Oktaは毎月、莫大な数の認証を正常に処理していますが、悪意あるリクエストを阻止する件数も相当な数にのぼります。アイデンティティ脅威からの保護(ITP)によって、Oktaはこうした保護を初回認証だけでなく、アイデンティティのライフサイクル全体へと広げました。ITPの検知機能がより高度になったのは、Oktaエコシステム全体から得られるインサイトによって継続的に強化されているためです。本ブログでは、ITPの仕組みと価値を示すために、次の3つのポイントについてご紹介します。
- ITPが必要な理由とその仕組み
- 実際の統計データと、導入済みのお客様が実感しているメリット
- ITPをより有効に活用するための専門家からの推奨事項
なぜアイデンティティ保護はログイン時だけでは不十分なのか
アイデンティティ分野をリードするプロバイダーとして、Oktaはアイデンティティを標的とした攻撃で使われる新たな戦術、技術、手順(TTPs)を特定できる独自の立場にあります。攻撃者は、漏えいした認証情報の利用、高度なフィッシング基盤、盗んだアイデンティティトークンなど、さまざまな手法に基づくTTPsを用いて攻撃を行います。
フィッシング耐性のある認証者を使用するように強制すれば、認証のセキュリティを強化し、サインイン時のセッショントークン盗難を防ぐことができます。しかし、それだけでは認証後にトークンが盗まれるケースは防げません。アクティブなセッションはいつでも盗まれる可能性があり、ユーザーが利用していないときも例外ではないからです。そのため、攻撃者のTTPsが進化するにつれて、ユーザーのアイデンティティそのものが侵害される可能性も高まります。ITPは、次の機能を提供することで、こうしたセキュリティギャップに対応します。
- セッションリスクの評価 - アクティブなユーザーセッション中に実行される操作を継続的に評価し、アクセスポリシーに準拠しているかを確認するとともに、そのセッションが正当なアカウント所有者によって使用されているかを検証します。
- ユーザーリスクの評価 - ユーザーに関連するアクティビティを継続的に(ユーザーにアクティブなセッションがない場合も含めて)評価し、ユーザーのアイデンティティが侵害されていないかを確認します。
- 自動対応の構成 - 脅威が検知された際にそれを軽減するための自動対応を、IT管理者やセキュリティ管理者が構成できます。
セッションリスク:セッションハイジャックに対するリアルタイム保護
ITPの一部として導入されたセッションリスクの概念によって、ユーザーのアクティブなセッションに関連するリスクレベルを継続的に監視できるようになります。リスクはセッションの中で状況に応じて変化します。たとえば、以下に示すTaylorのタイムラインについて考えてみましょう。
8:30(T1):セッション開始
Taylorはオフィスで仕事を始め、Okta FastPassのようなフィッシング耐性のある認証者を使って業務用アカウントにログインします。既知のネットワーク、既知のデバイスからのログインであり、既知のフィッシング耐性のある認証者を使用しているため、ITPはこのセッションのリスクは低いと判断します。
10:45(T2):セッション中の場所の変更
Taylorは、普段主に使用しているオフィスからセッションを開始しましたが、その後クライアント先へ移動して仕事を続けます。ITPはアクティブなセッション中に場所が変化したことを検知し、アクセスポリシーを再評価したうえでMFAを要求します。Taylorは認証要求に応答し、そのまま業務を続けます。
12:15(T3):セッション侵害の検知と対応
攻撃者はフィッシングEメールを使ってTaylorをだまし、デバイスにマルウェアをダウンロードさせます。攻撃者はTaylorのセッションクッキーを盗み、自分たちのインフラストラクチャからそれを利用してTaylorになりすまそうとします。ITPはセッションが侵害されたことを検知し、直ちにUniversal Logoutを実行してセッションを無効化します。その結果、盗まれたセッションクッキーは使用できなくなります。一方、Taylorはスムーズに再認証を行い、新しいセッションを確立してそのまま業務を続けます。
このようにOktaは、盗まれたセッショントークンの悪用を防ぎながら、エンドユーザーにはシンプルで違和感のないエクスペリエンスを提供します。これら一連の動作はすべてOktaのITPによって調整されているため、セッションのライフサイクル全体を通じて、アクティブなユーザーセッションが組織のアクセスポリシーに準拠するようになります。
セッションリスク評価の仕組み
ITPは、アクティブなOkta(IdP)セッションのリスクレベルを継続的に評価します。セッション中にネットワークやデバイスの属性が変化した場合、ITPはセッションのコンテキストが変化したと判断します。そのうえで、機械学習モデルと対象を絞ったヒューリスティックを用いて評価を行い、セッションリスクのレベルが低・中・高のいずれにあたるかを判定します。
セッションコンテキストの変化をきっかけに、グローバルセッションポリシーとアプリサインインポリシーを再評価します。そして、セッションリスクレベルをもとに、ポリシーに準拠するために何らかの対応が必要かどうかを判断します。ポリシー再評価の結果がDENY(拒否)となった場合、またはポリシーによって要求されたMFAチャレンジにユーザーが応答しなかった場合、ITPはそれを「失敗」とみなし、セッション保護の適用設定に構成された軽減措置を実行します。
結果
2025年10月15日から2025年11月15日までの30日間の結果は以下のとおりです。
- セッションコンテキストの変化:ITPは約600万件のセッションコンテキストの変化を検知しました。
- ポリシー再評価の失敗 - 600万件のセッションコンテキスト変化によってトリガーされたポリシー再評価全体のうち、ITPは約5,000件のポリシー再評価を失敗とみなし、高いセッションリスクを伴うと判定しました。
- Oktaセッションの修復 - ITPを利用中のお客様は、自動アクション(インラインMFAの要求やセッションの無効化)によって、潜在的にリスクのあるOkta(IdP)セッションを1,000件以上即座に修復しました。
- アプリセッションの修復 - ITPを利用中のお客様は、自動アクションを使用して、潜在的にリスクのあるアプリセッションを6,000件以上無効化しました。
- 追加のアクション - ITPを利用中のお客様は、ワークフローの実行という追加のアクションを少なくとも250回行いました。
この結果から、ITPが大規模な検知やポリシー評価を実行しているだけではなく、最も重要な高リスクイベントをお客様がアイデンティティレイヤーで特定し、先回りして防御するうえでITPが役立っていることも分かります。
ユーザーリスク:セッションやアプリ全体でリスクを関連付け
ユーザーリスクの概念は、ユーザーアカウントのセキュリティ状態を経時的に追跡するために導入されました。前述のとおり、セッションリスクもユーザーリスクに影響を与える要因の1つです。
ユーザーリスク評価の仕組み
ITPは、さまざまな方法を用いてユーザーリスクを継続的に集約し評価します。以下にその例を示します。
- 脅威インテリジェンスと分析:Okta脅威インテリジェンスチームが精査した検知情報を活用し、既知の悪意あるインフラストラクチャと通信したユーザーアカウントを特定します。たとえば、一般的な業務アプリケーションを標的とするPhaas(Phishing as a Service)プラットフォームに関連するIPアドレスとの通信などが検知対象になります。
- インライン検知:既知の悪意あるIPからの認証情報登録、漏えいした認証情報を用いた認証、セッションハイジャックなど、攻撃者による重要な操作をリアルタイムで検知します。
- 複数イベントに基づく推論:Oktaのバッチデータパイプラインを用いて機械学習モデルやヒューリスティックを実行し、過去に成功した不審なログインを特定します。
- パートナーから報告されたシグナル:標準規格に準拠したOpenIDのShared Signals Framework(SSF)を使用して、パートナーベンダーからContinuous Access Evaluation Profile(CAEP)イベントを取り込みます。
- エンドユーザーまたは管理者から報告された異常:エンドユーザーや管理者がユーザープロファイル上で不審なアクティビティを直接報告した場合、高い信頼度を持つシグナルとして扱われます。
ユーザーリスクの検知結果が収集・分析されると、「エンティティリスクポリシー」と呼ばれるポリシーに基づいて、リスクレベル(低、中、高)に応じたダウンストリームの対応をトリガーできます。たとえば、すべての接続アプリに対するUniversal Logoutや、Okta Workflowsを通じた他のアクションなどを実行できます。
結果
2025年10月15日から2025年11月15日までの30日間の結果は以下のとおりです。
- 下のグラフに示すように、ITPは200以上の組織で、約8,000人のユーザーを高リスクと検出しました。
- これらのユーザーのリスクのうち6,500件以上が、エンティティリスクポリシーの一環として、Universal Logoutの実行やWorkflowの実行などの自動アクションを通じて改善されました。
- この期間中、Okta脅威インテリジェンスによる検知では、46の組織で約220人のユーザーが高リスクと判定されました。
なお、Okta脅威インテリジェンスチームは最近、VoidProxyという巧妙で防御回避能力の高いPhaasを発見しました。VoidProxyのインフラストラクチャに関する詳細な分析はOktaセキュリティ関連ブログで公開されています。またOktaのお客様は、同様のサービスに関する分析をsecurity.okta.comから閲覧・ダウンロードできます。
これらのインフラストラクチャで行われた悪意のある活動を明らかにするために、以下のグラフでは、VoidProxyに関連するIPアドレスから発生した4日間の活動を示しています。このデータから、このIPを使用した攻撃者が、少なくとも24の異なる組織に対して攻撃を試みていたことが分かります。このIPからのログイン試行はすべて拒否されるか、MFAチャレンジが途中で放棄されました。また、ITPは攻撃の標的となったユーザーに対してuser.risk.detectイベントを発生させ、本件に関連する悪意あるIPアドレスをイベントに追加しました。
不正利用の再発を防ぐために、ITP管理者はエンティティリスクポリシーを使用して、悪意のあるIPを検知したらブロック対象ネットワークゾーンに自動的に追加するワークフローを構成できます。
次のステップは?
最近リリースした3つの新しいユーザーリスク検知機能について、皆様からのフィードバックをお待ちしております。今後のブログでは、ユーザーリスクの検知や、それがお客様のセキュリティに与える影響、OktaのAI活用方法について、さらに詳しく紹介する予定です。
前述のとおり、ITPの検知が高度なのは、Oktaエコシステム全体で観測されるシグナルをもとに分析を行っているためです。中心的なアイデンティティプロバイダーとしてグローバルな視点を持つOktaだからこそ、単一の組織では見えない新たな攻撃パターンや脅威を、数千の組織で検知することができます。こうした知見は継続的にITPの検知機能に取り込まれるため、Oktaは事前対応型ですべてのお客様を保護できます。このようなセキュリティのネットワーク効果によって可能になったリアルタイムな脅威インテリジェンスは、単一テナント型のソリューションやアイデンティティプロバイダー以外の製品では実現できないレベルのものです。
推奨事項
セッションリスク
- セッションリスクの評価がポリシー評価の際に考慮されるのは、アクセスポリシーでリスク条件が設定されている場合のみです。そのため、まだ設定していない場合には必ず設定することを強くお勧めします。
- ITPを数日間モニタリングモードで運用して挙動を確認した後、セッションハイジャックへの対策としてセッション保護ポリシーを「アクションを伴う強制」モードに設定してください。
- モニタリングの結果をもとに、新しいセッション保護の検知設定を活用して、セッションのリスクレベルや信頼済みネットワークゾーンを設定できます。この設定によって、指定した信頼済みネットワークゾーンやリスクレベルから開始されたセッションについてのみ、ポリシーの再評価をスキップできます。
- Oktaは、セッションコンテキストの変化があったときにシステムログに記録します。最も重要な脅威に対処できるよう、リスクレベル上昇の原因となったイベントに重点を置いて確認することをお勧めします。
ユーザーリスク
- エンティティリスクポリシーで、高リスク検知に対する推奨アクションを実行してください。
- Shared Signals Framework(SSF)を活用して、利用しているセキュリティベンダーからCAEPイベントをOktaに送信できます。この連携によって、Oktaのリスクエンジンはユーザーリスクの評価を強化できます。
- 組織内でのITPのユーザーリスク検知精度向上のために、リスクエンジンにフィードバック(誤検知など)をご提供ください。
- 不審なEメールやフィッシングサイト、攻撃者が用いる一般的なソーシャルエンジニアリング手法を見分けられるよう、ユーザー教育を行いましょう。また、エンドユーザー通知と不審なアクティビティのレポートを構成して、ユーザーが潜在的な問題を簡単に報告できるようにすることも重要です。
おわりに
ITPの一般提供を開始してから1年以上が経過し、お客様はすでに、攻撃の早期検知や迅速な自動対応といった具体的なメリットを実感されています。組織をリスクにさらしたままにしてはいけません。セッションリスクとユーザーリスクに関する推奨事項を実行し、ITPの潜在能力を最大限に活用することで、ユーザーを継続的に保護できる体制を整えてください。また、Oktaが自社内でどのようにITPを導入したかについては、こちらをご覧ください。さらに多くのベストプラクティスもご確認いただけます。
