2024年6月25日、Okta Japanはゼロトラストセキュリティを強化する新製品の記者発表会を実施し、同社のシニアソリューションエンジニアである岸本卓也氏が、新製品「Identity Threat Protection with Okta AI」について説明した。
境界型防御の限界とゼロトラストの必要性
岸本氏はまず、従来の境界型防御からゼロトラストセキュリティへの移行の背景について説明した。「境界型が無力になってきているということです」と岸本氏は指摘する。従来のオフィス中心の環境では、オフィスの従業員は信頼できるという前提のもと、オフィスとインターネットの境界にファイアウォールを設置し、リモートアクセスにはVPNを使用するという方法で防御が機能していた。
しかし、現在の環境では、VPNの脆弱性を突いた攻撃やマルウェア感染端末からの社内リソースアクセス、内部犯行による情報流出などの問題が発生している。さらに、クラウドサービスの普及により、企業リソースが外部に移動し、ファイアウォールが単なる通過点となってしまっている。岸本氏は「どこにいてももう信用できなくなってきた」と述べ、新たなセキュリティアプローチの必要性を強調した。
Okta/SASE/EDRで実現するゼロトラストアーキテクチャ
このような課題に対応するため、岸本氏はOkta、SASE(Secure Access Service Edge)、EDR(Endpoint Detection and Response)を組み合わせたゼロトラストアーキテクチャがあると説明した。
Oktaによる認証では、端末の状態確認とユーザー認証を行い、両者のAND条件で企業リソースへのアクセスを制御する。認証後は、SASEによるトラフィック監視が行われ、問題がある場合はアクセスを拒否する。さらに、EDRによるエンドポイント保護により、端末上の不審な動きを検知し、異常が見つかった場合はアクセスを拒否する。
岸本氏は「Oktaによる認証やプロビジョニング、そしてSASEの側で事前にユーザーをエントリーしておく機能がある」と説明し、各コンポーネントの連携の重要性を強調した。
「認証の証明 (Proof of Authentication)」と新たな課題
岸本氏は、さらにこうした認証後のセキュリティについて、「認証の証明」に関する新たな課題が生じているとし、セッションCookieの重要性と脆弱性について解説した。
「認証の証明」の仕組みは、ユーザーがWebサイトにアクセスし認証情報を入力すると、認証成功時にサーバーがセッションIDを生成し、それをCookieとしてユーザーのブラウザに保存する。以降のリクエストでは、このCookieを使って認証状態を維持する。
しかし、この仕組みには問題がある。セッションCookie(SID)が盗まれると、攻撃者がユーザーになりすますことが可能となる。実際に、2022年には、フォーチュン500企業の従業員に関連するセッションCookieが約19億件も盗まれたという報告がある。
岸本氏は「認証が終わった後の通信中にCookieが盗まれれば、ログイン後にそのリスクレベルが変わっても、アクセスポリシーが再評価されない。ログインした後の認証の証明、セッションCookieが攻撃の対象になってきている」と指摘し、認証後のセキュリティの重要性を強調した。
Identity Threat Protection with Okta AI の特徴と機能
Oktaの「Identity Threat Protection with Okta AI」はこれらの課題に対応するため、認証後も常にユーザーの行動を評価する継続的なアイデンティティリスク評価機能を持つ。たとえば、IPアドレスの突然の変更を検知するなど、異常な行動パターンを識別する。
また、Okta自体のだけでなく、SASE、EDR、CASBなどのサードパーティーシグナルも活用し、AIを用いてこれらのシグナルを分析してリスクを評価する。リスクが検出された場合、Universal Logout(ユニバーサルログアウト)、追加の認証要求、Workflowsの起動、サードパーティーアプリケーションへのシグナル送信などの柔軟なアクションを実行できる。
特徴的な機能として、「Universal Logout」がある。岸本氏は、今までOktaからアプリケーションのログアウトができなかったが、この機能によりアプリのアクセス権を即座に無効化できるようになることを強調した。
さらに、本製品はセキュリティ状況の可視化機能も備えており、リスクのあるユーザーの一覧表示、攻撃の種類と頻度の表示、アプリケーションごとのセッション違反の統計などを提供する。これにより、セキュリティ管理者は企業全体のセキュリティ状況を俯瞰的に把握することができる。
「Identity Threat Protection with Okta AI」の総合的な価値は、多様なシグナルソースを統合し、AIによる高度なリスク分析を行い、ポリシーベースの柔軟なアクションを実行することで、従来の認証時だけでなく、認証後も含めた継続的なセキュリティ確保を可能にすることだと岸本氏はまとめる。
岸本氏は最後に、「ファーストパーティーシグナルとサードパーティーのシグナルをOktaのリスクエンジンで解析を行って、その出た結果をポリシーに当てはめてポリシーに書かれているアクションを実行します」と述べ、本製品の包括的なアプローチを強調した。
これらの機能は2024年の4月にEarly Accessとしてリリースされたが、正式版(GA)リリースが今年の後半の予定であると述べた。
