このブログはこちらの英語ブログ(2024年10月31日公開)の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。 はじめに 2024年5月、OktaはCISAセキュアバイデザイン誓約に署名した最初のテクノロジー プロバイダーの1社となりました。この誓約では、エンタープライズソフトウェア企業が1年以内に7つの高レベルのセキュアバイデザイン目標を達成するために「誠意を持って」努力することを約束しています。 このブログでは、この誓約に対するOktaの進捗状況をお伝えします。 当初、これらの目標を達成することは難しくないと考えていました。しかし、当社の製品と業務の100%で例外なくこれらの目標を達成することを約束することは、想定以上に困難であることがわかりました。例外となるエッジケースを探し出し解決策を設計することは、重要な作業です。 目標 2024年10月時点の進捗 多要素認証の導入を推進 進行中 デフォルトパスワードの利用を削減 完了 脆弱性クラスの削減 進行中 お客様のパッチ適用プロセスの改善 進行中 脆弱性開示ポリシーの公開 完了 脆弱性の透明性の提供 完了 お客様向けのログ記録と監視を改善 進行中 技術的には取り組みの中間点にいます。しかし、セキュリティのベストプラクティスに対するOktaの取り組みは、取り組みから1年経過する2025年5月が過ぎても終了するわけではないことを強調したいと思います。Okta は、アイデンティティベースの攻撃との戦いで業界をリードするための長期的な取り組みに取り組んでいます。これを Okta Secure Identity Commitment と呼んでいます。 その点を踏まえると、CISAが目標リストを拡大し、「Secure by Design」を複数年にわたるプログラムにすることに反対するつもりはありません。Oktaでは、企業におけるアイデンティティの新しいオープンスタンダードであるIPSIEを通じて、新たな脅威に対処するためにエンタープライズアプリケーションに導入する必要があるセキュリティ機能について大きなアイデアを持っています。CISAや業界パートナーと協力して、クラウドサービスの回復力と安全性を向上する未来を築く準備はできています。 1. 多要素認証の導入を推進 「誓約書に署名してから1年以内に、メーカーの製品全体で多要素認証の使用を大幅に増やすために講じた措置を実証してください。」 現状 多要素認証は、最も費用対効果が高く、普遍的に適用可能なセキュリティ制御の 1 つであることが証明されています。 Okta は、Workforce Identity Cloudのユーザーと管理者の両方において、多要素認証の採用の高い実績を誇っています。当社は、The Secure Sign-in Trends Reportを通じて、MFAの採用、使用、パフォーマンスに関する統計を公開しています。このレポートには、MFAの総使用と特定のAuthenticator使用の相対的な増加と減少が記録されています。 2024年1月現在、Okta Workforce Identity Cloudの管理者の91%とユーザーの66%が多要素認証を使用してアプリケーションにサインインしています。これは、COVID-19渦の数か月前と比較し、 MFAの使用がほぼ2倍になったことを示しています。 Workforce Identity Cloudでサポートされている、パスワードレスでフィッシング耐性のあるサインイン方法 (Okta FastPassとFIDO2 WebAuthn) は、2024年1月の時点で最も急速な成長を記録しました。Okta FastPassの成長は最も印象的で、この認証方式は、2022年末にはユーザーの2%であったところ、2024年1月にはユーザーの6.4% (および管理ユーザーの13%) に増加しました。 Okta が歴史的に、自発的なMFA導入の点で業界を上回ってきた理由はいくつかあります。 OktaはすべてのユーザーがMFAにアクセスできるようにしました。 2022年にリリースされたOkta Workforceプラットフォームの最新バージョンであるOkta Identity Engineでは、すべてのお客様が複数のサインイン方法 (Okta Verify OTPとOkta FastPass) を利用できます。これらのMFAは、お客様がOkta MFAソリューションのライセンスを取得しているかどうかに関係なく、2番目の要素として使用できます。 Oktaはパスワードレス認証の採用を推進しています。 Okta Identity Engineは、従業員のアプリケーションへの安全なアクセスのために、パスワードレス認証フローを可能にするポリシーエンジンです。これにより、組織は、最新デバイス上の特定のユーザーグループに対して、パスワードの使用を段階的に廃止できるようになります。 2024年2月以降、FIDO2パスキーはOkta Customer Identity Cloud (Auth0) の最上の認証要素となり、消費者向けアプリや Webサイトでパスワードに代わる新しい認証手段をお客様に提供できるようになりました。 過去18か月間、OktaはMFAの導入を促進するためにいくつかの取り組みを行ってきました。 Oktaは、より強力なサインインフローをお客様に推奨するために、Workforce またはCustomer Identity Cloudの新しいテナントで SMSをデフォルトのMFA方法として提供することを停止しました。 Oktaでは、管理者がOkta Admin Console (Workforce Identity Cloud) または Auth0 Admin Console (Customer Identity Cloud) へのアクセスに対して単一要素の認証ポリシーを作成することはできなくなりました。 お客様の管理者は、Workforce Identity Cloudのお客様向けのサービスデスク/サポートアプリケーションであるOkta Help CenterにアクセスするためにMFAが必要になります。 目指すべき状態 Oktaの目標は、セキュアバイデザイン誓約の期間内に、インターネット接続サービスへのすべての管理アクセスに対してMFAを実施することです。 Okta Admin ConsoleのMFA実施プログラムは 2024年9月に開始され、2025年3月までに完了する予定です。 このプログラムは複雑で、フェデレーションIDプロバイダーや特権アクセス管理ソリューションの使用など、Oktaのお客様が特権アカウントにアクセスするために使用するさまざまなメカニズムをサポートするように段階的に推進しています。 日付 実施施策 2024年8月 *完了* Okta管理者は、Okta Admin Consoleへのアクセスに対して単一要素認証ポリシーを作成できなくなりました。 また、MFAの適用スケジュールが通知されました。 2024年9月 *完了* 本番テナントのOkta Admin ConsoleへのアクセスにMFAが必須となります。 次のテナントは一時的にMFAの強制を免除されます: (a) インラインMFA登録を許可していない(b) インバウンドフェデレーションを使用している(c) PAMソリューションを使用してOkta Admin Consoleにアクセスしている.