2025年3月21日、Vercelは、ミドルウェアで認可チェックが行われる場合にNext.jsアプリケーション内で認可チェックをバイパスできる重大なセキュリティ脆弱性 (CVE-2025-29927) を公開しました。 Auth0のお客様への影響 nextjs-auth0 SDKを備えたNext.jsアプリケーションを使用しているお客様には、認証または認可の決定がミドルウェア関数でのみ行われていないか確認いただくことをお勧めします。 以下は、SDKのv4およびv3でのこのロジックの例です。 SDK v4の場合: import { NextRequest, NextResponse } from "next/server" import { auth0 } from "@/lib/auth0…

過去10年間でビジネス環境は大きく変化しました。サイバー脅威の高度化、リモートワークの拡大、スマートフォンの普及などが代表的な例です。 この間に、「Businesses at Work」レポートは、組織や従業員が環境の変化にどのように適応し、新たにどのようなツールを導入しているかを追跡してきました。その結果、セキュリティの重要性とコラボレーションツールの必要性という2つの要素が、変わらぬテーマとして浮かび上がっています。 この新たな現実への適応により、多くの企業が高度なコラボレーションツールや業務アプリを導入すると同時に、新たなセキュリティソリューションの採用を進めています。「Businesses at Work」は…

このブログはこちらの英語ブログ（2025年3月10日公開）の機械翻訳です。 クラウド技術の急速な発展とリモートワークの普及により、企業の攻撃対象領域が拡大し、セキュリティの可視性が低下しています。データ侵害の80%以上がアイデンティティへの攻撃によるものであることから、アイデンティティがセキュリティの中核であることは明白です。 この状況を踏まえ、組織では「統合されたアイデンティティ」という新しいアプローチが求められています。統合アイデンティティを活用することで、組織は潜在的な脅威を特定・軽減しながら、誰が何にアクセスできるかを可視化し、管理することが可能になります。 過去16年間にわたり、あらゆる規模のお客様がOktaを活用してWorkforce…

CSO Conversationsは、Oktaの最高セキュリティ責任者（CSO）であるデビッド・ブラッドベリー（David Bradbury）をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、グローバルなセキュリティのソートリーダーシップと信頼できるアドバイザーとしての関係を構築し、強化しています。 サイバーセキュリティのキャリアを追求するようになったきっかけは何ですか？ IT部門の責任者として勤務していた当時、政府との契約要件を満たすために、ISO27001の取得が必要でした。私は以前からこの分野に関心を持っており…

このブログはこちらの英語ブログ（2025年2月19日公開）の機械翻訳です。 Content-Security-Policy（CSP）は、Webサイトが読み込み、実行できるコンテンツに関するポリシーのセットを定義し、適用することで、さまざまなサイバーセキュリティ攻撃から保護するウェブセキュリティメカニズムです。 本質的には、Webページが読み込み可能なものを規定する許可リストポリシーです。 CSPの実装と展開は複雑であり、些細なミスでもページの重要な部分が読み込まれないことになり、Oktaの場合、認証に問題が生じる可能性があります。 本ブログ記事では、当社のセキュアな実装の取り組みと、そこから得た教訓に基づく業界向けの指針について紹介します。 OktaはWebセキュリティを重視しています…

このブログはこちらの英語ブログ（2025年2月14日公開）の機械翻訳です。 マシンアイデンティティ、サービスアカウント、APIキー、自動化ツールなどの「非人間アイデンティティ（NHI）」は、現代のクラウド環境やエンタープライズアプリケーションにおいて重要な役割を果たしています。しかし、ハードコードされた認証情報、トークン、証明書といった「シークレット」が氾濫することで、適切に管理されない限り、悪用されるリスクが高まります。そのため、NHIは攻撃者にとって魅力的な攻撃経路となっており、OWASPによる2025年版「非人間アイデンティティのトップ10リスク」は、最先端の組織でさえ脆弱となる可能性を浮き彫りにしています。 NHIは、一般的に連携認証されておらず、多要素認証（MFA）も欠如し…

目次 Device Trust Device Trustの設定 動作確認 最後に 前回のブログでは、Device Trustを使いAndroid端末からのアクセスを制御しましたが、本投稿ではiOS端末からのアクセスを制御する方法についてご案内します。 Device Trust Device Trustとは、MDMで配布された証明書やアプリ構成の登録状況を認証ポリシーの条件として利用する機能です。つまり、 Oktaで保護されたアプリケーションへアクセスできる端末をMDM管理下のデバイスのみに制御することができます。 本機能の利用には、Adaptive SSOまたはAdaptive MFAのライセンスが必要です。 Device Trustの設定 はじめに 本手順では…

CSO Conversationsは、Oktaの最高セキュリティ責任者（CSO）であるデビッド・ブラッドベリー（David Bradbury）をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、グローバルなセキュリティのソートリーダーシップと信頼できるアドバイザーとしての関係を構築し、強化しています。 Oktaでサイバーセキュリティのキャリアを追求しようと思った動機は何ですか？ ログインは脅威シナリオの最初のきっかけであり、アイデンティティはその人自身を表すものでもあります。ある調査において、セキュリティインシデントの80…

目次 ユーザー名形式や属性のカスタマイズ（Okta Expression Language・式言語） カスタムドメインの設定 外部Identity Providerの追加 APIの活用 SDKの活用 Okta Integration Networkへのアプリケーション新規登録申請 最後に Okta Workforce Identityの製品ドキュメントは現在Okta Identity EngineとOkta Classic Engineそれぞれ日本語版のドキュメントを提供しています。手前味噌ながら、これらのドキュメントは分かりやすくまた詳細に記載されており、お客様からもOktaを支持頂いているポイントの1つです。このドキュメントとは別にOkta…

このブログはこちらの英語ブログ（2025年2月5日公開）の機械翻訳です。 リモートワークが一般的になるにつれ、今日の組織は重大な課題に直面しています。それは、システムやデータにアクセスするユーザーが、実際の本人であることの保証です。Oktaでは、様々な場所からリモートで働く従業員が非常に多いため、本人確認（アイデンティティの検証）にPersonaを活用しています。 脅威の現状 現在、特にサイバーセキュリティ業界において、個人が不正な、また盗難されたアイデンティティを使用して、ターゲットを絞った企業に就職を申しこむことが非常に多くなっています。 こうした人物は、その職務に必要なスキルや能力を備えておらず、企業のリソースを浪費する可能性があります。 極端なケースでは…