このブログはこちらの英語ブログの機械翻訳です。
組織がクラウドベースのインフラストラクチャやアプリケーションをより多く採用するにつれて、IDはシステムとデータを保護するための重要なレイヤーになっています。Oktaのプラットフォームは、セキュリティチームがユーザーのジャーニーのあらゆる段階(認証前、認証中、認証後)でアクセスを安全に保護するために必要なツールを提供します。
Identity Security Posture Management(アイデンティティ・セキュリティ・ポスチャ管理)やIdentity Threat Protection(アイデンティティ脅威保護)などの機能により、継続的な評価とアクセスリスクの軽減が可能です。これにより、非ヒューマンアイデンティティを含む、信頼できるユーザーのみが機密リソースにアクセスできるようになります。
OktaはSSOとMFAをはるかに超える機能を提供します。これは、調整され、統合され、あらゆる環境をサポートするように構築された、統合されたセキュリティレイヤーにコアアイデンティティ機能を組み込んでいます。
Oktaアイデンティティセキュリティ態勢管理
認証を開始する前に、組織は継続的なセキュリティ体制とアクセスガバナンスモデルを実装して、適切なアイデンティティのみが承認およびアクティブ化されるようにする必要があります。
Okta Identity Security Posture Management(IDSPM)は、アイデンティティの可視化、管理、および修復を支援します。これにより、アイデンティティリスクを特定し、優先順位を付けるための「ワンストップショップ」が実現します。さらに、そのコンテキスト化機能は、必要な権限、アクティビティ、および従業員ライフサイクルにおけるステージとともにユーザーアカウントを表示し、脅威を軽減し、コンプライアンスをサポートします。
Identity Security Posture Managementのアイデンティティグラフエンジンは、さまざまなアイデンティティデータに接続し、サイロを解消して、コンテキストリッチな可視性を構築します。これにより、セキュリティチームは、全体的なアイデンティティセキュリティ体制を改善する意思決定を行うことができます。
組織がマルチクラウドおよびSaaS環境を採用するにつれて、セキュリティチームは、アイデンティティの状況とアイデンティティのセキュリティ体制の可視性と制御を維持するのに苦労することがよくあります。
新たな課題により、攻撃対象領域が増加し、セキュリティ侵害へのエクスポージャーが高まっています。
複数のシステムにまたがる断片化されたアイデンティティデータは、盲点を作り出し、潜在的なリスクの特定と軽減を困難にします。
休眠アカウントの増加やアカウントのプロビジョニング解除の失敗は、潜在的な脆弱性につながります。
最新のIAMソリューションは、アクセスを保護するためのMFAやコンプライアンスフレームワークなどの効果的なツールを提供しますが、これらが適切に展開されているかどうかについて、顧客は確信を持てません。
Identity Security Posture Managementは、組織がID攻撃の表面を削減するためのプロアクティブな姿勢を取り、以下を提供することでこれらの課題に対処できるようにします。
エコシステム全体にわたるアイデンティティセキュリティ体制の一元的なビュー
脆弱性、設定ミス、ポリシー違反を検出するためのプロアクティブなアプローチ
一貫性のない MFA の強制や過剰な特権アクセスなど、最も重要なアイデンティティセキュリティの問題の優先順位付けと解決への迅速な道
Okta Identity Security Posture Managementは、攻撃対象領域の主要な側面全体で、エンタープライズにとって重要な資産と顧客データを保護するのに役立ちます。以下の図は、NIST刊行物にマッピングされた主要な側面を表しています。
しかし、Identity Security Posture Managementは、問題の特定だけにとどまりません。統合されたOktaプラットフォームの機能により、Oktaはこれらを自動的に修復できます。
Okta Identity Governance
Okta Identity Governance は、堅牢なアクセスガバナンスコントロールにより、認証前の体制を強化します。これにより、以下が可能になります。
必要なものだけを、必要なときに割り当てることで、最小特権アクセスを実現
自動プロビジョニングワークフローによるJust-in-Time(JIT)アクセス
すべての権限に対する継続的なアクセスレビューを行い、固定された特権を特定して修正
ポリシーベースのプロビジョニング解除による、放置されたアカウントまたは古いアカウントの防止
**Identity Security Posture Management** と OIG は、ユーザーが認証を試みる前であっても、アクセスが厳密にスコープされ、継続的に管理され、リスクを認識していることを保証します。
Okta認証
次の図は、Oktaプラットフォームが認証の前、最中、後のすべてのアクセス段階で多層防御をどのように提供するかを示しています。各レイヤーがどのように機能するかを詳しく見てみましょう。
認証前:開始時点からの防御強化
セキュリティの道のりは、ユーザーが認証を試みる前から始まります。認証前において、Oktaはネットワークレベルのチェックを適用し、疑わしいアクティビティを早期にブロックし、正当なユーザーのみが認証プロセスを開始できるようにします。
仕組みは次のとおりです。
エッジルーター
このレイヤーでは、Oktaはレート制限を実施し、分散型サービス拒否(DDoS)攻撃に対する組み込みの保護を提供します。以下は、プラットフォームがDDoSの脅威からどのように防御するかについての内訳です。
Oktaは、高度な技術を使用してDDoS攻撃の軽減を支援します。
AWS Shield Advancedの統合:Oktaは、AWS Shield Advancedを利用して、HTTPフラッドを含むインフラストラクチャおよびアプリケーションレイヤー攻撃を網羅する、包括的なDDoS検出および保護を実現しています。
AWS WAFによるフィルタリングの強化:Oktaは、IPアドレス、地理的ブロック、およびHTTPヘッダー情報に基づいて自動フィルタリングを行うためにAWS WAFを採用しています。
多層的な顧客保護:Oktaは、セル/顧客組織レベルでさまざまな保護手段を実装します。
DDoS 攻撃の影響を制限する、個別の Okta セル
ウェブプロキシレベルでのインバウンドURLリクエストのフィルタリング
リソース使用率によるDoSを防ぐためのレート制限
不明なデバイスによるロックアウト検出
レート制限:Okta APIは、ボット攻撃からの保護を強化するために、レート制限の対象となります。これらのレート制限は、クライアント、APIエンドポイント、および組織レベルごとに適用されます。
許可/拒否リスト
Oktaは19,000を超える顧客をサポートし、毎月数十億のログインを保護しており、Oktaは業界や環境全体でアイデンティティベースの脅威を幅広く可視化できます。保護を強化するために、プラットフォームはグローバルな攻撃対象領域を継続的に監視し、匿名化されたシグナルを使用して検出モデルを改善します。これらの洞察は、顧客のデータやプライバシーを損なうことなく、Oktaの多層防御アプローチを強化します。
この戦略の主要なツールの1つは、動的な許可/ブロックリストであり、すべてのお客様に追加の保護レイヤーを提供します。Okta は、リアルタイムで脅威を検出し、それに応じてセキュリティプロトコルを調整することにより、クレデンシャルスタッフィング、フィッシング、ブルートフォース攻撃など、さまざまなサイバー脅威に対するプロアクティブな防御を保証します。この集合的なセキュリティフレームワークは、すべての Okta 顧客の保護を強化します。
Okta ThreatInsight
Okta ThreatInsightは、プラットフォーム全体のサインインアクティビティのパターンを分析して、悪意のある可能性のあるIPアドレスを特定し、認証情報ベースの攻撃を防ぎます。この保護は、匿名化されたシグナルを利用して、顧客データを公開することなく防御を強化するように設計されています。
検出およびブロックに役立つ脅威の例には、次のようなものがあります
パスワードスプレー攻撃
クレデンシャルスタッフィング
ブルートフォース暗号攻撃
ThreatInsightは、Oktaエンドポイント全体のサインイン試行の発生元を評価するため、すべての顧客にメリットをもたらすセキュリティベースラインの確立に役立ちます。
組織レベルのネットワークポリシー
ネットワークゾーンは、アクセスを要求する IP アドレスに基づいて、組織内のコンピューターおよびデバイスへのアクセスを許可または制限するために顧客が使用できる構成可能な境界です。1つまたは複数の個々の IP アドレス、IP アドレス範囲、または地理的な場所を指定して、ネットワークゾーンを定義できます。
1つまたは複数のネットワークゾーンを定義した後、Oktaサインオンポリシー、アプリサインオンポリシー、VPN通知、およびルーティングルールで使用して、事前認証の決定を行うことができます。たとえば、ブロックリストを作成すると、特定のIPアドレスまたは地理的な場所からのアクセスが自動的にブロックされます。
認証中:認証中の組織レベルのポリシーは、コンテキストに基づいています。
上記の図は、CISA および NIST モデルの影響を受けた参照図です。次に、ID 主導のセキュリティの観点から ZTA を表す参照図を見てみましょう。大まかに言って、左側の資産から右側のリソースへのアクセスを制御し、そのアクセスを下の機能でサポートしたいと考えています。
このアーキテクチャは、CISA成熟度モデルの柱であるアイデンティティ、デバイス、ネットワーク、アプリケーション、およびデータを反映しています。自動化、オーケストレーション、可視性、および分析は、5つすべてに及びます。
Oktaがアイデンティティコントロールプレーンとして機能することで、セキュリティチームは、ネットワークを移動するアイデンティティオブジェクトとデバイスからのシグナルを活用できます。次のセクションでは、認証フェーズ中にOkta内の2つの主要なポリシーをチェックし、その仕組みについて説明します。
グローバルセッションポリシー
グローバルセッションポリシーは、認証フローの次のステップを決定するためにOktaが必要とするコンテキストを提供します。ユーザーが識別されると、これらのポリシーは、デバイス、ネットワーク、ユーザーの行動、リスクレベル、アクセスされているリソースなど、複数のシグナルを評価して、どのようなアクションを実行するかを決定します。
アクションには、アクセスを許可したり、チャレンジを促したり、次回のプロンプトまでの時間を設定したりすることがあります。サインインの速度、新しいデバイスの使用、または予期しない地理位置情報などの行動も、このフェーズで評価されます。
グローバルセッションポリシーを構成して、環境でサポートされている任意の要素を要求できます。ポリシー規則のプライマリおよびセカンダリ要素の条件は、どのア認証ステップがトリガーされるかを決定します。
すべての組織には、すべてのユーザーに適用されるデフォルトのグローバルセッションポリシーがあります。ポリシーは、アクセスレベルまたはアクセス元の場所(たとえば、信頼できるネットワークと信頼できないネットワーク)に基づいて、ユーザーを高いレベルから低いレベルにグループ化して分類できます。
アクセス判断をさらに強化するために、グローバルセッションポリシーは、アクセスされる特定のリソースの認証ポリシーで定義された保証レベルを適用します。これにより、ユーザーがリソースの機密性に基づいて必要な認証基準を満たすことが保証されます。
グローバルセッションポリシーは、Oktaのグローバルセッション管理も制御します。Oktaは、組織のセキュリティを強化し、自動サインインの試行を防ぐために、CAPTCHAサービスをサポートしています。2つのプロバイダー、hCaptchaまたはreCAPTCHA v2を統合できます。
Oktaがサポートするベンダーの実装はどちらも目に見えません。各ベンダーは、ユーザーサインイン時にバックグラウンドでリスク分析ソフトウェアを実行し、ユーザーがボットである可能性を判断します。このリスク分析は、選択したプロバイダーで構成した設定に基づいています。
アプリケーション認証ポリシー
認証ポリシーは、ユーザーがアプリにサインインしたり、特定のアクションを実行したりする際の要素要件を適用します。これらのポリシーはグローバルセッションポリシーといくつかの条件を共有していますが、異なる目的を果たします。グローバルセッションポリシーを通じてOktaへのアクセス権を取得したユーザーは、アプリへのアクセス権を自動的に持つわけではありません。
組織内の各アプリに対して一意のポリシーを作成したり、複数のアプリで共有できるいくつかのポリシーを作成したりできます。さらに、Okta は標準のサインオン要件を備えたアプリに対してプリセットポリシーを提供します。後でアプリのサインオン要件を変更する必要がある場合は、ポリシーを簡単に変更したり、別のポリシーに切り替えたりできます。
アプリケーション認証ポリシーは、Okta 内のいくつかのコンテキストに基づいています。以下の各セクションについて詳しく見ていきましょう。
Okta Adaptive MFA
ユーザーとリスクレベルが常に進化するため、セキュリティもそれに応じて適応する必要があります。Okta Adaptive MFAを使用すると、ユーザーの行動、デバイスのコンテキスト、場所、その他の要因の変化に応じて、動的なポリシー変更とステップアップ認証が可能になります。Adaptive MFAは、次のようなリスクの高い状況での検出と認証の課題をサポートします。
- 脆弱なパスワードまたは侵害されたパスワードの使用
- プロキシの使用
- 地理的な場所またはゾーンの変更
- ブルートフォース攻撃とサービス拒否攻撃
- 新しいデバイスまたは信頼されていないデバイスの使用
- 異常な動作の指標
Oktaは、NIST保証レベルに準拠した、広範な多要素認証(MFA)方式をサポートしています。これらには、所持要素、生体認証の組み合わせ、知識要素、およびブレンドされたアプローチが含まれます。下の表は、各要素をタイプ別に分類したものです。
認証要素の特性
認証要素は、その方法の特性に基づいて分類できます。
デバイスバインド:特定のデバイスに紐づけられている
ハードウェア保護:認証に物理デバイスを要求する
フィッシング耐性: 認証データの共有を防ぎ、ユーザーをフィッシング攻撃から保護します。詳細については、フィッシング耐性認証と Okta のフィッシング耐性ソリューションをご覧ください。
ユーザープレゼンス: 人間のインタラクションを要求します。
ユーザー検証:認証する人の身元を確認します。
Okta FastPassは、フィッシングに強く、パスワードレスの認証システムであり、Oktaで保護されたアプリへの安全なアクセスを保証します。デバイスにローカルにインストールされたOkta Verifyクライアントとして、Okta FastPassは、潜在的な脅威を継続的に監視するデバイスバインド認証システムとして機能します。Device AssuranceおよびDevice Trust機能を介したデバイス検証に基づいて、デバイスが管理対象であるか非管理対象であるかを判断します。
FastPassは、管理対象外のデバイスに対してデバイスの衛生状態ポリシーを適用し、企業アプリケーションへの安全なアクセスを保証することもできます。さらに、Endpoint Detection and Response(EDR)シグナルと統合し、サインインプロセス中に評価するためにそれらを収集してOktaに送信します。
Okta Device Trustコンテキストアクセス管理ソリューションにより、組織は信頼できる管理対象デバイスからのみアクセスを許可することにより、機密性の高い企業リソースを保護できます。従来の企業境界がなくなったため、ユーザーはさまざまなクライアント、プラットフォーム、ブラウザーからアプリケーションにアクセスするようになりました。
OktaのZero Trustセキュリティモデルの一環として、デバイスの信頼により、ユーザーは信頼できるデバイスからアプリケーションにアクセスできるようになります。管理対象デバイスは信頼性が高いと見なされ、最小限の保証が必要ですが、管理対象外デバイスはより高いレベルの信頼が必要です。
Device Assurance ポリシーを使用すると、認証ポリシーの一部として、セキュリティ関連のデバイス属性のセットを確認できます。たとえば、Okta で保護されたリソースへのアクセスを許可する前に、特定のオペレーティング システムのバージョンまたはセキュリティ パッチがインストールされているかどうかを確認するようにポリシーを構成できます。デバイスチェックを認証ポリシーに統合すると、組織のシステムやアプリケーションへのアクセスを試みるデバイスに対して最小限のセキュリティ要件を設定できます。
Okta Verifyを組織のEDRソリューションと統合できます。ユーザーが保護されたリソースにアクセスしようとすると、Okta Verifyはコンテキストと信頼シグナルを求めてデバイスをプローブします。これらのシグナルは、Okta Admin Consoleで構成された認証ポリシーに対して評価されます。この統合により、同じデバイスで実行されているEDRクライアントによってキャプチャされたシグナルを活用して、デバイスポスチャの評価が拡張されます。
アプリケーションポリシーは、ユーザーが特定のリソースを認証するために満たす必要のある保証レベルを定義します。これらのポリシーは、詳細な統合と、ユーザーID、デバイスタイプ、地理的位置などのさまざまな要素に基づいています。
認証後:継続的な監視とIdentity Threat Protection
ユーザーが認証されたら、戦いは終わりではありません。認証後のフェーズでは、Oktaはユーザーアクティビティの監視を継続し、アイデンティティ脅威保護(ITP)戦略を適用して、継続的なリスクを検出して対応します。
継続的な監視
Oktaは、認証後にアイデンティティシグナルを継続的に監視して、異常を検出します。これには、予期しないアクセス試行や、典型的な使用パターンからの逸脱など、ユーザーの行動の変化が含まれ、セキュリティチームがリアルタイムで脅威に対応するのに役立ちます。異常が検出された場合、Oktaはユニバーサルログアウトなどの自動修復アクションをトリガーしたり、ワークフローを実行して、さらなる調査のためにアカウントを一時的にロックしたりできます。
Identity Threat Protection
今日のデジタル世界では、アイデンティティセキュリティが非常に重要であり、OktaのIdentity Threat Protectionは、動的でユーザー中心のアプローチを提供します。その中心となるのは、上記の図からわかるように、Identity Threat Protectionが、さまざまな脅威サーフェス(エンドポイント、ZTNA、メールなど)からのサードパーティシグナルと、Okta VerifyのようなOktaプラットフォームからのファーストパーティシグナルを収集することです。これは、リスクを継続的に評価し、セキュリティ上の脅威を示す可能性のあるコンテキストの変化を監視するのに役立ちます。
リスクエンジンは、ログイン中のセッションリスクを評価し、IPやデバイスのコンテキストなどの要素を分析することにより、重要な役割を果たします。しかし、そこで終わりではありません。Identity Threat Protectionは、エンティティユーザーリスクを通じてユーザーの全体的なIDを追跡します。これには、デバイス、アプリケーション、ネットワーク、データなど、すべてのタッチポイントにわたるユーザーのリスクプロファイルが含まれます。この包括的なアプローチは、クレジットスコアに似ており、マルウェアやアカウントの乗っ取りなどのネイティブおよびサードパーティのリスクシグナルに基づいて、ユーザーの全体的なリスクを評価します。
システムの右側では、ポリシーはリアルタイムのリスク評価に基づいて特定のアクションを指示します。これらには、ユニバーサルログアウト、高リスクシナリオに対するステップアップ多要素認証(MFA)、および同じ Shared Signals Framework(SSF)を使用したダウンストリームへのリスクコンテキストのストリーミングを含めることができます。
SSFを使用すると、セキュリティイベントプロバイダーとの共有シグナルレシーバーの構成統合を構成して、ユーザーのエンティティリスクエンティティリスクポリシーの検出設定に通知できます。これにより、セキュリティイベントプロバイダーはリスクシグナルをOktaに送信できます。セキュリティイベントプロバイダーからリスクシグナルを受信することで、潜在的なアイデンティティの脅威をさらに発見できます。
サイバーセキュリティへの総合的なアプローチ
Okta Identity Security Fabricは、ユーザーが認証を行うずっと前から、IDライフサイクルのあらゆる段階を保護するために構築された、最新の調整されたサイバー防御アプローチです。ガバナンスとIdentity Security Posture Managementから始まり、最小権限を確立し、ジャストインタイムアクセスを強制し、資格を継続的に見直して、固定権限を排除し、攻撃対象領域を削減します。このプロアクティブな態勢により、適切なIDのみが存在し、必要な場合にのみ存在することが保証されます。
そこから、認証はコンテキストを認識し、適応性があり、強力なポリシーフレームワーク、FastPassのようなフィッシング耐性のある方法、およびきめ細かいデバイスとセッションのインテリジェンスによって強化されます。アクセス決定は静的ではありません。ユーザーとデバイス全体のリアルタイムのコンテキスト、リスクレベル、および信頼シグナルを反映しています。
セキュリティはサインイン後も終わりません。Identity Threat Protectionを使用すると、Oktaは認証後のアクティビティを継続的に監視し、環境全体のリスクシグナルを関連付け、疑わしい動作に対する自動修復を可能にします。つまり、ステップアップ認証の強制、アクセスの取り消し、セキュリティワークフローのトリガーなどです。
これらの機能は、独立したコントロールではなく、相互接続されたアイデンティティ・セキュリティ・ファブリックとして機能します。管理されたアクセス、セキュアな認証、および継続的な監視が連携して、回復力があり、スケーラブルで、インテリジェントな防御層を提供します。
アイデンティティが新しい境界である世界では、Oktaは組織がアイデンティティをセキュリティ戦略の基盤とし、今日の動的で分散した環境全体でのアクセスを保護するために必要な可視性、制御、および適応性を提供できるようにします。
