮したアクセス制御が可能になります。
例えば、以下のような用途で活用できます。

  • VPNアクセス時の多要素認証(MFA)の強化
  • SSE(SWG・ZTNAなど)利用時の認証強化
  • デバイスの信頼性評価によるアクセス制御

 

認証情報の漏えいやフィッシング攻撃を起点とした不正アクセスのリスクを大幅に低減できます。

② ID統合せずにアクセス制御(ポリシー)を統合

複数のID基盤が混在しており、ID統合が容易ではない環境も多く存在します。

この活用事例では、ID環境そのものを無理に統合するのではなく、DuoをIDブローカーとして活用します。

  • 複数のIdP(Entra ID、Okta、Ping など)を併用
  • SaaS、クラウド、オンプレミスへのアクセスをDuoで制御
  • 利用者属性ごとにポリシーを適用

分散したID環境のままでも、アクセス制御ポリシーを一元化することで、
組織全体のセキュリティレベルを維持・向上させることが可能です。

まとめ

Cisco Duoは多要素認証を中核として、デバイストラスト、SSO、Duo Passport、ITDR / ISPM を組み合わせた
IDセキュリティを強化するIAM(Identity and Access Management)製品です。

環境や課題に応じた導入パターンを選択できるため、
スモールスタートから高度なIDセキュリティ対策まで柔軟に対応できます。

今後の執筆予定

今後は検証結果や設計観点を踏まえた実践的な内容として、以下のテーマを中心に順次発信していく予定です。

  • Cisco Duoの各機能の詳細解説
  • 実際に検証してみた結果の整理
  • 設計・運用に役立つTIPSや考慮点
×
タイトルとURLをコピーしました