「Identity Threat Protection with Okta AI」で継続的なセキュリティを実現する方法

このブログはこちらの英語ブログ（2025年4月22日公開）の機械翻訳です。

ビジネスのスピードに対応するリアルタイムかつインラインの保護

今日の複雑なアイデンティティ脅威の状況においては、セキュリティ対策の合理化と進化する多層防御の戦略が求められています。Oktaの包括的なセキュリティ戦略は、ブロックリストゾーン、ThreatInsightの構成、自動レート制限、Oktaのサインオンポリシー、強力な認証要素などを活用し、エッジを含む複数のレベルで脅威に対応しています。

しかし、「認証後」のリスクはどうでしょうか？アイデンティティライフサイクルのこの重要なフェーズは、従来のセキュリティソリューションでは盲点となっていました。ここで登場するのが、Okta Workforce Identityの「Identity Threat Protection with Okta AI」（以下、ITP）です。本ブログでは、この新機能が初期認証を超えて継続的なセキュリティを実現する方法を解説します。

例として、Okta Workforce Identityを活用して従業員を保護している仮想的なSaaS企業として「MediaXMedia」を取り上げ、同社の2人の架空の従業員を通して体験していきます。まずは営業エンジニアのTina Smithのエンドユーザー体験を、次にセキュリティオペレーションチームのリーダーJim Frostの管理者視点を紹介します。

エンドユーザーの視点

まずはエンドユーザーの日常的な体験を見てみましょう。Tina SmithはMediaXMediaの営業エンジニアで、顧客に自社の製品の価値を伝えることに情熱を持っています。ITPは、Tineの業務を妨げることなく、一日を通して強固なセキュリティを提供します。

朝：アダプティブ認証の実行

• 8:00 a.m.：自宅からOktaダッシュボードにフィッシング耐性のある認証要素を使ってログイン
   
• 10:00 a.m.：顧客訪問のため市内のオフィスに到着
   
• 10:05 a.m.：Oktaダッシュボード経由で新しいアプリにアクセスしようとする
   
  • ITPはセッションの文脈変化を検出し、ステップアップ認証を要求

ITPの利点

• 継続的なリスク評価：セッション中のIP変更を検出
   
• 精密なリスク対応：セキュリティ強化のためステップアップ認証をトリガー
   
• ユーザー体験：セキュリティポリシーを理解しているティナは、迅速に認証を完了

午後：移動中のアクセス

• 3:00 p.m.：Tinaはシカゴへのフライトに搭乗
   
• 3:30 p.m.：機内Wi-Fiでモバイル端末からOkta FastPass経由でメールとSlackにアクセス（追加認証なし）
   
• 3:45 p.m.：Salesforceを開こうとすると、文脈の変化により再びステップアップ認証が要求される

ITPの利点

• 継続的なリスク評価：新しいネットワークコンテキストを検出
   
• 精密な対応：業務を妨げることなくセキュリティを維持

思わぬ脅威

• 4:30 p.m.：Tina、BYOD端末で個人メールを確認（MDM管理下）
   
• 4:35 p.m.：コンサート情報に興奮してフィッシングメールのリンクをクリックし、端末が侵害される
   
• 4:36 p.m.：セキュリティアラートが発生

ITPの利点

• エンドポイントソリューションが重大な脅威を検出し、ITPに通知
   
• Universal Logoutが全デバイスとアプリで実行される
   
• TinaはOkta、Google Workspace、Slackからログアウトされる

解決

• 5:30 p.m.：シカゴ到着時点でSecOpsチームがすでに脅威を無力化
   
• 6:00 p.m.：セキュアな状態でオンライン復帰し、次の会議に備える

Tinaの振り返り

Tinaにとってはアクティブな一日でした。業務を妨げることなく脅威を無効化してくれたセキュリティチームに感謝しています。彼らのおかげで、Tinaは自社のSaaSプラットフォームの価値を見込み顧客に伝えるという本来の仕事に集中することができました。

管理者の視点

AIの台頭、国家による攻撃、内部脅威など、セキュリティの状況が常に進化する中で、Jimと彼のチームはますます高度化する攻撃を防ぐという継続的な課題に直面しています。これに対処するため、チームはMediaXMedia全体にわたってパスワードレスかつフィッシング耐性のある認証を展開しました。これにより、Jimは自分の組織内のアイデンティティを完全に保護できたと考えていました。

しかし、攻撃者は組織への侵入方法をますます見つけ出しており、現在では認証後を狙うようになっています。ジムのチームは最近、Identity Threat Protection を展開しました。彼の一日を見ていきましょう。

朝：コーヒーと可視性から始まる

• 8:00 a.m.：ITP導入前は、複数のセキュリティツール（XDR、ZTNA、SOAR、CASBなど）を横断してログを確認していたが、ITPはアイデンティティ関連情報をOktaのダッシュボードに集約し、ユーザーリスクを効率的に評価
• 自動化されたリスク計算：リスクエンジンはログイン・セッション・エンティティの3カテゴリにおいてリスクを計算し、それぞれを低・中・高に分類します。
• 継続的な評価：ユーザーがOktaを操作していないときでもリスクレベルはリアルタイムで計算されます。ポリシー評価はこのリスクを参照し、アクセスライフサイクル全体を通じてセキュリティポスチャが常に維持されるように実行されます。
• 包括的な検出：Oktaのネイティブな一次信号は、アイデンティティ領域上のすべてのTTP（戦術、技術、手順）をカバーしています。OktaはContinuous Access Evaluation Protocol（CAEP）のような標準化に貢献をしており、業界トップのセキュリティベンダーとの統合を可能にするShared Signals Framework（SSF）を通じて、サードパーティのリスク信号を共有しています。SSFにまだ対応していないベンダーに対しては、OktaはシンプルなAPI連携によって、ITPとの統合を可能にしています。

Jimのチームは、中・高リスクと分類される特定の行動が、実際には一部のユーザーにとっては通常の動作であることを観察しました。たとえば、営業チームのメンバーであるTinaのような社員は特定の地域を頻繁に訪れるため、認証後にIPが変わるのは想定内です。精度を高めるために、Jimは複数の手段を持っています。チームはAIエンジンによって検出された誤検知をフラグ付けし、リスクエンジンに直接フィードバックを提供することができます。また、IP除外ゾーンや信頼できるプロキシを設定することで、特定のIPからのトラフィックをITPの評価対象外にすることも可能です。

• 9:00 a.m.：その後、SecOpsチームはエンティティリスク検出のダッシュボード／レポートを確認し、高リスクの検出、その発生元、および適用されたアダプティブポリシーのトリガーを監視

Oktaの精密なリスク対応機能により、Jimのチームは柔軟かつきめ細やかなセキュリティアプローチを得ることができます。この統合は以下のような利点を提供します：

• OktaのAdmin Consoleにリアルタイムのリスクアラートを直接受信
• MediaXMediaのセキュリティ状況を包括的に把握
• 事前定義されたポリシーに基づいて自動修復アクションを実行

Shared Signals Pipelineにより、脅威インテリジェンスが即時かつシームレスにシステム間で流通し、MediaXMediaのセキュリティポスチャを強化します。

継続的なリスク評価の効果ですが、たとえば、あるユーザーが朝Salesforceにログインし、1日を通してそのアプリを使用するとします。通常、そのセッションが侵害された場合（例：クッキーの窃取）、脅威はEDR（Endpoint Detection and Response）がマルウェアの兆候を検出するまで気づかれない可能性があり、これには数時間かかることもあります。この検出の遅れは重大であり、セッションの終了、ユーザーグループの変更、Okta Workflowのトリガー、アカウントロックなどの修復アクションが間に合わず、対応が遅れてしまいます。

ITPがなければ、Jimのセキュリティチームは以下のような困難に直面していたでしょう：

• 複数のシステムからのデータを手動で分析するのに時間がかかる
• 潜在的なセキュリティ問題の特定に数時間を要する
• 修復用プレイブックの実行に遅延が生じる
• 対応の遅れにより被害が拡大するリスク

SecOpsチームには、インラインかつリアルタイムのITDR（Identity Threat Detection and Response）が不可欠です。ITDRがなければ、検出の遅れが大きな脆弱性を生み、攻撃者が被害を及ぼす可能性があり、セッション終了やアカウントロック、アクセス権変更といった後追いの対応はもはや有効ではなくなります。さらに、これらの遅延は業務効率にも影響し、セキュリティチームは重要な業務に集中できなくなります。

2024年、組織がデータ侵害を特定するまでに平均194日、封じ込めまでに64日かかっていました。一方で、攻撃者はわずか数時間で環境全体を侵害することができます。このギャップは、リアルタイムのITDRの必要性を強く浮き彫りにしています。

これに対し、ITPの継続的リスク評価は以下の利点をもたらします：

• 組織全体でセキュリティデータの自動分析をリアルタイムで実行
• 潜在的な脅威を迅速に特定
• ポリシーベースの修復アクションを即時またはインラインでトリガー
• 脆弱性の露出時間を大幅に短縮

このプロアクティブで自動化された手法により、Jimのチームは潜在的な脅威に先んじて対応し、本物のリスクに迅速に対処する一方で、セキュリティインシデントがMediaXMediaの業務に与える影響を最小限に抑えることができます。

Jimのチームは、特定のサイバーセキュリティ脅威に対応するためにカスタマイズされたITPポリシーをすでに構成しています。Oktaの精密なリスク対応機能により、MediaXMediaはこれらの脅威に対して柔軟で緻密なアプローチをとることができます。これには以下が含まれます：

• Universal Logout：アプリケーションがUniversal Logoutフレームワークに対応していれば、アクティブなアプリケーションセッションを終了し、OktaのIdPセッションをすべてのデバイスで取り消すことが可能です。アプリのアクセス期限を待つ必要はありません。
   
• インラインMFA：中程度のリスクイベントの場合、インラインでのステップアップ認証を求めることで、エンドユーザーへの影響を最小限に抑えられます。
   
• Okta Workflows駆動の対応：高リスクイベントでは、Okta Workflows を使用して、アラートのトリガー、JIRAチケットの作成、高リスクユーザーの制限付きアクセスグループへの移動などを自動化します。

この多層的なアプローチにより、Jimのチームはさまざまな脅威レベルに応じて適切な対応を実施できます。たとえば、ITPがリスク、ネットワークゾーン、デバイス、または行動の変化を検出した場合、MediaXMediaのセキュリティ要件に基づいて構成された緩和および修復アクションが自動で開始されます。

実際の動作例

• 低リスクの変化：イベントをログとして記録するだけ
• 中リスクイベント：ユーザーに追加認証を要求
• 高リスク状況：Universal LogoutやOkta Workflowsを使用してセッションを即時終了、アクセスを制限、セキュリティチームにアラートを送信して即時調査を開始

午後：MediaXMediaユーザーに対するアイデンティティ脅威の無力化

• 4:36 p.m.：ユーザーの「Tina Smith」がデバイスの侵害を受けたというSlack通知を受信。リスクはJamfからShared Signals Frameworkを通じて送信されました。ITPは、TinaのユーザーリスクレベルをHIGH（高）に自動設定し、彼女をOktaの「隔離ユーザー」グループに移動、すべてのアプリケーションへのアクセスを失いました。
   
• 4:40 p.m.：モバイルデバイス管理（MDM）システムによってトリガーされた修復用ワークフローが自動で実行。デバイスがクリーンな状態になると、Tinaは隔離グループから解除され、Okta内のリスクレベルがLOW（低）にリセットされ、必要なアプリケーションへのアクセスが回復します。Tinaには自動で「何が起こったか」を説明するメールが送信されます。Tinaのアイデンティティに対する脅威は無力化されました。

夕方：日が沈んでも続くセキュリティ

• 5:00 p.m.以降：セキュリティは眠りません。MediaXMediaの分散型グローバルセキュリティチームが引き継ぎ、ITPと同様に継続的な保護を実現しています。

ジムの振り返り

通常であれば、Tina Smithのようなユーザーのアクセス経路における脅威の調査には、チームが数時間かけて対応する必要がありました。しかし、ITPの導入により、数分で検出と修復が完了しました。タイムリーな対応が可能だったことで、横方向移動、特権アクセス、データ流出などの追加的な侵害を防ぐことができました。

Jimのチームは、インラインでリアルタイム、かつ包括的な保護を提供するITPの価値を強く実感しています。彼らは、脅威対象面全体におけるユーザーのリスクを一元的に把握できるITPのダッシュボードを非常に気に入っています。

ITPは、セッションリスクをリアルタイムで評価する高度な機械学習手法を用いています。

OktaのAIモデルは大規模なデータセットを分析し、異常なパターンを特定し、潜在的な脅威を予測します。AIによるリスクスコアリングにより、各セッションのリスクレベルがユーザーの行動、デバイスの文脈、ネットワークの詳細をもとに継続的に評価されます。

この適応型スコアリング機構により、セキュリティプロトコルを素早く調整し、ユーザーの操作を妨げることなく防御を強化できます。機械学習アルゴリズムを活用することで、通常の行動と疑わしい行動をより正確に区別し、本物の脅威を優先しつつ、正当なユーザーへの不要な干渉を最小限に抑えます。

Jim（セキュリティ管理者）とTina（エンドユーザー）の1日を通して、ITPがMediaXMediaのセキュリティポスチャを大きく強化し、同時にエンドユーザーが必要なリソースへ安全にアクセスする妨げにもならないことが明らかになったのではないでしょうか。

以上の内容は、原文（英語）の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。