ITサポート担当者向けに「カスタム管理者ロール」を使い「デフォルトでセキュア」にする

要点:「カスタム管理者ロール」で ITサポート担当者の権限を制限する Oktaの「カスタム管理者ロール」で、必要最小限の権限でカスタマイズされた管理者ロールを作成することができます。管理者が実行できるタスクや、管理者がそれらのタスクを実行できるリソース(ユーザー、グループ、アプリ、ワークフローなど)を制限することが可能となります。 「カスタム管理者ロール」は、より限定的なアプローチもサポートします。カスタム管理者ロールのみが割り当てられた管理者(他の管理者ロールが割り当てられていない)は、スーパー管理者が割り当てられたユーザーを管理することはできません。 以前、Oktaのディフェンシブサイバーオペレーションチームは、ITサポート担当者、つまり一般的なヘルプデスク業務を担当するチームが…

業務アプリの100%パスワードレス化を達成

Oktaでは、全社的なセキュリティ態勢を強化する方法を常に模索しています。また、7,000人以上の従業員の利便性を向上させるために、常に努力しています。この2つの目標を念頭に置きながら、大きなマイルストーンを達成したことを大変誇りに思います。この度、社内のOktaから接続するすべてのアプリとリソースが、100%パスワードレス化を達成し、フィッシングに強い認証ポリシーに対応するようになりました。 このプロジェクトは、自社製品をより深く理解するための取り組みとして始まりましたが、より大きな意義をもつ取り組みとなりました。その過程で、セキュリティ脅威への耐性が強化され、従業員の摩擦が減り、ビジネスの価値が向上し、さらには顧客のための新機能が生まれました。 業務でのパスワードレス必須化に至るまで…

Oktaでパスワードレスを実現した方法

OktaのCIOであるAlvina Antarが、Oktaで利用する業務アプリの100%パスワードレス化を達成したことを発表しました。当社のOktaテナントから接続されたすべてのアプリケーション、リソースが、パスワードレスでフィッシングに強い認証ポリシーを使用するようになり、ユーザーエクスペリエンスとセキュリティ態勢が大幅に向上しました。 本年8月30日には、Okta on Oktaがアプリケーションアクセスポリシーの最終設定をロールアウトし、正式にこのマイルストーンを達成しました。しかし、このゴールは物語のほんの一部に過ぎません。ここでは、私たちがどのようにこの取り組みをしてきたのか、その裏側を覗いてみましょう。 この取り組みの始まり Oktaにおけるパスワードレス化の取り組みは…

テナント間のなりすまし: 防止と検知

概要 Oktaは、脅威者がソーシャルエンジニアリングを利用してOkta Org(テナント)の高度な特権を獲得する攻撃を確認しています。 成功した場合、脅威者は新たな手法でラテラルムーブメントと防御回避を行いました。 これらの手法は防ぐことが可能であり、防御側には複数の検知の機会があります。 ここ数週間、米国に拠点を置く複数のOkta顧客から、ITサービスデスク担当者に対する一貫したパターンのソーシャルエンジニアリング攻撃が報告されています。攻撃者の戦略は、サービスデスクの担当者に、高度な特権を持つユーザーが登録したすべての多要素認証(MFA)の要素をリセットするよう説得することでした。 攻撃者はその後、高度な特権を持つOktaスーパー管理者アカウントの侵害を利用して…

はじめてのOkta Workflowsシリーズ 第7回 不審なプッシュチャレンジを検出する

今回のブログでは、OktaがOkta Workflowsのセキュリティテンプレートとして公開しているフローを取り上げて、ロジックを解説をしたいと思います。 ※ なお、本投稿は、Using Workflows to Respond to Anomalous Push Requests(Okta Security Blog)の記事を参考に、日本語で解説している記事です。 「MFA疲労(または、プッシュ疲労)」という攻撃手法をご存知でしょうか。ユーザーのパスワードを何らかの手法で知り得た攻撃者が、被害者になりすまし、実際のウェブサイトへログインを試みます。その際にユーザーが多要素認証としてプッシュ通知を設定している場合、攻撃者は連続でログインを試みることで、プッシュ通知を大量に送りつけます…

はじめてのOkta Workforce Identity Cloud (WIC) [第2回] 多要素認証を紐解く

本記事では、Okta Workforce Identity Cloud (以降、WIC) での多要素認証 (MFA) の設定について解説します。 多要素認証には欠かせない認証器 (Authenticator) であるOkta Verifyは多くの認証機能を持っているので、WICを触り始めた方にとっては、設定を理解するのが難しいと感じると思います。 そこで本記事では、主にOkta Verifyを使った多要素認証について言及していきます。 以降の解説は、以下のブログ記事の内容を実施済みの前提で進めていきます。 ・はじめてのOkta Workforce Identity Cloud (WIC) トライアル環境の構築 ・はじめてのOkta Workforce Identity Cloud (WIC…

Okta管理者向け設定画面「Okta Admin Console」が日本語対応となりました

Okta Workforce Identity Cloud(以下WIC)ではこれまでエンドユーザー向けのインターフェースのみ日本語対応でしたが、この度、Okta管理者向け設定画面「Okta Admin Console」がついに日本語対応となりました。本ブログの前半ではその詳細をご紹介します。また、後半では既に日本語化された各種ドキュメントやお役立ちリンクなどをあわせてご紹介します。 Okta Admin Console日本語対応 これまでOkta Admin Consoleの表示言語は英語のみでしたが、バージョン2023.07.0、2023年7月17日のリリースをもって、日本語対応が加わり本番環境に対して適用可能となりました。リリースノート(英語)から確認可能です。 …

Desktop Password Sync:macOSのプラットフォームSSOを最大限に活用

ゼロトラストアーキテクチャの台頭により、新たな課題が浮上しています。ゼロトラストのアプローチでは、ユーザーの資格情報が有効であることを信頼するだけでは不十分です。また、デバイス自体を検証して、組織のセキュリティ基準を満たしていることを確認する必要もあります。 この課題に対処する上で鍵となる方法として、組織のアイデンティティプロバイダーが検証した資格情報を使用するデバイスログインの利用が挙げられます。このアプローチでは、ユーザーは組織の資格情報を使用してデバイスにログインします。これによって、パスワードを統合し、ユーザーと管理者の両方のエクスペリエンスを向上させることができます。 開発者は、macOS Venturaで導入されたプラットフォームSSOを使用して…

過激になるソーシャルエンジニアリングとその対策

ソーシャルエンジニアリングは、インターネットそのものよりも古くからあるハッキング手法です。しかし、最近、ユーザーを騙したり、脅したりして、目的の行動を実行させるために、より洗練された攻撃的な手法を追求する脅威者の傾向が目撃されています。彼らのキャンペーンには説得力があり、図々しく、憂慮すべきものです。本ブログでは、私たちが目にしたり、気づいた手法のいくつかをご紹介し、従業員や組織を守るために使える実践的なアドバイスを提供したいと思います。 まず最初に、システムに侵入しようとする脅威者は、企業で使われる用語に精通し、あなたの隣のデスクにいる人と同じように本物らしく聞こえるよう、時間をかけて研究しています。彼らは社内ツールや用語を熟知し、同僚社員の名前を簡単に口にします…

Oktaの認定資格試験「Okta Certifications」 の受験手順のご紹介

日本語で受講できるOktaの認定資格試験「Okta Certifications」の 「Certified Professional」 (第一ステップ) および 「Certified Administrator」(第二ステップ) の模擬試験と本試験の具体的な受験手順をご紹介します。 受験の流れ こちらのブログ記事でもご紹介しましたが、認定資格の取得までに下図のようなステップを踏むことを推奨しています。 もちろん本試験に合格しさえすれば認定資格は得られるのですが、問題の形式や傾向、ハンズオン環境のイメージなどが分からないまま初見で臨むのは不安も大きいでしょう。 Okta はそういった不安解消のために講師付きのトレーニングコースや本試験さながらの模擬試験を提供しています。 この記事では …

Archive

フォローする
Share on Linkedin Share on Youtube