認証後のセキュリティを強化するOktaの新製品、今年後半に正式版リリースへ

　Okta Japan株式会社は25日、ゼロトラストセキュリティを強化する新製品「Identity Threat Protection with Okta AI」について説明会を開催した。同製品により、認証時だけでなく認証後のセキュリティも強化するという。

　Okta Japan シニアソリューションエンジニアの岸本卓也氏は、「アイデンティティ攻撃において、ログイン後の『認証の証明』を対象としたものが増加しつつある。パスワードレスや多要素認証が普及してきたことで、認証情報を盗むことが難しくなってきたためだ。今では攻撃者は、セッションハイジャックとクッキーの窃盗により、ログイン後にユーザーになりすましている」と警告する。

　この課題に対応するのが、Identity Threat Protection with Okta AIだ。すでに4月3日にアーリーアクセスを開始しており、今年後半に正式版をリリースする予定だという。

　Identity Threat Protection with Okta AIには、Shared Signals Pipelineという機能が備わっている。これは、EDR（Endpoint Detection and Response）やSASE（Secure Access Service Edge）など、スタック全体からのシグナルを活用し、リスクエンジンで評価する機能。シグナルは、OpenIDが提唱するShared Signal Framework（SSF）という標準フレームワークを活用、SSFに対応するベンダーのシグナルを元にアクションへとつなげる。

　コンテキストの変化を即座に把握するContinuous Assessment機能も用意されている。これは、例えばユーザーの移動時にIPアドレスが変わってしまう時などに、いったんアクセスを遮断し、再度同じ認証ポリシーを適用するといった機能だ。再度ログインできれば問題ないが、ログインできない場合は盗んだクッキーでアクセスしていた可能性があることがわかる。

　こうした機能で不審な判定が出た場合、アクセスを細かく調整して自動的に次のアクションへとつなげる。そのアクションのひとつが、アプリケーションのアクセス権を即座に無効化するUniversal Logout機能だ。

　この機能が実装される前は、「例えば脅威を検知した際にOktaからログアウトするよう、OktaのノーコードツールであるWorkflowsを使って設定したとしても、Oktaからログアウトされるだけでほかのアプリケーションとのセッションは残ったままだった」と岸本氏。それが、Universal Logout機能を使えば、「Oktaをログアウトすると同時にほかのアプリケーションもログアウト同時にログアウトさせることが可能だ」という。

　仕組みとしては、アプリケーション側で用意しているAPIを利用し、Oktaをログアウトした場合にそのアプリケーションもログアウトするという実装だ。そのため、「完全に標準化できているわけではなく、対応アプリケーションもまだ数は少ない」と岸本氏。現在この機能に対応しているアプリケーションは、Salesforce、Google Workspace、Zendesk、Slack、Box、Microsoft 365などで、今後対応アプリケーションは増やしていく予定だと説明している

　Identity Threat Protection with Okta AIには、脅威の検出とリスクを可視化するIdentity Threat Analytics機能も備わっている。これは、誰にリスクがあるのか、その危険度はどの程度なのか、どのような攻撃があったのか、また各アプリケーションに対するセッション違反の数はどれくらいで、誰がその違反に関わっているのかといったことが把握できるという。

　岸本氏は、「リスクのレベルは認証後も変化する。つまり、通信中にクッキーが盗まれれば、いくら認証時に問題がなくてもリスクは高まってしまうのだ。それが、これまでのアイデンティティ管理製品では、認証時に問題がなけば認証後のリスクが変化しても追加の認証を要求することはなかった」と、これまでの製品の反省点を述べ、今回の新製品で認証後のリスクに対応する重要性を主張した。