SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

Okta、ゼロトラストを強化する「Identity Threat Protection with Okta AI」発表

 2024年6月25日、Okta Japanはゼロトラストセキュリティを強化する新製品の記者発表会を実施し、同社のシニアソリューションエンジニアである岸本卓也氏が、新製品「Identity Threat Protection with Okta AI」について説明した。

Okta Japan シニアソリューションエンジニア 岸本卓也氏
Okta Japan シニアソリューションエンジニア 岸本卓也氏

境界型防御の限界とゼロトラストの必要性

 岸本氏はまず、従来の境界型防御からゼロトラストセキュリティへの移行の背景について説明した。「境界型が無力になってきているということです」と岸本氏は指摘する。従来のオフィス中心の環境では、オフィスの従業員は信頼できるという前提のもと、オフィスとインターネットの境界にファイアウォールを設置し、リモートアクセスにはVPNを使用するという方法で防御が機能していた。

 しかし、現在の環境では、VPNの脆弱性を突いた攻撃やマルウェア感染端末からの社内リソースアクセス、内部犯行による情報流出などの問題が発生している。さらに、クラウドサービスの普及により、企業リソースが外部に移動し、ファイアウォールが単なる通過点となってしまっている。岸本氏は「どこにいてももう信用できなくなってきた」と述べ、新たなセキュリティアプローチの必要性を強調した。

出典:Okta [画像クリックで拡大]

Okta/SASE/EDRで実現するゼロトラストアーキテクチャ

 このような課題に対応するため、岸本氏はOkta、SASE(Secure Access Service Edge)、EDR(Endpoint Detection and Response)を組み合わせたゼロトラストアーキテクチャがあると説明した。

出典:Okta [画像クリックで拡大]

 Oktaによる認証では、端末の状態確認とユーザー認証を行い、両者のAND条件で企業リソースへのアクセスを制御する。認証後は、SASEによるトラフィック監視が行われ、問題がある場合はアクセスを拒否する。さらに、EDRによるエンドポイント保護により、端末上の不審な動きを検知し、異常が見つかった場合はアクセスを拒否する。

 岸本氏は「Oktaによる認証やプロビジョニング、そしてSASEの側で事前にユーザーをエントリーしておく機能がある」と説明し、各コンポーネントの連携の重要性を強調した。

「認証の証明 (Proof of Authentication)」と新たな課題

 岸本氏は、さらにこうした認証後のセキュリティについて、「認証の証明」に関する新たな課題が生じているとし、セッションCookieの重要性と脆弱性について解説した。

 「認証の証明」の仕組みは、ユーザーがWebサイトにアクセスし認証情報を入力すると、認証成功時にサーバーがセッションIDを生成し、それをCookieとしてユーザーのブラウザに保存する。以降のリクエストでは、このCookieを使って認証状態を維持する。

 しかし、この仕組みには問題がある。セッションCookie(SID)が盗まれると、攻撃者がユーザーになりすますことが可能となる。実際に、2022年には、フォーチュン500企業の従業員に関連するセッションCookieが約19億件も盗まれたという報告がある。

出典:Okta [画像クリックで拡大]

 岸本氏は「認証が終わった後の通信中にCookieが盗まれれば、ログイン後にそのリスクレベルが変わっても、アクセスポリシーが再評価されない。ログインした後の認証の証明、セッションCookieが攻撃の対象になってきている」と指摘し、認証後のセキュリティの重要性を強調した。

Identity Threat Protection with Okta AI の特徴と機能

 Oktaの「Identity Threat Protection with Okta AI」はこれらの課題に対応するため、認証後も常にユーザーの行動を評価する継続的なアイデンティティリスク評価機能を持つ。たとえば、IPアドレスの突然の変更を検知するなど、異常な行動パターンを識別する。

出典:Okta [画像クリックで拡大]

 また、Okta自体のだけでなく、SASE、EDR、CASBなどのサードパーティーシグナルも活用し、AIを用いてこれらのシグナルを分析してリスクを評価する。リスクが検出された場合、Universal Logout(ユニバーサルログアウト)、追加の認証要求、Workflowsの起動、サードパーティーアプリケーションへのシグナル送信などの柔軟なアクションを実行できる。

 特徴的な機能として、「Universal Logout」がある。岸本氏は、今までOktaからアプリケーションのログアウトができなかったが、この機能によりアプリのアクセス権を即座に無効化できるようになることを強調した。

 さらに、本製品はセキュリティ状況の可視化機能も備えており、リスクのあるユーザーの一覧表示、攻撃の種類と頻度の表示、アプリケーションごとのセッション違反の統計などを提供する。これにより、セキュリティ管理者は企業全体のセキュリティ状況を俯瞰的に把握することができる。

出典:Okta [画像クリックで拡大]

 「Identity Threat Protection with Okta AI」の総合的な価値は、多様なシグナルソースを統合し、AIによる高度なリスク分析を行い、ポリシーベースの柔軟なアクションを実行することで、従来の認証時だけでなく、認証後も含めた継続的なセキュリティ確保を可能にすることだと岸本氏はまとめる。

 岸本氏は最後に、「ファーストパーティーシグナルとサードパーティーのシグナルをOktaのリスクエンジンで解析を行って、その出た結果をポリシーに当てはめてポリシーに書かれているアクションを実行します」と述べ、本製品の包括的なアプローチを強調した。

 これらの機能は2024年の4月にEarly Accessとしてリリースされたが、正式版(GA)リリースが今年の後半の予定であると述べた。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、EnterpriseZineをメインにした取材編集活動、フリーランスとして企業のWeb記事作成、企業出版の支援などもおこなっている。 ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/19937 2024/06/26 11:30

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング