SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

EnterpriseZine Press

アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く

Okta CSO Brett Winterford氏/Bill Hustad氏 インタビュー


 クラウドサービスやリモートワークの普及に伴い、企業におけるアイデンティティ管理は現在セキュリティ戦略の中核を成す重要な要素に進化している。Oktaはその分野でリーダーシップを発揮し、アイデンティティ管理から「アイデンティティセキュリティ」へのシフトを推進している。Oktaが開催した年次イベント「Oktane 2024」の会場で、OktaのAPJ(アジア太平洋・日本)担当CSOであるBrett Winterford氏と、グローバルパートナーおよびアライアンス責任者であるBill Hustad氏に、それぞれの視点からOktaの取り組みと日本市場への展開について伺った。

アイデンティティセキュリティの新標準「IPSIE」とは?

──「Oktane 2024」で発表された新しいセキュリティ標準「IPSIE」について教えてください。

ブレット氏:IPSIEは、「Interoperability Profile for Secure Identity in the Enterprise」の略で、企業向けにアイデンティティとアクセス管理を強化するための新しい基準です。この標準は、Ping Identity、Microsoft、SGNL、Beyond Identityなどの主要な企業と協力し、OpenID Foundationのワーキンググループとして策定されました。

 SaaSアプリケーションやクラウドサービスが増える中で、多くの異なる認証プロトコルや技術標準が存在しており、それらが統合されていないことが課題でした。IPSIEはこれらを統一し、安全性と互換性を高めることを目的としています。特に、多様なSaaSアプリケーション間でシームレスなアイデンティティ管理を実現する点が大きな違いです。

従来のSSO手法との違いと統合の重要性

──従来のSSO(シングルサインオン)手法との違いは何ですか?

ブレット氏:従来から使用されてきたSSO手法には、それぞれ異なる技術的アプローチがあります。たとえばSAMLやOIDC(OpenID Connect)、WS-Federation(WS-Fed)などがその代表例です。これらはいずれもシングルサインオン(SSO)を実現するために使われており、それぞれ異なるプロトコルですが、最終的には同じ目的(ユーザーが一度ログインすれば複数のアプリケーションにアクセスできること)を達成して、ユーザーの利便性を高めることに成功していると思います。

 しかしながら、それぞれが独自に進化した結果、多くの場合それらは統一されておらず、一部では非互換性が生じています。ここで登場したのがIPSIEです。IPSIEは、こうした非互換性が生じているプロトコルを統合して、企業で実装する際の相互運用性を実現することを主な目標としています。この統合によって、多様なサービスやアプリケーション間でシームレスかつ安全な認証体験が実現します。

 また、IPSIEではゼロトラストモデルにも対応しています。このモデルでは「信頼せず常に検証する」という考え方に基づいており、各ユーザーやデバイスごとのアクセス権限を厳密に管理します。そのため、一度認証された後でも継続的に監視・評価される仕組みになっている点も特徴的です。

──IPSIEがサポートするUniversal Logoutという機能について説明してください。

ブレット氏:Universal Logoutは、不正アクセスや高リスク行動が検出された際、そのユーザーが利用中のすべてのアプリケーションから即座に自動ログアウトさせる仕組みです。これにより、1つのアプリケーションで不正が確認された場合でも、他の関連アプリケーションへの被害拡大を防ぐことができます。この機能は IPSIEにおいても重要な役割を果たしており、多様なプロトコル間で迅速かつ確実な対応が可能です。

「Oktane 2024」で発表された、アイデンティティ・セキュリティの標準フレームワーク「IPSIE」
「Oktane 2024」で発表された、アイデンティティ・セキュリティの標準フレームワーク「IPSIE」

Oktaの不正アクセス事件から学ぶ教訓と対策

Okta APJ担当リージョナルCSO ブレット・ウィンターフォード(Brett Winterford)氏
Okta APJ担当リージョナルCSO ブレット・ウィンターフォード(Brett Winterford)氏

──Oktaでは2023年、不正アクセス事件もありましたね。この背景について教えてください。また他社でも似たような事例がありますか?

ブレット氏:はい、2023年10月にOktaのカスタマーサポートシステムに対する不正アクセス事件が発生しました。この攻撃では「セッショントークン」(ユーザー認証後に発行される一時的な認証情報)が悪用されました。攻撃者はこのセッショントークンを利用して、お客様のテナントへのアクセスを試みました。

 この事件から学んだことは、「認証後」の攻撃が増えているという点です。多要素認証(MFA)やパスワードレス認証が普及する中で、攻撃者はもはや単純なパスワード盗難だけではなく、「認証後」のトークンやセッション情報そのものを狙うようになっています。このような攻撃手法への対策としてもIPSIEやUniversal Logout機能など、新しいフレームワークによる保護策は非常に有効だと考えています。

 また、この問題はOktaだけではありません。他社でも同様の事例があります。たとえばMicrosoftでも同様にサービスアカウントへの不正アクセス事件が発生しています。その際にも過剰な権限を持ったサービスアカウントが悪用されました。同様にSnowflakeでも攻撃者がダウンストリームアプリケーションへの攻撃手法として認証情報やセッショントークンを狙うケースがありました。このような事例を見ると、多くの場合「過剰権限」や「非フェデレーションアクセス」が問題となっており、それらへの対策としてIPSIEやユニバーサルログアウト機能など、新しいフレームワークによる保護策が必要だと感じています。

次のページ
日本市場でのセキュリティシフトとアライアンス戦略

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、EnterpriseZineをメインにした取材編集活動、フリーランスとして企業のWeb記事作成、企業出版の支援などもおこなっている。 ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20805 2024/11/20 13:05

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション NEW
  4. 4
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  5. 5
    今こそ知るべき、生成AIアプリ特有のセキュリティ対策アプローチ──数百万人の調査から判明した脅威とは
  6. 6
    2025年のCIOが目指すべき「デジタル・ヴァンガード」への昇華とは? 取り組むべき4つのアジェンダ
  7. 7
    「Excel/PowerPoint Copilot」の使い方──有用性はとても低い?作業別に詳細解説
  8. 8
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  9. 9
    今なお続く建設業界の「2024年問題」―業界エキスパートとして人手不足と効率化に挑む
  10. 10
    「SnowflakeやDatabricksにはない堅実な基盤がある」Cloudera CPOの狙いは
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  4. 4
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  5. 5
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    マザーハウスが“Excelの限界”から全社BI導入にリベンジ──合言葉は「ミニマムに、クイックに」
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション NEW
  4. 4
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  5. 5
    今こそ知るべき、生成AIアプリ特有のセキュリティ対策アプローチ──数百万人の調査から判明した脅威とは
  6. 6
    2025年のCIOが目指すべき「デジタル・ヴァンガード」への昇華とは? 取り組むべき4つのアジェンダ
  7. 7
    「Excel/PowerPoint Copilot」の使い方──有用性はとても低い?作業別に詳細解説
  8. 8
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  9. 9
    今なお続く建設業界の「2024年問題」―業界エキスパートとして人手不足と効率化に挑む
  10. 10
    「SnowflakeやDatabricksにはない堅実な基盤がある」Cloudera CPOの狙いは
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  4. 4
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  5. 5
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    マザーハウスが“Excelの限界”から全社BI導入にリベンジ──合言葉は「ミニマムに、クイックに」
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは