グローバルな金融プラットフォームであるAdyenは、Meta、Microsoft、eBayなど、世界で最も信頼されているブランドの取引を支えています。セキュリティが非常に重要な金融サービスの世界において、ゼロトラストアーキテクチャに対するAdyenのコミットメントは、中核的な原則となっています。同社は、進化し続ける脅威に先手を打つ方法を常に模索しています。最近、チームは新たな、しかし野心的な目標を設定しました。それは、組織全体で完全なフィッシング耐性を実現することです。
Adyenにとっては、これは単に新しいセキュリティツールを展開するだけのことではありませんでした。これは、約5,000人の従業員が会社のデータに簡単かつ安全にアクセスできるようにすることでした。Okta FastPassとアイデンティティ脅威からの保護を導入することで、Adyenはすべてのアクセスフローにおいて99.6%のフィッシング耐性範囲と認証速度の90%高速化を実現しました。また、損害を与える可能性のあるフィッシング攻撃を軽減した結果、侵害されたアカウントはゼロでした。これらの成果により、セキュリティ態勢の強化、ユーザー満足度の向上、運用コストの削減が実現しました。
従来のセキュリティの枠を超える
Adaptive MFAのような強力なセキュリティ制御が完備していても、Adyenのチームは攻撃者がますます巧妙になっていることを認識していました。AdyenのシステムエンジニアであるLeandro Dimitrio氏は、「早い段階で、可能な限り安全かつスケーラブルな方法でFastPassを導入することを決断しました」と述べています。チームは、Adaptive MFAで不審なログインにフラグを立てることはできても、SMSやワンタイムパスコード(OTP)のような脆弱な認証要素は攻撃を受けやすいままであることを理解していました。
Adyenのチームは、ユーザーログイン以外にも他のリスクがあることに気づきました。Gmailのような有効期間の長いセッションを保護し、ユーザーまたは潜在的な攻撃者が、そのセッションを企業管理下のノートパソコンから管理されていないデバイスへ移行するのを防ぐ必要がありました。
これらの課題を解決するために、Adyenは初回ログインを保護し、ユーザーセッションを継続的に監視して脅威を検出し、ログイン中およびログイン後の両方でポリシーを適用できるソリューションが必要でした。
「フィッシング耐性を最優先」したアプローチ
Adyenはその第一歩として、Okta FastPassを包括的に導入しました。これを達成するために、チームは脆弱な認証方法をすべて排除し、FIDO2またはデバイスに紐づいたパスコードでの登録をユーザーに案内しました。SMS、プッシュ通知、OTPなどの脆弱な認証要素は、代替オプションとして排除されました。こうすれば、攻撃者がフィッシングを通じてユーザーアカウントを簡単に悪用できてしまうのを防ぐことができます。
このポリシーは、macOS、Windows、モバイル全体で約5,000人のユーザーを対象としており、使用一日目からシンプルで一貫性のある安全なエクスペリエンスを提供します。これはモバイルデバイス管理システムとエンタープライズ資産管理システムに完全に統合されています。そして、真の変革をもたらすものは何でしょうか?デバイスのプロビジョニングは、Okta Workflowsによって完全に自動化されています。
AI駆動型のアイデンティティ脅威検知と対応
Adyenの防御対策は入口段階だけにとどまりませんでした。チームは認証中と認証後のアイデンティティベースの攻撃を検出し、阻止するために、Identity Threat Protection(アイデンティティ脅威からの保護)を導入しました。
Identity Threat Protectionにより、Adyenはセッションリスクを継続的に追跡し、想定されるセッション動作の異常や既知のアクティブな脅威を検出します。脅威が検出された場合、Identity Threat Protectionは、ステップアップMFA、Universal Logout、またはOkta Workflowsを介したカスタムアクションなどのリアルタイムの対応を実行できます。
「Identity Threat Protectionは、セッション中もデバイスがコンプライアンスを維持できるよう支援します」と、AdyenのIAMスタッフエンジニアのAlexander Makarov氏は説明します。また、異常なセッションアクティビティを終了させ、従業員や潜在的な攻撃者が管理対象デバイスから管理対象外デバイスにセッションを移動させることを防止します。これは私たちにとって特に重要です。複数の国で銀行ライセンスを保有しており、ノートPCには厳格なセキュリティ制御を適用しているからです」
Universal Logoutは、Salesforce、Google Workspace、Slack、Zoomなど、Adyenの最も重要なアプリケーションの多くで使用されています。Universal Logoutを有効にすると、Oktaおよびこれらのアプリ全体のすべてのユーザーセッションが即座に終了され、アイデンティティベースの攻撃が阻止されます。これらのポリシーにより、Adyenは常にすべてのユーザーに対して強固なアイデンティティセキュリティ態勢を維持できます。
「Identity Threat Protectionイベントはすべて、可視性を高め、SOCの対応を効率化するために、AdyenのSIEMにストリーミングされ、SOCチームがセキュリティインシデントを迅速にトリアージおよび調査できるようにしています。」Makarov氏は続けます。「このレイヤー型モデルは、可視性を高め、対応までの時間を短縮し、最新の攻撃パターンに合わせて脅威対策を調整します。」
Adyenはまた、Universal Logoutをすぐに使える機能としてより多くのSaaSベンダーに提供し、すべてのアプリケーションでより強力で一貫性のある保護を実現することを期待しています。
結果:従業員の安全性と生産性の向上
FastPassとIdentity Threat Protectionを組み合わせることで、Adyenは以下を達成できました。
- アカウント侵害ゼロ:Oktaのログインページを模倣した高度なフィッシングキャンペーンが行われている最中でも、Adyenでは侵害されたアカウントはゼロでした。悪用できるOTPオプションが存在しなかったため、攻撃者は認証情報を盗むことができませんでした。これにより、実際のシナリオにおいてもFastPass認証に関するAdyenの厳格なポリシーの有効性が実証されました。
- 99.6%のフィッシング耐性範囲:Adyenは初日からFastPassを有効にし、ユーザーの移行を支援することで、すべての従業員アクセスフローでほぼ完全なフィッシング耐性範囲を達成しました。Google AuthenticatorやSMSなど使用されていない認証手段を段階的に無効化したことで、100日以内に99%の導入率を達成しました。
- 認証を90%高速化:セキュリティが最優先でしたが、同時にユーザーエクスペリエンスも大幅に向上しました。認証時間は、アプリあたり30秒からわずか3秒に短縮され、90%の改善を実現しました。
- 時間の節約と生産性の向上:安全なプロビジョニングからオフボーディングまでのアイデンティティワークフローの自動化により、エンジニアリングチームは週に13~15時間を節約できました。また、これは監査プロセスの加速化、ユーザーライフサイクル全体の処理能力の向上、信頼性の向上にも役立ちました。
- ユーザー満足度の向上:新しいシステムのネットプロモータースコア(NPS)は82%に急上昇しました。これは、セキュリティとユーザビリティがいかに両立し得るかを証明するものです。
*すべてのデータは、お客様ご自身のデータに基づいています。
「Identity Threat ProtectionとOkta FastPassの組み合わせは、まさに双方に利益をもたらす結果となりました」とMakarov氏は説明します。「ユーザーは、手間要らずで直感的、かつパスワードレスなエクスペリエンスを非常に気に入っており、当社のセキュリティ態勢も大幅に向上しました。」
ゼロトラスト成功のためのAdyenの設計指針
Adyenの成功を再現したいとお考えの組織のために、4つの主なベストプラクティスをご紹介します。
- フィッシング耐性のある認証:すべてのユーザーに対してフィッシング耐性のある認証を展開することで、脆弱な認証方法によるフィッシングのリスクを軽減します。
- ポリシー主導のデバイス登録:厳格なコンプライアンスと態勢要件に基づいて、デバイス登録を自動化します。
- デバイスのセキュリティ態勢の継続的な適用:セッションが管理対象デバイスから管理対象外デバイスに移行した際に検出するためのデバイス保証ポリシーを継続的に適用します。
- 継続的なリスク監視:認証中も認証後もユーザーとセッションの行動を監視して、セッションハイジャックなどの脅威を即座に検出し、防止・修復できるようにします。
- ユーザートレーニングと意識向上:従業員が新しいワークフローを理解し、フィッシング詐欺の試みを見分けられるように教育します。
FastPassとIdentity Threat Protectionを使用したAdyenの事例は、プロアクティブな多層防御戦略がいかに回復力と効率性の高いセキュリティ態勢を構築できるかを示す好例です。これは、自社のテクノロジーと従業員に適したソリューションを実装することが可能であることを意味します。将来を見据えて行動するAdyenのような企業なら、その基盤があれば、新たな脅威が出現しても自信を持って規模を拡大できるでしょう。
Identity Threat Protectionの詳細については、製品ハブにアクセスするか、デモをお申し込みください。
Adyenの顧客事例の詳細については、動画をご覧ください。
