このブログはこちらの英語ブログの機械翻訳です。
Okta Secure Identity Commitmentのもとで導入された、インフラストラクチャ、顧客、および顧客の顧客を保護するための機能の概要
アイデンティティは攻撃を受けています。ランサムウェアグループ、国家を背景とした攻撃者、悪意のある内部関係者、その他のサイバー犯罪者によって攻撃されており、近年、すべての従業員および消費者向けアプリケーションに対する主要なエンタープライズセキュリティのエントリポイントとして浮上しています。
その結果、IDの脅威に対する包括的な保護対策なしに、セキュリティ戦略や態勢を完了させることはできません。
大手独立系アイデンティティ企業として、Oktaはこの責任を真剣に受け止めています。2024年2月、Okta Secure Identity Commitmentを発表しました。
- 市場をリードするセキュアなアイデンティティ製品とサービスを提供する
- Oktaの企業インフラを強化する
- お客様のベストプラクティスを推進し、お客様を確実に保護する
- アイデンティティ攻撃に対する業界の防御力を向上
この記事では、当社の製品、エンジニアリング、セキュリティ、およびビジネステクノロジーチームが、Okta Customer Identity Cloudを強化するために行ってきた作業の一部を共有したいと思います。特に、以下を保護するためです。
- 当社のインフラ
- Oktaのお客様
- お客様のお客様
インフラストラクチャの保護
私たちは、事業継続がお客様のセキュリティ、そしてより根本的には、お客様がビジネスを行い、ユーザーにサービスを提供する能力に直接影響を与えることを認識しています。
当社のすべての内部担当者、プロセス、テクノロジーは、顧客向けの製品と同じ厳格なセキュリティ基準に準拠しており、セキュリティに対する全体的で内側からのアプローチを重視しています。
さらに、私たちは付随的な(つまり、本番環境に隣接する)システムと企業システムをさらに強化するために投資を加速しています。公開されている投資と活動の包括的なリストは、 Okta Secure Identity Commitment whitepaperにあります。
お客様のセキュリティ保護
管理者アカウントは、これらの役割に関連付けられた昇格された権限により、アカウント乗っ取り(ATO)攻撃の標的になることがよくあります。
特権ロールをターゲットとするATO攻撃から保護するために、いくつかの新機能を導入しました。
すべてのAuth0ダッシュボード管理者に対するMFAの要求
強力なセカンダリ要素による多要素認証(MFA)は、既知の(つまり、盗まれた)認証情報を使用するか、ブルートフォース技術を使用するかにかかわらず、ATO試行に対する防御を大幅に強化する実績のある方法です。
以前は、MFAはAuth0管理者のオプションの要件であり、この防御レイヤーなしで快適に運用している組織に、段階的な認証の摩擦を課すことを避けるためでした。ただし、進化する脅威の状況に対応して、ユーザー名/パスワードベースのログインまたはサードパーティのソーシャルログインを使用するすべての管理者に対して、MFA(多要素認証)が必須になりました。
Auth0 Teamsによるセキュリティ制御とガバナンスサポートの強化
Auth0 Teamsは、テナントとテナントメンバーの管理を簡素化すると同時に、Auth0ダッシュボードの可視性を高めるためのプラットフォームです。Auth0 Teamsについてさらに詳しく説明すると、次の機能があります。
- 関連する詳細(地域、テナントタイプなど)を含むテナントの可視性
- テナントメンバーの可視性と制御(誰がどの役割でどのテナントにアクセスできるか)
- Auth0へのチームおよびテナントメンバーのアクセスに対して、独自のIDプロバイダーでシングルサインオン(SSO)を強制する機能
- 特定のチームでのテナント作成を制限する機能
- サブスクリプションと請求の詳細を管理する機能(セルフサービスサブスクリプションの場合)
テナントアカウントメンバーシップの上にAuth0 Teamsが配置されているため、ユーザーがテナントアカウントメンバーシップ内の詳細を作成、読み取り、更新、および削除するための単一の可視性と制御のポイントになります。
CIC管理ポータルでのASNバインディング
より安全な認証形態に対応して、攻撃者は保護されたアプリケーションや環境へのアクセスを得るための代替手段として、セッションクッキーを標的にしています。
通常、ブラウザから情報窃盗犯やその他のマルウェアを介して、または中間者攻撃を介して抽出されるセッションクッキーは、サイバー犯罪者がアラートを発生させることなく正当なユーザーをなりすますことを可能にするゴールデンチケットのようなものです。攻撃者がセッションクッキーを盗み、それをブラウザに注入すると、セッションがアクティブな限り、多くの場合、正当なユーザーと同じセッションにアクセスできます。
セッションハイジャックはある程度スケールできますが、このアプローチは、価値の高い組織の特定のユーザー(管理者など)に対する標的型攻撃の一部として使用される可能性が高くなります。
確立されたセッションのハイジャックを防止するため、APIまたはウェブ要求中に観測されたASN(自律システム番号)がセッション確立時に記録されたASNと異なる場合、OktaはOkta Admin Consoleセッションを自動的に取り消します。
正当な管理者ユーザーが場所を変更した場合(たとえば、自宅でログインし、その後コーヒーショップから再接続した場合)、または攻撃者がセッションをハイジャックしようとした場合など、そのような条件が満たされると、正当な管理者ユーザーは再度ログインする必要があります。
お客様のお客様のセキュリティ保護
B2C(Business-to-Consumer)のコンテキストでは、ATOが成功すると、攻撃者はリソース(例:ロイヤルティポイント)、特権(例:購入を行う能力、特に供給が限られている製品の購入)、および貴重な人口統計および個人を特定できる情報(PII)へのアクセスを得る可能性があります。
B2B(Business-to-Business)のコンテキストでは、ATOが成功すると、攻撃者は非常に機密性の高いデータにアクセスし、標的組織に重大な規制および契約上のペナルティを科す違反につながる可能性があります。極端な場合、アカウントを侵害すると、ビジネスの中断につながる可能性があります。
残念ながら、セキュリティ対策の不備(特に、単純、一般的、または再利用されたパスワードの形式)は、多くのユーザーアカウントが自動化されたパスワードベースの攻撃に対して脆弱であることを意味します。
さらに、顧客ID、およびそれに関連する権利と特権の保護は、認証だけでは終わりません。攻撃者がセッションクッキーを盗み、それをブラウザに注入すると、セッションがアクティブである限り、正規のユーザーと同じセッションにアクセスできることがよくあります。
これらの脅威に対抗するために、Customer Identity Cloud内に多くの新しいセキュリティ機能を導入しました。
第4世代ボット検出
Bot Detectionは、Okta AIを使用して、認証システムを標的とするボットのほぼ80%をフィルタリングできることが証明されています。重要なことに、これらの防御機能は、不必要なユーザーの摩擦を導入することなく実現されています。Bot Detectionの中核となるAIを慎重にトレーニングし、継続的に調整することで、人間のユーザーがCAPTCHAを提示されることはほとんどなく、シームレスなエクスペリエンスを維持できます。
さらに、この有効性は非常に強力な抑止力であるというかなりの証拠があります。一部の最大規模の顧客は、このAttack Protection機能を有効にした後、ボットトラフィックの90日間の平均がほぼ90%減少しました。Bot Detectionの最新バージョンには、ボットに対する有効性をさらに向上させるためのサードパーティデータが組み込まれています。
パスキー
B2BおよびB2C組織は、顧客認証フローにおける摩擦に特に敏感です。不必要な摩擦は、コンバージョンと収益に悪影響を与える可能性があるためです。
Adaptive MFAとStep-up Authenticationは、利便性とセキュリティのバランスを取るのに役立ちましたが、パスキーはすでに、多くの点で他のアプローチのユーザビリティを上回る、安全で便利で使い慣れたユーザーエクスペリエンスを提供することが証明されています。
FIDO AllianceおよびWorld Wide Web Consortium(W3C)標準に基づいて、パスキーはパスワードを暗号化キーペアに置き換え、フィッシング耐性を高めます。これらは、ユーザーがモバイルデバイスのロックを解除するのと同じ方法でアクセス(つまり、使用)できます。通常は、生体認証またはデバイスアクセスコードを入力します。
Okta Customer Identity Cloudのパスキーを使用すると、アプリケーションビルダーとデジタルチームは、ログインの摩擦を減らし、ATOに対する保護を強化できます。
Session management API
パスキーは、パスワードを排除するための重要なステップであり、アカウントの乗っ取りとの戦いに役立ちます。ただし、上記のように、今日の攻撃者は認証セキュリティとは無関係な脅威であるセッションハイジャックに重点を置いています。
当社の新しいSession Management APIを使用すると、企業と開発者は、アプリケーション全体のユーザーセッションのリストと取り消しへの集中アクセスを提供することにより、エンドユーザーの認証後のエクスペリエンスをより細かく制御できます。企業がセッションがハイジャックされた疑いがある場合、セッションを事前に取り消し、顧客と組織を保護できます。
Okta Secure Identity Commitment について常に最新の情報を入手してください。
Oktaは、IDベースの攻撃との戦いにおける業界のリーダーになることを約束しており、テクノロジーと脅威の状況とともに進化し続けます。
最新の開発状況を把握し、IDセキュリティチェックリストなどの追加リソースにアクセスするには、Okta Secure Identity Commitmentランディングページにアクセスしてください。
これらの資料およびその中の推奨事項は、法的、プライバシー、セキュリティ、コンプライアンス、またはビジネス上のアドバイスではありません。これらの資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、および法的展開、またはすべての関連する問題点を反映していない場合があります。ご自身の弁護士またはその他の専門家のアドバイザーから法的、セキュリティ、プライバシー、コンプライアンス、またはビジネス上のアドバイスを受ける責任があり、ここでの推奨事項に依存しないでください。Oktaは、これらの資料の推奨事項の実装から生じる可能性のある損失または損害について責任を負いません。Oktaは、これらの資料の内容に関する表明、保証、またはその他の保証を行いません。Oktaのお客様への契約上の保証に関する情報は、okta.com/agreementsにあります。
