ご要望をいただきましてありがとうございます。GMOトラスト・ログインのプロダクトオーナーをしております森と申します。

IPアドレス制限の「IP作成」で国別のIPセットを一括設定できる機能について検討いたします。いただいたご要望とは別になりますが、「ふるまい検知/リスクベース認証」の対応についても考えております。どちらも不正アクセスを防ぐものとして検討を進めてまいります。

どうぞよろしくお願いいたします。

ご返答ありがとうございます。

IPアドレス制限の「IP作成」ですが、現状の機能ですと、指定したIPアドレスからアクセスした場合、追加認証をスキップする、等の機能だと思うのですが、認識間違いでしょうか。
追加認証をスキップさせたいわけではなく、海外からのアクセスができないようにしたいです。

また、同じIPアドレス制限の「アプリへのIP制限」ですと、SAMLアプリのシングルサインオン時に許可するIPアドレスを設定できるように思います。どちらかというとこちらの機能が指定したIPアドレス以外の接続を遮断になるので、機能的に近いかと思います。こちらのIPアドレス一覧のところに国別（日本国内）のIPセットを一括設定できる機能、等がありましたら、SAMLアプリへの海外からの接続は遮断できるように思います。

引き続き、ご検討の程よろしくお願いいたします。

コメントいただきありがとうございます。

IPアドレス制限で「ステップアップ認証」の設定を「無効」にしていただければ、追加認証のスキップではなく、許可されたIPアドレス以外からのアクセスをできないようにすることができます。

「アプリへのIP制限」はトラスト・ログインの利用は海外からのアクセスを許可する、特定アプリは海外からのアクセス時はSSOを禁止する、それ以外のアプリは海外からのアクセス時もSSOを許可するといった使い方に対応するものとなります。

またこちらであれば、CIDR形式で公開されている日本国内に割り当てられたIPアドレスの範囲を「アプリへのIP制限」の「IPアドレス一覧」に設定いただければ、現状でも対応いただけるかと存じます。

どうぞよろしくお願いいたします。

ご返信ありがとうございます。

IPアドレス制限の「ステップアップ認証＝無効」にある説明文（iマークにカーソルをあわせたときに表示される説明文）は以下が表示されます

ユーザーに割り当てたIPアドレスからのアクセスに対し、追加認証をスキップします。社内からはIDとパスワードのみでログイン、社外からはIDとパスワードに加えOTPを必要とする。といった使い方ができます。

この動きではないのでしょうか？
ステップアップ認証の説明文にも

指定されたIPアドレス以外からのアクセスに対し、追加認証を設定することができます。

とあります。

この説明文の通りの動きではなく、「ステップアップ認証」の設定を「無効」にすることで、追加認証のスキップではなく、許可された（登録された）IPアドレス以外からのアクセスをできないようにすることができる、ということでしょうか。

どちらにしましても、別の用途でIPアドレス制限は使用しておりますので（社内からはワンタイムパスワード不要という設定に使用）、こちらで国内アドレスを設定することはできません。

また、手動で日本国内に割り当てられたIPアドレスの範囲を登録するのは大変かと思うので、国別のIPセットを一括設定できる機能についてご検討いただければと思います。

本来の機能要望の話と少し別の質問となってしまい恐縮ですが、IPアドレス制限のステップアップ認証の設定につきまして、「無効」としたときの仕様を再度教えてください。

コメントいただきありがとうございます。

「ステップアップ認証＝無効」にある説明文については正しくないため修正いたします。
こちらはマニュアルで案内している内容が正しいものとなります。
https://support.trustlogin.com/hc/ja/articles/360000440721

日本以外からトラスト・ログインへのアクセスを禁止する機能については、引き続き検討いたします。

どうぞよろしくお願いいたします。