問題点:保証レベルの低下
保証レベルの低下とは、ユーザーが正常かつ安全にログインした後であっても、アクティブなセッションの中で時間の経過とともに高まっていくセキュリティリスクを指します。従来のセキュリティモデルは、入口での防御には効果的ですが、ユーザーが内部に入ると可視性を失ってしまいます。いったん有効なセッショントークンが発行されると、それは攻撃者にとって価値の高い標的となります。
セッションハイジャックのような高度な脅威は認証を完全に回避できてしまうため、正規のログインから数分後、あるいは数時間後に発生する悪意あるアクティビティに、こちらが気付けない可能性があります。すべてのデータ侵害の80%以上はアイデンティティへの攻撃に関連しており、認証後に発生する脅威の増加を無視するわけにはいかないと私たちは考えました。
こうした認識が、Oktaの取り組みの出発点となりました。当社のセキュリティ戦略の要である安全なアイデンティティへの取り組みは、ログイン画面だけで完結するものではないと考えていました。私たちが求めていたのは、アクセス時点でポリシーを適用するだけでなく、ユーザーセッション全体を通じて継続的に信頼レベルを維持できるソリューションです。そして、その答えとして見出したのが、OktaのSecure Identity Commitmentの重要な構成要素であるOkta Identity Threat Protection with Okta AIでした。
解決策:Identity Threat Protection
Okta Identity Threat Protectionが、私たちのセキュリティ対策に欠けていたピースでした。このソリューションは、リスク情報を一元的に把握し、ログイン中もログイン後もリアルタイムで脅威を継続的に評価・対応します。また、Okta Identity Cloudにネイティブ統合されているため、最も重要な制御ポイントであるアイデンティティにおいて、ユーザーの行動を監視できるという独自の強みを備えています。
私たちは、この製品の中核機能によって、保証レベルの低下の問題を容易に解決できました。特に、次の3つの機能が導入決定の大きな要因となりました。
- 継続的なコンテキスト評価:この機能は、「信頼は固定的なものではない」という考え方に基づき、アクティブなセッション全体を通してリスクやユーザーコンテキストを継続的に評価します。ログイン時の単発チェックにとどまらず、ユーザーがOktaを直接操作していない場合でも、ネットワークゾーン、デバイスコンテキスト、ユーザー行動の変化をリアルタイムで監視します。これを有効に機能させるには、ネットワークゾーン、セッションポリシー、認証ポリシーを適切に設定する必要があることがわかりました。
- エンティティリスクの監視:エンティティリスクとは、すべてのデバイス、セッション、アプリケーションにおけるユーザーのリスクレベルを指します。エンティティリスクポリシーでは、セッションハイジャック、総当たり攻撃、高リスクIPアドレスからのサインインといったアイデンティティベースの脅威に関連する、ユーザーのリスクレベルの変化を監視します。また、このポリシー内では、ユーザーのリスクレベルが「高」または「中」に変化した際に実行する具体的なアクションを設定できます。
- 高精度リスクレスポンス:これは、アイデンティティベースの脅威に対応して、サポート対象のすべてのアプリでアクティブなユーザーセッションを終了させるユニバーサルログアウト機能です。攻撃者によるユーザーセッションの乗っ取り、従業員の退職、ユーザーのリスクレベルの変化、デバイス紛失、内部脅威、認証情報の漏洩などの事象が発生した場合に、ユーザーアカウントを確実に無効化できるようにします。
これらの機能を組み合わせることで、高度な認証後攻撃からユーザーセッションを保護する「常時稼働型」の防御が実現し、Secure Identity Commitmentという理念の実践につながっています。
Okta Identity Threat Protectionの導入は、戦略的かつ段階的に進められました。まずは監視・観察のフェーズから開始し、その後、積極的な制御を行う段階へと着実に移行していきました。この段階的なアプローチによって、製品機能への信頼を高めながら、自社環境に合わせてレスポンスを最適化することができました。
フェーズ1:導入開始と基盤設定
私たちがセキュリティ強化の取り組みで最初に行ったのは、Identity Threat Protectionの動的な防御機能を活用できるよう、自社環境を整えることです。具体的には、ネットワークゾーン、グローバルセッション、認証ポリシーをはじめとして、基盤となるセキュリティ設定を全面的に見直しました。目的は、Identity Threat Protectionが必要とするリアルタイムのデータ収集やポリシー評価を支えられるだけの堅牢な制御基盤を整えることでした。
基盤となるセキュリティ態勢としては、全従業員に対するVPN利用の必須化や、macOS、Windows、iOS、Androidデバイス向けの管理対象デバイス構成の導入などを実施しました。また、フィッシング耐性のある主要な認証方式としてOkta FastPassを展開しました。さらに、EDR(Endpoint Detection and Response)ソリューションから取得した信頼シグナルを連携させることで、ログインプロセスの安全性を高めるとともに、リスクを継続的に評価できるようになりました。
フェーズ2:学習と計画
基盤となる制御を整備した後、私たちの主な目的は「制御」ではなく、「観察と学習」にありました。そこで、Identity Threat Protectionを監視専用モードで導入し、自動アクションは実行せずに、ユーザーセッションからのシグナルを収集・分析するように設定しました。その結果、自社環境でどのようなリスク検知イベントが発生しているのか、また、ユーザーが認証後にどのような脅威にさらされているのかを把握できるようになりました。さらに、セッション途中でIPアドレスが変更された場合や、ユーザーのデバイスポスチャが低下した場合などを、システムログや管理ダッシュボードで確認できるようになりました。
フェーズ3:制御の実施
脅威の内容を明確に把握し、それらの脅威をシステムが確実に検知できるという十分な確信を得た段階で、制御の実施フェーズへと移行し、実際に対策を講じ始めました。高リスクの脅威に対しては、最も強力な自動レスポンスであるUniversal Logoutを設定しました。まず、Universal Logoutフレームワークに対応した、特にリスクの高い重要アプリケーションをいくつか特定し、それらに対してポリシーを適用しました。
Identity Threat ProtectionがセッションCookieのリプレイ攻撃などの確認済み脅威を検知すると、システムは自動的に、接続されているすべてのデバイスと対応アプリケーションでユーザーセッションを強制終了します。これは画期的な変化でした。侵害の可能性に対して、時間のかかる手動対応を行う必要がなくなったからです。
このように、監視から制御へと段階的に、データに基づいて導入プロセスを進めたため、スムーズに移行して、Identity Threat Protection導入の価値を最大限に引き出すことができました。
得られた知見
私たちは、Okta Identity Threat Protectionの制御を実施する中で、技術とコミュニケーションの両面で重要な学びを得ました。
技術面でのガイダンス
- Identity Threat Protectionのカスタム管理者ロール:サイバーディフェンスチーム向けに、Identity Threat Protection専用のカスタム管理者ロールを作成します。そうすれば、Identity Threat Protectionの運用に必要な権限のみを付与し、他のOkta管理機能への不要なアクセスを防ぐことができます。
- 高リスクイベントへの自動対応:エンティティリスクスコアが「高」に変化した際に、ユーザーを即座にログアウトさせるポリシーを設定します。これは、潜在的な脅威を封じ込めるうえで重要な対策です。中リスクイベントの記録・調査:エンティティリスクスコアが「中」に変化した場合は、セキュリティチームが調査できるよう、これらのイベントを詳細にログへ記録する必要があります。即時ロックアウトが必要なケースではないものの、こうしたイベントは、より深刻な攻撃の前兆である場合が少なくありません。
- エンティティリスクレポートの活用:エンティティリスクレポートは、OktaとIdentity Threat Protectionの管理者にとって不可欠なツールです。このレポートを定期的に確認することで、組織全体のリスク状況を把握し、新たな脅威を特定しやすくなります。
ステークホルダーとのコミュニケーション
早い段階から継続的に情報共有:Identity Threat Protectionの制御を実施する前後を通じて、社内ステークホルダーとの適切なコミュニケーションが重要です。事前に十分な説明を行うことで混乱を防ぎ、自動ログアウトのような措置がなぜ必要なのかを各部門に理解してもらいやすくなります。
効果:実現したビジネス価値
Okta Identity Threat Protectionを導入したことで、保証レベルの低下によって生じていたセキュリティギャップを解消し、大きな成果を得ることができました。現在のセキュリティ態勢は、初回の認証にとどまらず、認証後も先回りして脅威に対応できるものへと進化しています。
最適な組み合わせ:Identity Security Posture ManagementとOkta Identity Threat Protection
Oktaは、自社組織とユーザーを保護するため、セキュリティ基盤の強化に継続的に取り組んでいます。その中核となっているのが、堅牢なアイデンティティとアクセス管理戦略です。私たちは、セキュリティとは単に脅威へ対処することではなく、強固な防御体制を先回りして構築することだと考えています。
だからこそ、OktaのIdentity Security Posture Managementの導入を進めているのです。これは、包括的なセキュリティ強化の取り組みにおける大きな前進です。Okta Identity Security Posture Managementは、私たちがすでに活用しているOkta Identity Threat Protectionと連携して機能します。
Identity Threat Protectionがアイデンティティベースの脅威をリアルタイムで検知・対応することを目的としている一方で、Identity Security Posture Managementは、そのような攻撃を成立させる状況そのものを未然に防ぐことに重点を置いています。
高度なポスチャチェック:FastPassフィッシング検知
事前対応型のフィッシング防御をさらに強化するため、私たちは現在、過去のフィッシングキャンペーンでフラグ付けされたIPアドレスからの不審なログイン試行を検知する、新たなIdentity Threat Protectionの検知機能を計画しています。セキュリティチームがこの機能を評価・展開し、アイデンティティセキュリティ態勢のさらなる強化を図る予定です。
Oktaの導入プロセスを自社でも再現したい方は、Identity Threat Protectionのセットアップガイドをご覧ください。
