SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZine Press

アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く

Okta CSO Brett Winterford氏/Bill Hustad氏 インタビュー


 クラウドサービスやリモートワークの普及に伴い、企業におけるアイデンティティ管理は現在セキュリティ戦略の中核を成す重要な要素に進化している。Oktaはその分野でリーダーシップを発揮し、アイデンティティ管理から「アイデンティティセキュリティ」へのシフトを推進している。Oktaが開催した年次イベント「Oktane 2024」の会場で、OktaのAPJ(アジア太平洋・日本)担当CSOであるBrett Winterford氏と、グローバルパートナーおよびアライアンス責任者であるBill Hustad氏に、それぞれの視点からOktaの取り組みと日本市場への展開について伺った。

アイデンティティセキュリティの新標準「IPSIE」とは?

──「Oktane 2024」で発表された新しいセキュリティ標準「IPSIE」について教えてください。

ブレット氏:IPSIEは、「Interoperability Profile for Secure Identity in the Enterprise」の略で、企業向けにアイデンティティとアクセス管理を強化するための新しい基準です。この標準は、Ping Identity、Microsoft、SGNL、Beyond Identityなどの主要な企業と協力し、OpenID Foundationのワーキンググループとして策定されました。

 SaaSアプリケーションやクラウドサービスが増える中で、多くの異なる認証プロトコルや技術標準が存在しており、それらが統合されていないことが課題でした。IPSIEはこれらを統一し、安全性と互換性を高めることを目的としています。特に、多様なSaaSアプリケーション間でシームレスなアイデンティティ管理を実現する点が大きな違いです。

従来のSSO手法との違いと統合の重要性

──従来のSSO(シングルサインオン)手法との違いは何ですか?

ブレット氏:従来から使用されてきたSSO手法には、それぞれ異なる技術的アプローチがあります。たとえばSAMLやOIDC(OpenID Connect)、WS-Federation(WS-Fed)などがその代表例です。これらはいずれもシングルサインオン(SSO)を実現するために使われており、それぞれ異なるプロトコルですが、最終的には同じ目的(ユーザーが一度ログインすれば複数のアプリケーションにアクセスできること)を達成して、ユーザーの利便性を高めることに成功していると思います。

 しかしながら、それぞれが独自に進化した結果、多くの場合それらは統一されておらず、一部では非互換性が生じています。ここで登場したのがIPSIEです。IPSIEは、こうした非互換性が生じているプロトコルを統合して、企業で実装する際の相互運用性を実現することを主な目標としています。この統合によって、多様なサービスやアプリケーション間でシームレスかつ安全な認証体験が実現します。

 また、IPSIEではゼロトラストモデルにも対応しています。このモデルでは「信頼せず常に検証する」という考え方に基づいており、各ユーザーやデバイスごとのアクセス権限を厳密に管理します。そのため、一度認証された後でも継続的に監視・評価される仕組みになっている点も特徴的です。

──IPSIEがサポートするUniversal Logoutという機能について説明してください。

ブレット氏:Universal Logoutは、不正アクセスや高リスク行動が検出された際、そのユーザーが利用中のすべてのアプリケーションから即座に自動ログアウトさせる仕組みです。これにより、1つのアプリケーションで不正が確認された場合でも、他の関連アプリケーションへの被害拡大を防ぐことができます。この機能は IPSIEにおいても重要な役割を果たしており、多様なプロトコル間で迅速かつ確実な対応が可能です。

「Oktane 2024」で発表された、アイデンティティ・セキュリティの標準フレームワーク「IPSIE」
「Oktane 2024」で発表された、アイデンティティ・セキュリティの標準フレームワーク「IPSIE」

Oktaの不正アクセス事件から学ぶ教訓と対策

Okta APJ担当リージョナルCSO ブレット・ウィンターフォード(Brett Winterford)氏
Okta APJ担当リージョナルCSO ブレット・ウィンターフォード(Brett Winterford)氏

──Oktaでは2023年、不正アクセス事件もありましたね。この背景について教えてください。また他社でも似たような事例がありますか?

ブレット氏:はい、2023年10月にOktaのカスタマーサポートシステムに対する不正アクセス事件が発生しました。この攻撃では「セッショントークン」(ユーザー認証後に発行される一時的な認証情報)が悪用されました。攻撃者はこのセッショントークンを利用して、お客様のテナントへのアクセスを試みました。

 この事件から学んだことは、「認証後」の攻撃が増えているという点です。多要素認証(MFA)やパスワードレス認証が普及する中で、攻撃者はもはや単純なパスワード盗難だけではなく、「認証後」のトークンやセッション情報そのものを狙うようになっています。このような攻撃手法への対策としてもIPSIEやUniversal Logout機能など、新しいフレームワークによる保護策は非常に有効だと考えています。

 また、この問題はOktaだけではありません。他社でも同様の事例があります。たとえばMicrosoftでも同様にサービスアカウントへの不正アクセス事件が発生しています。その際にも過剰な権限を持ったサービスアカウントが悪用されました。同様にSnowflakeでも攻撃者がダウンストリームアプリケーションへの攻撃手法として認証情報やセッショントークンを狙うケースがありました。このような事例を見ると、多くの場合「過剰権限」や「非フェデレーションアクセス」が問題となっており、それらへの対策としてIPSIEやユニバーサルログアウト機能など、新しいフレームワークによる保護策が必要だと感じています。

次のページ
日本市場でのセキュリティシフトとアライアンス戦略

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20805 2024/11/20 13:05

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング