インシデント後のOktaのセキュリティ強化策とコミットメント
冒頭、渡邉社長は次のように語った。「Oktaはアイデンティティを、単なるIDやパスワードではなく、個人を表す総合的な情報の集合体と捉えています。名前や肩書きだけでなく、アクセス場所、使用デバイス、IPアドレスなども含まれます。このアイデンティティを適切に管理することで、コスト削減、収益向上、セキュリティ強化といった課題に対応するものです」さらに、「アイデンティティで世界が変わる」というイベントテーマの主旨を述べた。
今回のイベントで強調されたのは、Oktaが自社のサイバーインシデントの経験を徹底的に追求し、その根本原因と改善策から顧客へのコミットメントを深めたことだ。
2023年、Oktaの顧客サポート管理システムが不正アクセスを受け、セキュリティ業界に衝撃を与えた。攻撃者は、顧客がアップロードしたファイルからセッショントークンを窃取し、それを使って5社の顧客テナントに不正アクセスを試みた、また、調査の結果、機密情報は含まれていなかったものの、ユーザー名やメールアドレスを含むレポートが攻撃者にダウンロードされたことが判明した。その後の取り組みについて渡邉社長は語る。
「CEOのトッド・マッキノンをはじめ、全社一丸となって非常に真剣に取り組みました。セキュリティ以外の製品開発プロジェクトは全て停止し、90日間、すべてのリソースをセキュリティに集中させました。この3か月間は、社内の製品チームやITチーム、そして全社員にとって、セキュリティの重要性を深く理解するために必要な期間でもありました。この期間を通じて、セキュリティがいかに重要かを実感しました」
ベッドロック(岩盤)というコード名のこのプロジェクトの結果として、さまざまな新機能が生まれた。システム管理者のアクセス強化、セッションセキュリティの向上、ロケーションベースのアクセス制御、端末IDのセキュリティ強化などが実装された。
Oktaはその後、第三者機関も交えた調査を行い、2024年2月に調査とユーザー対応を完了し、トッド・マッキノンCEOが以下の4つの重点ポイントからなる「Okta Secure Identity Commitment」を発表している。
- 業界をリードする安全なアイデンティティ製品の開発
- 強化された社内インフラの構築
- ベストプラクティスの共有と普及
- 業界全体でのアイデンティティ保護
渡邉社長は、この取り組みの具体的成果として「悪意があるアクセスを30日間に20億回ブロック」や「クレデンシャルスタッフィング攻撃を90日間に90%以上削減」などを紹介した。続いて、OpenID、FIDO、NISTなどの標準化団体や政府機関と積極的に連携し、アイデンティティとアクセス管理の分野でより強固なセキュリティ標準の策定と普及に取り組んでいることを紹介した。
