Oktaの最新のAIセキュリティイノベーションが今ここに 設計指針を入手する
無料トライアル お問い合わせ

隠れたセキュリティリスク:Okta Identity Security Posture ManagementでWorkdayを保護

作者について

Orr Dermer

Security Product Specialist

Orr Dermer has over nine years of experience in the cybersecurity field, focusing on identity and authentication flows. Before his current role as a Security Product Specialist, he was a core software engineer on Okta's Identity Security Posture Management platform, researching diverse customer environments, identity providers and security policies.

02 12月 2025 読了目安時間: ~

トピック

Identity Security Posture Management (ISPM)

目次

セキュリティの専門家には興味深い問題ですが、私たちが本当に夜も眠れなくなるほど心配しているものは何でしょう。顧客データ、本番環境、ソースコードへのアクセスでしょうか。では、こんな質問をしてみましょう。人事や経理のシステムは、優先順位リストのどのあたりにありますか?

もちろん重要だと誰もが認めるでしょう。しかし、特に技術的なバックグラウンドを持つ多くの人にとっては、これらのシステムは優先順位が少し下がりがちです。それは、自分たちの専門領域にあるシステムのほうが、複雑さを実感しやすいからかもしれません。あるいは、人事や経理のシステムを、SSOポータル上の単なるタイルのように捉えて、アイデンティティプロバイダーとうまく連携して動作するのが当然だと期待しているからかもしれません。

しかし、Workdayは単なるアプリケーションのひとつではありません。実際には、そのセキュリティモデルは、私たちが一般的にSaaSアプリに対して想定する境界の多くを超えて広がっています。Workdayの内部では、強力で複雑、しかも多くの場合は表からは見えない独自のセキュリティモデルが動作しており(それには十分な理由があります)、もし誤って構成されてもIdPでは決して検知できません。

そして、Workdayは非常に価値の高い標的であり、実際に頻繁に狙われているのがわかっています。そこには、個人を特定できる情報(PII)、給与情報、銀行口座、組織の全体図といった機密性の高い人事データが保存されています。ニュージャージー州ブラウン大学ワシントン大学の報告は、憂慮すべき傾向を示しています。攻撃者は、アイデンティティ制御・管理の弱点を悪用して振込先情報を変更し、従業員の給与を盗み取って資金に容易にアクセスしているのです。

それでは、Workdayのセキュリティ保護に特有の課題をいくつか取り上げ、確実に解決する方法について考えてみましょう。

ライフサイクルのギャップ:雇用の前後にもユーザーが存在する場合

ほとんどのSaaSアプリケーションでは、アクセス権は通常、企業内のユーザーのライフサイクル(入社・異動・退職)に紐づけられているものです。しかしWorkdayは、そのような前提のほとんどを覆します。

Workdayのユーザーライフサイクルは、一般的な「採用から退職まで」という時間軸を超えて広がっています。退職後の従業員も、税務書類(W-2など)や最終給与明細を取得するためにアクセスする必要があります。また、正式な入社前の内定者に、オンボーディング手続きを行うためのアクセスが付与されることも少なくありません。こうした仕組みにより、標準的なIdPのライフサイクル管理を経由しないスタンディングアクセスの経路が生まれます。同様の理由から、これらのアカウントへのアクセスは通常の社内SSOを経由せず、ユーザー名とパスワードの組み合わせ(MFAの有無を問わない)で行われる場合があります。

適切に管理されていれば、これは問題ではありません。実際、WorkdayにはTerminee as Selfセキュリティグループのように、この目的のために用意された機能もあります。しかし、それでもなお、これはほとんどのSaaSアプリケーションに当てはまる前提を覆すものであり、適切に設定されていなければ深刻なギャップを生む可能性があります。

たとえば、多くのSaaSアプリの場合、認証時にアイデンティティプロバイダーへリダイレクトする設定にしてしまえば、アプリに直接ログインする方法は存在しなくなります。ところが前述の理由から、Workdayでは依然として、SSOを経由せずにローカルの認証ページへアクセスすることが可能です(例:wd5.myworkday.com/company/login.htmld?redirect=n)。もし認証情報の管理が不十分だったり、このネイティブなログイン経路にWorkday側でMFAが強制されていなかったりすると、裏口が生まれてIdPの主要なセキュリティが無効になります。漏えいしたパスワードを持つ攻撃者が、容易に侵入できてしまうのです。

迷路のように複雑な権限構造

Workdayの権限モデルは、ロールやビジネスプロセスを中心に設計されており、非常にきめ細かくて強力です。これは機能実現のために必要なものですが、主に人事や経理部門向けに設計・運用されているため、ITチームやセキュリティチームにとっては盲点になりがちです。

この重要な権限構造を可視化できず、どのような特権付きロールが存在するのか、誰がそれを保持しているのかを把握できなければ、保護する方法をきちんと検討することもできません。

さらに、この問題を複雑にしているのが、インテグレーションシステムユーザー(ISU:Workdayにおけるサービスアカウントの呼称)の存在です。これらのアカウントは、重大な課題を生み出します。

  • 誰が作成できるのか - ISU作成権限の委任が不明確なことが多い
  • どのような権限を持っているのか - 時間の経過とともに過剰な権限が蓄積する
  • 誰が認証情報を保持しているのか - サービスアカウントのキーが共有されていたり、適切に管理されていなかったりする

その結果、「シャドー管理者」が広範に存在する状況につながりかねません。たとえば、3年前に一度限りのプロジェクトのために特別なアクセス権を付与されたユーザーが、いまだにその権限を保持している可能性があります。こうしたリスクが何年も放置されて、特定も是正もされないまま残り、侵害が発生して初めて明らかになることもあります。

IdPに匹敵するほど複雑な認証ポリシー

多くのSaaSアプリは、「認証はアイデンティティプロバイダーに委ねる」というシンプルなポリシーで構成されています。しかしWorkdayは、豊富で複雑な認証ポリシーエンジンを備えており、誰にアクセスを許可するかを独自のルールで制御できます。

Workdayでは、コンテキストに応じてきわめて柔軟なアクセス判断をネイティブに行うことが可能です。ネットワークの場所、デバイスの状態、ユーザーロールなどに応じてルールを作成し、それに基づいて認証の種類や方法を許可または拒否できます。

これは、次のようなシナリオでは理にかなっています。

  • 拡張されたユーザーライフサイクル - 退職者がW-2を取得する場合や、入社前のユーザーがオンボーディングを完了する場合
  • コンテキストに応じたアクセス - 公共Wi-Fiからの利用者をセルフサービス機能のみに制限する場合
  • 複数IdP環境 - ハブアンドスポーク型のアイデンティティモデルを採用している組織

もちろん、このようなポリシーを設定できること自体は悪いことではありません。しかし、これらのポリシーの存在をセキュリティチームが把握しておらず、アイデンティティプロバイダー側のポリシーと比較して監視の目が届きにくい場合、不適切な設定によってセキュリティリスクが生じる可能性があります。たとえば、本来は従業員以外のユーザー向けに、SSOを使わずアクセスを許可する目的で作られたポリシーが、誤って他のユーザーにも適用されてしまうことがあり得ます。

事後対応型から予防型へ:Okta ISPMによるWorkdayの保護

これらすべての問題の根底にあるのは、「見えないものは守れない」という核心的な課題です。

組織全体のセキュリティを担うには、Workdayを明確に把握する必要があります。つまり、その背後にあるセキュリティモデルを理解し、レポートを実行し、権限を監査し、さらには認証ポリシーを分析できることが求められます。

この可視性の課題を解決するのが、Okta Identity Security Posture Management(ISPM)です。ISPMは、Workdayの内部にある権限構造をセキュリティチームが把握できない状態を解消します。テナントを継続的に監視して、迷路のように複雑なWorkdayのアイデンティティを明確なシングルペインオブグラスで可視化するのです。

そして、セキュリティ体制を事後対応型から予防型へと転換し、以下を実現します。

  • 盲点の排除:ISPMは、すべてのアイデンティティをあらゆる角度から可視化します。単に「アクティブユーザー」を監視するだけでなく、退職者、アイデンティティプロバイダーを起点としないローカルユーザー、自動化されたインテグレーションシステムユーザー(ISU)も監視します。そのため、スタンディングアクセスの経路が見過ごされることがなくなります。
  • 最小権限の徹底:ISPMは、人間のユーザーとISUの双方について、データ領域との対応関係をもとに過剰な権限を持つアカウントを特定します。この機能によって、先ほど例にあげたような、3年前に管理者権限を付与されたままのサービスアカウントを発見し、問題化する前にアクセスを取り消すことができるようになります。
  • 非人間アイデンティティ(NHI)の検出と保護:ISPMは、Workdayで人間が作成したサービスアカウントと、インテグレーションシステムユーザー(ISU)を自動的に検出します。どのようなアクセス権を持っているかを即座に可視化し、ローテーションされていない認証情報、過剰な権限、非アクティブなアカウントを検出します。
  • 攻撃対象領域を削減:ISPMは、認証ポリシーが弱いアカウント(パスワードが古い、MFA未設定など)を自動的に検出し、未使用アカウントや孤立アカウントなど、直ちにセキュリティリスクとなる要素を明確にします。

その結果、高いセキュリティとコンプライアンスを維持しながら、Workday環境を常に監視できます。

最も重要なアプリケーション全体でアイデンティティの盲点を排除しましょう

Workday ISPM統合は、現在早期アクセスで利用可能です。ISPMがお客様の重要なアイデンティティインフラストラクチャに、最新のセキュリティインサイトをどのように提供できるかについては、Oktaの担当者にお問い合わせください。詳細は、okta.com/products/identity-security-posture-managementをご覧ください。

作者について

Orr Dermer

Security Product Specialist

Orr Dermer has over nine years of experience in the cybersecurity field, focusing on identity and authentication flows. Before his current role as a Security Product Specialist, he was a core software engineer on Okta's Identity Security Posture Management platform, researching diverse customer environments, identity providers and security policies.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ