本日、OktaのCIOであるAlvina Antarは、Oktaが従業員向けアプリで100%パスワードレス化を達成したと発表しました。当社のテナント内のすべてのOktaリソースで、パスワードレスでフィッシング耐性のある認証ポリシーが使用されるようになり、ユーザーエクスペリエンスとセキュリティ体制が大幅に向上しました。
Okta on OktaOkta on Oktaが最終的なアプリケーションアクセス制御ポリシーを展開し、このマイルストーンに到達したのは8月30日でした。しかし、ゴールラインを越えることは、物語のほんの一部にすぎません。ここでは、この取り組みの舞台裏をご紹介します。
私たちの旅の起源
Oktaでのパスワードレスの取り組みは、2021年8月に、Okta ClassicからOkta Identity Engine(OIE)への独自のokta.okta.comテナントのアップグレードから始まりました。 これにより、OIEの「キラーアプリ」であるOkta FastPassにアクセスできるようになり、単一のユーザーインタラクションで高保証の多要素認証(MFA)の新しいオプションが提供されました。
その後、社内のOkta Securityチームと提携してアプリケーションのポートフォリオを評価し、追加の認証要素としてFastPassを含む新しいポリシーを構築しました。各アプリケーションのセキュリティ評価に基づいて、各アプリのデータの機密性に見合った十分なレベルの保証を提供するポリシーと認証要素にそれらのアプリを合わせました。
進捗と影響の測定
データ駆動型の企業として、認証イベントの数と各イベントで使用される認証要素の数を頻繁に測定し、導入と影響を評価しています。ポリシーの調整とユーザーエクスペリエンスに関するフィードバックへの対応を進めるにつれて、メトリックは正常化し始め、分析を開始することができました。
OIEへの切り替えから約1年後の2022年6月までに、すべての認証イベントの半数強がFastPassを使用していました。実際、認証イベントの約75%が、FastPassやWebAuthNなどの何らかの形式のパスワードレス技術を使用していました。Okta Classicでの月ごとのMFA認証の総数を収集した新しいデータと比較し、各トランザクションの完了までの時間を比較することで、従来のMFAからFastPassに切り替えるだけで、年間7,700人時以上の時間節約になると計算しました。従業員の平均コストを使用して各認証イベントの「コスト」を考慮すると、その最初の1年間で47万ドル以上の価値があることがわかりました。1
しかし、私たちはそこで止まりませんでした。
大胆な挑戦
2022年後半、Oktaのテナント向けFastPassでフィッシング耐性を有効にした直後、2023年末までにアプリポリシーからパスワードとフィッシング耐性のない認証要素を排除することに挑戦しました。これは、真空状態で発令された上からの命令ではありませんでした。これは、どのポリシー、プロセス、プラットフォームの変更を実行してこの目標を達成する必要があるかを特定するために、いくつかの内部組織(Okta on Okta、ビジネステクノロジー、セキュリティ、およびWorkforce Identity Cloud (WIC)製品チーム)にまたがる意図的で変革的な取り組みでした。
範囲は広大でしたが、変更を行うために必要な実際のチームは驚くほど小規模でした。少なくともOkta on Oktaの管理者としての私たちの視点からは。セキュリティチームのガイダンスを受けて、プラットフォームの変更を必要とせずに、既存のポリシーからフィッシング可能な要素を削除するためにどのような努力ができるかを評価することから始めました。次に、それらの「クイックウィン」の取り組みを、WIC製品のパートナーからのプラットフォームで必要となる新機能から分離しました。
その過程で、すべての認証イベントを追跡してベースラインを確立し、ポリシー調整の影響を実証しました。年が進むにつれて、データに明確な傾向が見え始めました。
これらの認証ポリシーの変更は、パスワードの使用を減らす上で最も大きな影響を与えました。これらの変更を展開するにあたり、サインオン体験がどのように変化するか、また、作業の中断を避けるためにどのような新しい行動やアクションが必要になるかをユーザーに頻繁かつ明確に伝えるようにしました。従業員は改善されたユーザーエクスペリエンスに満足していたため、この展開においてユーザーの導入や反発は問題になりませんでした。
最後のストレッチ
上のグラフが示すように、2023年中頃の約3ヶ月間、パスワードの使用率はすべての認証イベントの2%で停滞しているようでした。すべてのデバイスタイプでフィッシング耐性のある認証システムが必須となるようにポリシー規則を有効にしていたにもかかわらず、管理されていないiOSに1つのギャップがありました。
私たちは、BYOD デバイスでさえ、フィッシング耐性のあるフローをサポートできるようにしたいと考えていました。そこで、WICが開発環境に接続された実際のアプリケーションを使用してデバッグとテストを行い、Okta Verify内で目標を達成するために必要な製品変更を正確に把握できるように支援しました。準備ができたら、本番環境にデプロイし、パスワードのギャップを埋めました。現在、すべてのデバイスとポリシーには、フィッシング耐性のある認証器が必要です。
旅は続く
現在、従業員向けアプリポリシーでは100%パスワードレスですが、Oktaでのアイデンティティライフサイクルにおけるすべてのシナリオで、パスワードとパスワードを使用するオプションを完全に削除するという、次の段階に注目しています。
まもなく、その機能が利用可能になったら、アプリケーションポリシーを変更して、アプリケーションサインオンのオプションとしてパスワードを完全に削除する予定です。現在、MacOSおよびWindowsへのローカルユーザーアカウント認証の必要性をなくすために、ワークステーションで多要素、パスワードレスサインオンフローをテストしています。代わりに、すべてがOktaによって管理され、フィッシング耐性のある認証情報を使用することを目標としています。最後に、新しい従業員が入社し、オンボーディングでアカウントを設定するときに、事前構成されたフィッシング耐性のある認証を使用して、新しいユーザーをテナントとそのワークステーションに安全にブートストラップする方法を導入する予定です。今後のブログ投稿で、これらの取り組みのそれぞれの詳細にご期待ください!
このイニシアチブはまさに村全体を巻き込み、Okta on Okta、セキュリティ、および製品がすべて連携してセキュリティのレベルを引き上げるときにOktaが何ができるかを強調しています。
当社のOkta on Oktaとの会話をより詳細に行いたい場合は、フィールドチームの担当者に連絡してセッションをスケジュールしてください。
現在利用できないこのブログで参照されている未リリースの製品、機能、または機能は、期日どおりに、またはまったく配信されない場合があります。製品ロードマップは、製品、機能、または機能を提供するというコミットメント、義務、または約束を表すものではなく、顧客は購入の意思決定を行うためにそれらに依存すべきではありません。
1okta.okta.com組織内のすべての認証イベントの60日間の分析(2022年5月1日〜2022年6月30日)から得られた値であり、okta.okta.comでの2021年8月のOIE/FastPassリリース後の1年間に外挿されました。
