SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

サイバーインシデント後のOktaが90日間セキュリティに全集中した成果とは?

「Okta Identity Summit Tokyo 2024」レポート

 2024年9月11日、Okta Japanは「Okta Identity Summit Tokyo」を開催し、同社の日本市場での成長と2023年に発生した同社のサイバーインシデント後の90日間の集中プロジェクトから生まれた包括的なアプローチと製品アップデートを発表した。

Okta Japan 代表取締役社長 渡邉崇氏

インシデント後のOktaのセキュリティ強化策とコミットメント

 冒頭、渡邉社長は次のように語った。「Oktaはアイデンティティを、単なるIDやパスワードではなく、個人を表す総合的な情報の集合体と捉えています。名前や肩書きだけでなく、アクセス場所、使用デバイス、IPアドレスなども含まれます。このアイデンティティを適切に管理することで、コスト削減、収益向上、セキュリティ強化といった課題に対応するものです」さらに、「アイデンティティで世界が変わる」というイベントテーマの主旨を述べた。

 今回のイベントで強調されたのは、Oktaが自社のサイバーインシデントの経験を徹底的に追求し、その根本原因と改善策から顧客へのコミットメントを深めたことだ。

 2023年、Oktaの顧客サポート管理システムが不正アクセスを受け、セキュリティ業界に衝撃を与えた。攻撃者は、顧客がアップロードしたファイルからセッショントークンを窃取し、それを使って5社の顧客テナントに不正アクセスを試みた、また、調査の結果、機密情報は含まれていなかったものの、ユーザー名やメールアドレスを含むレポートが攻撃者にダウンロードされたことが判明した。その後の取り組みについて渡邉社長は語る。

 「CEOのトッド・マッキノンをはじめ、全社一丸となって非常に真剣に取り組みました。セキュリティ以外の製品開発プロジェクトは全て停止し、90日間、すべてのリソースをセキュリティに集中させました。この3か月間は、社内の製品チームやITチーム、そして全社員にとって、セキュリティの重要性を深く理解するために必要な期間でもありました。この期間を通じて、セキュリティがいかに重要かを実感しました」

 ベッドロック(岩盤)というコード名のこのプロジェクトの結果として、さまざまな新機能が生まれた。システム管理者のアクセス強化、セッションセキュリティの向上、ロケーションベースのアクセス制御、端末IDのセキュリティ強化などが実装された。

Okta Japan 代表取締役社長 渡邉崇氏

 Oktaはその後、第三者機関も交えた調査を行い、2024年2月に調査とユーザー対応を完了し、トッド・マッキノンCEOが以下の4つの重点ポイントからなる「Okta Secure Identity Commitment」を発表している。

  1. 業界をリードする安全なアイデンティティ製品の開発
  2. 強化された社内インフラの構築
  3. ベストプラクティスの共有と普及
  4. 業界全体でのアイデンティティ保護

 渡邉社長は、この取り組みの具体的成果として「悪意があるアクセスを30日間に20億回ブロック」や「クレデンシャルスタッフィング攻撃を90日間に90%以上削減」などを紹介した。続いて、OpenID、FIDO、NISTなどの標準化団体や政府機関と積極的に連携し、アイデンティティとアクセス管理の分野でより強固なセキュリティ標準の策定と普及に取り組んでいることを紹介した。

次のページ
認証後のセッション復帰段階を狙った攻撃が増加

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、EnterpriseZineをメインにした取材編集活動、フリーランスとして企業のWeb記事作成、企業出版の支援などもおこなっている。 ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20420 2024/09/25 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング