OktaのCIOであるAlvina Antarが、Oktaで利用する業務アプリの100%パスワードレス化を達成したことを発表しました。当社のOktaテナントから接続されたすべてのアプリケーション、リソースが、パスワードレスでフィッシングに強い認証ポリシーを使用するようになり、ユーザーエクスペリエンスとセキュリティ態勢が大幅に向上しました。 本年8月30日には、Okta on Oktaがアプリケーションアクセスポリシーの最終設定をロールアウトし、正式にこのマイルストーンを達成しました。しかし、このゴールは物語のほんの一部に過ぎません。ここでは、私たちがどのようにこの取り組みをしてきたのか、その裏側を覗いてみましょう。 この取り組みの始まり Oktaにおけるパスワードレス化の取り組みは…

概要 Oktaは、脅威者がソーシャルエンジニアリングを利用してOkta Org（テナント）の高度な特権を獲得する攻撃を確認しています。 成功した場合、脅威者は新たな手法でラテラルムーブメントと防御回避を行いました。 これらの手法は防ぐことが可能であり、防御側には複数の検知の機会があります。 ここ数週間、米国に拠点を置く複数のOkta顧客から、ITサービスデスク担当者に対する一貫したパターンのソーシャルエンジニアリング攻撃が報告されています。攻撃者の戦略は、サービスデスクの担当者に、高度な特権を持つユーザーが登録したすべての多要素認証（MFA）の要素をリセットするよう説得することでした。 攻撃者はその後、高度な特権を持つOktaスーパー管理者アカウントの侵害を利用して…

今回のブログでは、OktaがOkta Workflowsのセキュリティテンプレートとして公開しているフローを取り上げて、ロジックを解説をしたいと思います。 ※ なお、本投稿は、Using Workflows to Respond to Anomalous Push Requests（Okta Security Blog）の記事を参考に、日本語で解説している記事です。 「MFA疲労（または、プッシュ疲労）」という攻撃手法をご存知でしょうか。ユーザーのパスワードを何らかの手法で知り得た攻撃者が、被害者になりすまし、実際のウェブサイトへログインを試みます。その際にユーザーが多要素認証としてプッシュ通知を設定している場合、攻撃者は連続でログインを試みることで、プッシュ通知を大量に送りつけます…

本記事では、Okta Workforce Identity Cloud (以降、WIC) での多要素認証 (MFA) の設定について解説します。 多要素認証には欠かせない認証器 (Authenticator) であるOkta Verifyは多くの認証機能を持っているので、WICを触り始めた方にとっては、設定を理解するのが難しいと感じると思います。 そこで本記事では、主にOkta Verifyを使った多要素認証について言及していきます。 以降の解説は、以下のブログ記事の内容を実施済みの前提で進めていきます。 ・初めてのOkta Workforce Identity Cloud (WIC) トライアル環境の構築 ・初めてのOkta Workforce Identity Cloud (WIC) …

Okta Workforce Identity Cloud（以下WIC）ではこれまでエンドユーザー向けのインターフェースのみ日本語対応でしたが、この度、Okta管理者向け設定画面「Okta Admin Console」がついに日本語対応となりました。本ブログの前半ではその詳細をご紹介します。また、後半では既に日本語化された各種ドキュメントやお役立ちリンクなどをあわせてご紹介します。 Okta Admin Console日本語対応 これまでOkta Admin Consoleの表示言語は英語のみでしたが、バージョン2023.07.0、2023年7月17日のリリースをもって、日本語対応が加わり本番環境に対して適用可能となりました。リリースノート（英語）から確認可能です。　…

ゼロトラストアーキテクチャの台頭により、新たな課題が浮上しています。ゼロトラストのアプローチでは、ユーザーの資格情報が有効であることを信頼するだけでは不十分です。また、デバイス自体を検証して、組織のセキュリティ基準を満たしていることを確認する必要もあります。 この課題に対処する上で鍵となる方法として、組織のアイデンティティプロバイダーが検証した資格情報を使用するデバイスログインの利用が挙げられます。このアプローチでは、ユーザーは組織の資格情報を使用してデバイスにログインします。これによって、パスワードを統合し、ユーザーと管理者の両方のエクスペリエンスを向上させることができます。 開発者は、macOS Venturaで導入されたプラットフォームSSOを使用して…

ソーシャルエンジニアリングは、インターネットそのものよりも古くからあるハッキング手法です。しかし、最近、ユーザーを騙したり、脅したりして、目的の行動を実行させるために、より洗練された攻撃的な手法を追求する脅威者の傾向が目撃されています。彼らのキャンペーンには説得力があり、図々しく、憂慮すべきものです。本ブログでは、私たちが目にしたり、気づいた手法のいくつかをご紹介し、従業員や組織を守るために使える実践的なアドバイスを提供したいと思います。 まず最初に、システムに侵入しようとする脅威者は、企業で使われる用語に精通し、あなたの隣のデスクにいる人と同じように本物らしく聞こえるよう、時間をかけて研究しています。彼らは社内ツールや用語を熟知し、同僚社員の名前を簡単に口にします…

日本語で受講できるOktaの認定資格試験「Okta Certifications」の 「Certified Professional」 (第一ステップ) および 「Certified Administrator」(第二ステップ) の模擬試験と本試験の具体的な受験手順をご紹介します。 受験の流れ こちらのブログ記事でもご紹介しましたが、認定資格の取得までに下図のようなステップを踏むことを推奨しています。 もちろん本試験に合格しさえすれば認定資格は得られるのですが、問題の形式や傾向、ハンズオン環境のイメージなどが分からないまま初見で臨むのは不安も大きいでしょう。 Okta はそういった不安解消のために講師付きのトレーニングコースや本試験さながらの模擬試験を提供しています。 この記事では …

Okta Trainingでは、迅速かつ効率的にOkta Workforce Identity Cloud(WIC) の機能や開発／運用方法を学べる様に、様々な学習コンテンツを提供しています。学習コンテンツは、Okta管理者向け、開発者向け、構築コンサルタント向けに別れていますが、Okta Essentials と Okta Certifications（認定資格試験）が日本語で提供されています。 Okta Essentials コース概要（3日間） Okta Essentialsは、Okta WICのシステム管理者やセットアップを担当する方向けに、導入を成功させるために特にお薦めのコースです。Okta WICをセットアップ…

Okta Workforce Identity Cloud (以降、WIC) を触り始めた初期段階では、WICに登録したユーザーに対して、Okta Verifyアプリの登録を求められたり、求められなかったりするので「なんでこんな動きになるの？」と疑問を持つと思います。 そこで本ブログでは、WIC初心者が疑問に思うであろう下記2点について解説します。 ・新規ユーザー登録の際に発生する、認証器への登録の挙動 ・登録済みユーザーにも発生する、認証器への登録の挙動 認証器（英語ではAuthenticators）とは、パスワード、メール、Okta Verifyアプリなど、認証を行うものを指します。 以降の解説は、WICトライアル環境をベースに行っていきます。 ※…