Japan Security Blog

このブログはこちらの英語ブログ（2024年9月2日公開）の参考和訳です。 Oktaはこの数か月間で、Okta管理者のゼロスタンディング特権を実現する取り組みで大きな進歩を遂げました。 このブログのシリーズ第1回で説明したように、ゼロスタンディング特権は「最小権限アクセス」の概念を大幅に前進させるものです。Oktaでは、非インタラクティブなユーザーアカウント（人間が直接操作するアカウント）が、高い特権を持つ管理者ロールや許可に継続的かつ永続的にアクセスできないようにし、必要に応じて必要な権限をジャストインタイムで期限付きで付与する運用モデルを提供することを目指しています。 この権限付与のモデルにより、組織の攻撃対象領域が大幅に縮小します…

このブログはこちらの英語ブログ（2024年8月19日公開）の参考和訳です。 最小権限の原則は、情報セキュリティで最もよく知られた法則の1つですが、多くの場合、その実践は非常に困難です。この原則では、タスクを完了するために必要なリソースと許可のみへのアクセスをユーザーに付与し、それ以上の許可を付与しないことが求められます。 多くのCISOは、最小権限の原則を一般ユーザーに適用するのはそれほど難しくはないと述べていますが、特権アクセスを精査する段階になると、課題に直面することがあります。特権アクセス管理（PAM）は、特権付きロールを安全に付与するためのシートベルトのような役割を果たします。具体的に、PAMは、特権付きのリソースへのアクセスに使用されるパスワードを保護管理することで…

このブログはこちらの英語ブログ（2024年8月8日公開）の参考和訳です。 多くのお客様がフィッシング耐性のある認証によって従業員を保護する取り組みに関心を寄せており、Oktaはエンタープライズ市場で力強い成長を遂げています。  Okta FastPassは、Okta Workforce Identity Cloudで最も急速に利用が広がっている認証方法です。Oktaは、Okta FastPassを最も安全で使いやすいエンタープライズ向けの認証システムとして導入できるようにすることを目標としており、進化する脅威情勢から企業を保護する取り組みを今後も主導すべく取り組んでいます。  Okta FastPassは…

目次 概要 不審なアクティビティの期間 推奨するアクション クレデンシャルスタッフィング攻撃からテナントを守る ※この記事はOkta Customer Identity Cloud (powered by Auth0)でCross-Origin Authentication機能をご利用のお客様向けの内容となります このブログはこちらの英語ブログ（2024年5月29日公開）の翻訳、井坂源樹によるレビューです。 概要 Oktaは、Customer Identity CloudのCross-Origin Authentication機能が、クレデンシャルスタッフィング攻撃を仕組む攻撃者の標的になりやすいと判断しました。Okta Secure Identity Commitmentの一環として…

目次 Torネットワークとは？ レジデンシャルプロキシとは？ エッジでブロック アイデンティティプラットフォームに組み込まれた最新の防御策 より広範な推奨事項 最近の攻撃で使用されたTTP 関連するシステムログのクエリ：Workforce Identity Cloud 関連するシステムログのクエリ：Customer Identity Cloud (Auth0 by Okta) このブログはこちらの英語ブログ（2024年4月27日公開）の翻訳、池山 邦彦によるレビューです。 概要: Workforce Identity CloudとCustomer Identity Solutionをご利用のすべてのお客様は、認証前に匿名化サービスからのアクセス要求をブロックできるようになりました。…

このブログはこちらの英語ブログ（2024年4月24日公開）の翻訳、細谷卓によるレビューです。 脅威が進化し、組織の境界がクラウドにまで及ぶ現代のデジタル環境では、強固なセキュリティ体制を維持するには静的な防御メカニズム以上のものが求められます。そこで、「Continuous Access Evaluation Profile（CAEP：継続的アクセス評価プロファイル）」と「Shared Signals Framework（SSF：共有信号フレームワーク）」の出番となります。 先日ロンドンで開催されたGartner Identity & Access Management Summitでは、Oktaエンジニアリングのリードを務めるアプローヴァ・デシュパンデ（Apoorva…

目次 概要 対応 脆弱性 タイムライン このブログはこちらの英語ブログ（2024年4月24日公開）の翻訳、南野要によるレビューです。 概要 Oktaは、報告されたOkta Verifyの脆弱性を確認し、修復しました。お客様による対応は必要ありません。また、当初の概念実証以外にこの脆弱性が悪用された痕跡は見つかっておりません。先般のOkta Secure Identity Commitmentの一環として、Oktaは透明性の精神に基づき、この修復についてお客様にお知らせしています。 対応 4月5日、Oktaは、Persistent Securityの研究員から、フィッシング耐性チェックの回避に関するOkta Verifyの潜在的な脆弱性について報告を受けました。この報告を受け…

このブログはこちらの英語ブログ（2024年4月4日公開）の翻訳、豊嶋 依里によるレビューです。 要約：防御的なドメイン登録に時間と労力を費やすよりも、フィッシング耐性のある認証ポリシーの作成に投資する方が賢明です。 フィッシング攻撃から身を守ることだけを目的としてドメインを登録することは、フィッシング問題に間違った角度から取り組んでいるということについてお話ししたいと思います。イギリス風の慣用句でいうなら、これは「mug’s game」、つまり、あまり勝算のない無益な努力ということになります。ほとんどの組織では、プライマリ本番ドメインのさまざまな組み合わせに基づいて、追加ドメインを登録しています。ドメインは潜在的な競合企業を抑止するために登録することもあり…

このブログはこちらの英語ブログ（2024年3月21日公開）の翻訳、石橋 禎史によるレビューです。 特権ユーザーは、これまでも、そしてこれからも、活発な攻撃者から絶え間なく攻撃され続けることが予想されます。 この90日間、Oktaはリソースの多くを、Okta Admin Consoleを大幅に強化するための作業プログラムに投入してきました。その結果、以下のような数多くの新機能を実現しました。 新機能 説明 提供状況について ASN セッションバインディング APIまたはWebリクエスト時に観測されたASN（AS番号）が、セッション確立時に記録されたASNと異なる場合、Oktaは管理セッションを自動的に取り消します。 Okta Admin Consoleでデフォルトで有効…