業務アプリの100%パスワードレス化を達成

Oktaでは、全社的なセキュリティ態勢を強化する方法を常に模索しています。また、7,000人以上の従業員の利便性を向上させるために、常に努力しています。この2つの目標を念頭に置きながら、大きなマイルストーンを達成したことを大変誇りに思います。この度、社内のOktaから接続するすべてのアプリとリソースが、100%パスワードレス化を達成し、フィッシングに強い認証ポリシーに対応するようになりました。

このプロジェクトは、自社製品をより深く理解するための取り組みとして始まりましたが、より大きな意義をもつ取り組みとなりました。その過程で、セキュリティ脅威への耐性が強化され、従業員の摩擦が減り、ビジネスの価値が向上し、さらには顧客のための新機能が生まれました。

業務でのパスワードレス必須化に至るまで

当社のパスワードレス化に向けた取り組みは、Okta on Oktaと呼ぶ社内プログラムから始まりました。これは、自社製品を積極的に活用することで、イノベーションを加速し、お客様により良いアドバイスを提供することを目的とした取り組みです。

私たちは、Okta Classicの立ち上げ当初からのユーザーであり、2019年にOkta Identity Engine（OIE）、2020年にOkta FastPassを導入した際には、これらの新しい製品についても最初で最良のユーザーにならなければならないと考えていました。

しかし、OIEとOkta FastPassへの移行を開始するにつれ、アーリーアダプターとしての気づきにとどまらない大きな潜在的メリットが見えてきました。フィッシングへの耐性だけでも、当社のセキュリティ態勢に強力で好影響を与える可能性があるため、パスワードレス化は単なる「あったらいいな」ではなく、業務を行う上で必須になったのです。

我々の取り組みをさらに促進するきっかけになったのは、COVID-19の発生です。ほぼ一夜にして、当社の全従業員がリモートでグローバルに働くようになりました。突然、私たちのユーザーは管理していないデバイスやネットワークで仕事をするようになったのです。攻撃対象は大幅に拡大し、アクセス管理はより複雑になりました。F5社によると、パンデミックの最初のピーク時には、世界的なフィッシング攻撃の数が220％も急増したとのことです。どこの企業でもそうであるように、私たちもセキュリティを強化するためにもっとできることはないかと考えていました。

この状況に対する明確な答えは、フィッシングに強い認証要素を全社的に取り入れることでした。これがパスワードレスの必須化を進めた背景です。

予期せぬ課題 - そして効果

私たちは2021年8月にOkta ClassicからOIEにアップグレードすることで、正式にパスワードレス化への取り組みを始めました。私たちはまさにアーリーアダプターで、この移行を試みた最初のユーザーでした。そのため、本番前のテストに必要なインフラを構築し、アップグレードのための綿密な準備に時間をかけました。

このプロセスには予想以上に時間がかかりましたが、その一方で、自社製品に関する貴重な洞察を得ることができました。私たちの実体験から、製品チームとエンジニアリングチームに直接フィードバックを提供することができ、彼らはアップグレードのプロセスにセルフサービス機能を追加しました。現在では、ほとんどの移行が数分で完了するようになり、お客様にはるかに優れた導入体験を提供しています。

OIEへの移行とOkta FastPassの採用だけでなく、パスワードを廃止するために認証ポリシーを再定義する必要がありました。これには、セキュリティチームとITチーム（歴史的に異なる目的を持つことがある組織）の間で、重要な調整を行う必要がありました。しかし、これらのチームは製品部門と協力し、ポリシーの定義から全体的なアーキテクチャまで、プロセス全体の戦略と設計を行いました。このパートナーシップは永続的な関係へと発展し、現在もその恩恵を受けています。

パスワードレスのその先へ

過去数ヶ月間、パスワードレス化のマイルストーンに近づくにつれ、私たちのビジネスへの影響は加速していきました。フィッシングへの耐性を強化し、攻撃対象領域を縮小することで、フィッシングの脅威への対応に費やす時間とコストを削減することができました。

しかし、パスワードレス認証の真価はさらに広がっています。例えば、パスワードのサポートにはコストがかかります。パスワードレスにすることで、パスワードの回復やリセットに関連するヘルプデスクのサポートにかかるコストを大幅に削減することができました。実際、当社の試算では、従来のMFAからOkta FastPassに切り替えた後、わずか1年で47万ドル以上の生産性を節約できました。また、当社だけではありません。Intermex Wire Transfer社によると、Oktaのおかげでパスワードリクエストに関連するサービスデスクのチケットが70%減少し、年間17万5000ドルの節約に貢献したとのことです。Oktaの他の顧客も、パスワードへの依存を減らすことで同様の節約を報告しています。

Okta FastPassでパスワードレスへ

• Okta FastPassはデバイスに依存せず、なりすましが飛躍的に困難な生体認証を採用しています。
• Okta FastPassは、脅威アクターの攻撃対象領域を縮小すると同時に、パスワードのリセットなど、ユーザーの摩擦を軽減します。
• Okta FastPassを使用することで、ユーザーはパスワードを使用せずにOkta Integration Networkにあるような数千ものアプリにログインすることができます。

現在、私たちは次の段階を見据えています。okta.okta.comのテナントで保護されたアプリとリソースへのアクセスは100%パスワードレスになりましたが、新たに発表したOkta Device Accessを介したデスクトップサインオンにも、同様のフィッシング耐性のあるパスワードレスポリシーを適用することを目指しています。

また、新入社員のオンボーディングのための新たなパスワードレスでフィッシングに強いソリューションも構想しており、これにはガバナンスのための新しいアプローチが必要になります。ユーザーのプロビジョニングやデプロビジョニングのようなプロセスは、管理が苦痛でないとしても、平凡なものである可能性があり、堅牢なガバナンスソリューションによって完全に自動化されるのが理想的です。

ソフトウェアの合理化も同様です。Nexthinx社の最近のレポートによると、全ソフトウェアライセンスの半分近くが未使用のままになっています。当社のソリューションであるOkta Identity Governanceは、ビジネスに必要なすべてのソフトウェアを一括で管理できるため、重複するアプリケーションを自動的に検出し、Oktaのアプリケーション使用データに基づいて未使用のライセンスを簡単に取り外すことができます。ロールベースのアクセス制御に基づいてソフトウェアのプロビジョニングとデプロビジョニングを自動化することで、ソフトウェアの大幅な節約とコンプライアンスの向上を実現できます。

自社のパスワードレス化を始める

パスワードレス化によってフィッシングへの耐性を強化しようと考えている企業には、まず、今後採用する新しい業務アプリケーションにパスワードレステクノロジーを採用することから始めることをお勧めします。その後、時間をかけてレガシーアプリケーションを新しいパスワードレスアプローチに合わせることができます。

従来の常識では、パスワードレス化は達成不可能な目標だと言われてきました。私たちは、そうではないことを確認できたことを誇りに思います。この取り組みは現在でも進行中ですが、パスワードレス化を実現できるものは全て揃っています。

Oktaがどのようにパスワードレス化を実現したかについては、こちらをご覧ください。

このブログで言及されている製品、特徴、機能で、現在利用可能でないものは、期限内に、またはまったく提供されない可能性があります。製品ロードマップは、いかなる製品、機能、特徴を提供することを約束するものでも、義務でも、約束でもありません。