Identity Threat Protection with Okta AI

一般提供開始

アイデンティティセキュリティの課題

このブログはこちらの英語ブログ（2024年8月21日公開）の参考和訳です。

クラウド化が加速する現代の環境において、アイデンティティは、ユーザーが組織内の資産にアクセスするための最初の永続的な識別手段です。コントロールプレーンとしての役割を持つアイデンティティは、エンタープライズIT技術スタック全体にまたがり、デバイス、ネットワーク、アプリケーションといったデータプレーンやアクセスプレーンと密接に連携しています。このため、アイデンティティが攻撃や侵害の格好の標的となりやすいのも不思議ではありません。

OWASP Top 10によると、「アクセスコントロールの不備」はWebアプリケーションにとって最大のセキュリティリスクであり、テスト対象のアプリケーションの94%が何らかの形でアクセスコントロールの不備を抱えていたことが明らかになっています。この攻撃ベクトルは進化し続け、トークンの窃取や反射攻撃が一般的な脅威となりつつあり、特にAPT攻撃（Advanced Persistent Threat、持続的標的型脅威）で頻繁に利用されています。高度なアクセス検証コントロールを導入している組織であっても、この脅威に注意を払う必要があります。MITREが挙げる主要な戦術、技術、手順（TTPs）のいくつかは、現代の環境において初期アクセスの確立、持続性の確保、ラテラルムーブメント、特権のエスカレーションを達成するために、アイデンティティの侵害（ソーシャルエンジニアリングや認証情報の総当たり攻撃など）や、アイデンティティを標的とする攻撃（フィッシングやビジネスメール詐欺［BEC］など）を活用しています。攻撃者が目的を達成するために単一の手法のみを用いることはほとんどありません。

脅威アクターは、計画的かつ組織的な偵察に基づいて、ターゲット環境内にすでに存在する手法や高度なツールを駆使した多段階攻撃を行う能力を高め、こうした攻撃を仕掛ける意欲を強めています（AIによって強化された最新のSaaSが、小規模ながら急成長を遂げる産業となっています）。このリスクは非常に大きく、アイデンティティセキュリティが企業の収益や持続的な株主価値に及ぼしている影響は重大です。米国証券取引委員会（SEC）が昨年採用した「Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure」規則は、投資家や市場を保護するため、上場企業に対して、重要なサイバーセキュリティインシデントの開示、およびサイバーセキュリティに関するリスク管理、戦略、ガバナンスの仕組みを開示することを求めています。

Oktaのミッションである、すべての人があらゆるテクノロジーを安全に利用できるようにするということは、これまで以上に重要性を増しています。当社のセキュリティの長期的な取り組みであるOkta Secure Identity Commitmentでは、あらゆるアイデンティティのユースケースを、アイデンティティを保護する安全なフレームワークで実現するという当社の責任を認識しています。Identity Threat Protection with Okta AIは、継続的な保護を主な目的とし、あらゆるお客様のセキュリティニーズの多くに対応する防御手段の重要な武器になると考えています。

ITDRの視点からのアイデンティティセキュリティ：Identity Threat Protection with Okta AIの必要性

アイデンティティ脅威検知と対応（Identity Threat Detection & Response、ITDR）は、アイデンティティセキュリティの最先端技術と見なされることが多いです。この用語は2022年に初めて登場しました。GartnerはITDRを専門領域として定義し、アイデンティティを狙った攻撃の拡大に対応するために組織が資金を投入するITセキュリティ運用と位置付けています。一般的に、ITDRは以下を目的とするものとして理解されています。

• 組織内におけるユーザーの活用を継続的に監視および分析する
• 攻撃行動を示す異常な活動を検知する
• アイデンティティ管理とデータを保護する修復のための、適切な対応手段を利用可能にする
• インシデント対応を支援して、検知した脅威と攻撃者のスコープ設定、封じ込め、排除を決定するための脅威調査を可能にする

Gartnerの最近のプレスリリースによると、2026年までに、エンタープライズ組織の90%が、ITDRの目標を達成するためのアプローチを統一する組み込み製品を導入するようになります。

ITDRの目標は概ね普遍的ですが、これらの目標を支える活動は、変化し続けるITおよびセキュリティの状況とともに進化してきました。これまで、アイデンティティセキュリティは認証セレモニーの保護に重点を置いてきました。

Okta VerifyによるOkta FastPassの暗号化保証により、認証時のセキュリティは技術的に解決済みの問題と見なすことができます。

攻撃者の行動はこの前提を裏付けているようです。当社のデータサイエンスチームによる最近の調査では、Okta VerifyによるOkta FastPassを採用することで、アイデンティティの侵害リスクが直接的に低減されることが示されました。
 

しかし、攻撃者は最小限の労力で済む方法を選んでいます。

攻撃者は、認証時のセキュリティ基準が高すぎると判断した場合、エンタープライズの他の攻撃対象領域を侵害しようと模索します。認証プロセスが暗号技術の進化によって非常に堅牢になった結果、認証後のプロセスが攻撃対象として狙われるようになっています。最近のデータによると、トークン窃取、改ざん、反射攻撃が攻撃対象としてますます注目されるようになっています。Spycloudは最近、2022年にFortune 1000企業の従業員に関連する18.7億件のセッションCookieマルウェアレコードを回収したことを発表しました（回収されたセッションCookieレコードは合計220億件近くに上ります）。攻撃のTTPとしてのトークン窃取では、OS、デバイス、ブラウザなどの他の攻撃対象領域を侵害し、これを足がかりとしてアイデンティティの攻撃対象領域を侵害することが必要です。クラウドベースの環境において、より脆弱な攻撃対象領域を足がかりとして攻撃を展開するという、現代のセキュリティと攻撃パターンが浮き彫りになっています。

顧客が正しい手順を守り、最強の認証方法を導入しても、ネットワーク、デバイス、OS、ブラウザ、アプリケーションといった関係する攻撃対象領域の中で最も脆弱な部分がアイデンティティの安全性を左右することになります。この問題を解決するために、Identity Threat Protection with Okta AIが必要とされています。こうしたニーズは今後も絶えることがありません。人間とマシンの新しいやり取りや、生産性、金融取引、情報の利用方法が進化し続ける中で、アイデンティティの保護が常に必要とされます。たとえば、利用開始時や複数の攻撃対象領域が交わるポイントでの保護が重要になります。そのため、Identity Threat Protection with Okta AIの主な目的は以下のようなものになります。

• 顧客の成熟度に関係なく、顧客の現状に寄り添い、安全を提供する
• （アイデンティティ）セキュリティ運用の一環として、セキュリティポスチャを優先順位付けして評価するためのツールを提供する
• 最新の技術革新や攻撃パターンに対応して進化し、最新のテクノロジーと洞察を活用して、顧客の成熟度のあらゆる段階で保護を提供する

ITDR（Identity Threat Detection and Response）は1つの専門領域であり続けるかもしれませんが、Identity Threat Protection with Okta AIは、どのようなセキュリティポスチャのお客様にも適合する包括的な検知/対応ツールを提供することにより、この領域の統一を目指すものとなります。

上記の長期的な焦点を踏まえ、一般提供が開始されたIdentity Threat Protection with Okta AIは、今日の以下の問題に対する解決策を提供します。

• 複数の攻撃対象領域にわたるアイデンティティセキュリティの断片化を解決し、統一的な状況把握を可能にする
• 認証後のアクセスのコントロールと可視性を向上する
• 全体的なリスクシグナルを生かした手動の分散型アイデンティティ脅威対策を実現する
• ユーザーの摩擦や生産性とセキュリティのバランスを取る

この製品が上記の目標をどのように達成するかを見ていきましょう。

Identity Threat Protection with Okta AIとは？

Identity Threat Protection with Okta AIは、すべてのユーザーの継続的な保護を可能にするITDRプラットフォームであり、そのために以下の機能を提供します。

• AI/機械学習（ML）の手法を取り入れた強力なリスクエンジンを駆使し、アイデンティティ攻撃のあらゆるTTPを検知する機能を提供する
• リスクエンジンをシームレスに統合し、セキュリティスタック全体と連携させることで、セキュリティベンダーエコシステム全体から得られるアイデンティティリスクを反映し、強力な検知スイートに最も深く豊富な統合データを提供する
• ポリシー評価を強化し、アクセスが常に継続的に評価されるとともに、環境変数に応じて常に最新の状態で適切に管理されるように確保する
• 脅威に対して即時かつリアルタイムで対応する、業界トップクラスのアクションを可能にする
• レポート機能やイベント処理の包括的なフレームワークを提供し、アイデンティティリスクや脅威のリスク状況を大局的に把握するスナップショットを取得するとともに、必要に応じて詳細な脅威調査を実行する

Identity Threat Protection with Okta AIの幅広い機能は、以下の6つの領域で構成されます。

• Continuous Risk Evaluation
• Shared Signals (Framework) Pipeline
• Continuous Policy Evaluation
• Precision Risk Response
• Observability & Insights
• Feedback Pipeline

これらの機能について、実際の動作と価値をより深く理解していきましょう。

Continuous Risk Evaluation

Oktaにおけるリスクは、侵害の可能性として定義され、低、中、高の3つのリスクレベルに分類されます。Adaptive MFAではリスクが認証時に計算され、これが一般的に「ログインリスク」と呼ばれるものです。

Oktaは、Identity Threat Protection with Okta AIでセッションリスクという概念を導入しました。Oktaのリスクエンジンは、認証後のすべての要求を評価し、IP（ゾーン）の変更やデバイスのコンテキストを確認します。Okta VerifyによるOkta FastPassは、要求がOktaに送信される際にデバイスシグナルを収集し、その後も定期的に更新を実行します。デバイスでログイン時のセキュリティ状態の変更や低下が検出されると、リスクと行動が再計算され、コンテキストに応じた対応が取られます。

ここで注目すべきなのは、Identity Threat Protection with Okta AIを導入する以前から、Okta Verifyがネイティブのシグナル収集機能を備え、業界を代表する2つのデバイス保護ソリューションと統合していた点です。Okta Verifyは、CrowdStrikeのリスクスコアやWindows Security Centerのシグナルを取り込むことで、ポリシーで活用できるデバイス状態情報を拡充します。CrowdStrikeは、エンドポイントセキュリティと脅威インテリジェンスを提供し、Oktaと連携することでエンドポイントを標的とする脅威の検知と対応を可能にします。

この統合により、リアルタイムの脅威インテリジェンスと自動対応機能を活用し、マルウェア、ランサムウェア、その他の高度な脅威からデバイスを保護します。Windows Security Centerは、Windowsデバイス向けにウイルスや脅威からの保護、アカウントの保護、ファイアウォールやネットワークの保護、アプリとブラウザのコントロール、デバイスのパフォーマンス/健全性管理などの機能を提供します。Identity Threat Protection with Okta AIを使用することで、こうした機能を認証ポリシーの再評価にも活用できるようになりました（ポリシー再評価の詳細は、後述の「精密なリスク対応による継続的ポリシー評価」セクションで説明します）。

リスクアサーションの不正確さを減らし、攻撃者の先を行くペースでリスクエンジンを進化させるために、Identity Threat Protection with Okta AIは高度なヒューリスティック分析と特許出願中の機械学習（ML）を活用してセッション侵害を阻止します。環境変数（IPやデバイス）は、既知の正常な動作と比較して評価され、要求は侵害指標（IOC）の有無を検証して判断されます。

セッションリスクは、セッションハイジャック行為の特定に役立つだけでなく、これまで明らかになっていなかった組織内の望ましくない行為も特定できます。これにより、ポリシーや保証の不整合の解決に役立ち、是正措置とより優れたセキュリティポスチャと成果につながります。

Okta アクセスセッションの範囲を超える影響を持つ攻撃パターンを正当化するケースがあります。たとえば、Oktaまたはアプリケーションへの永続的なアクセスやブルートフォース攻撃を試みると、その影響は時間とともにセッションの範囲を超えて広がります。このような攻撃の範囲を限定し、修復するために、Okta はエンティティリスクを導入しました。ユーザーは、最初にリスク評価をサポートするエンティティであるため、これはエンティティユーザーリスクと呼ばれることもあります。一般提供では、Identity Threat Protection with Okta AIは、ネイティブに管理された以下のエンティティユーザーリスク検出をサポートしています。

• Entity Critical Action From High Threat IP：高リスクIPからの重要なアクションを特定し、攻撃者の永続的アクセスの試みを検知する
• Suspicious App Access:不審なアプリアクセスを特定し、攻撃者によるアプリセッションのCookie収集の試みを検知する
• Suspicious Brute Force attack：強力な認証ベースのアクセスを得るための、MFAを標的とした総当たり攻撃を検知する
• Okta Threat Intelligence：高度な攻撃者の活動や、フィッシングインフラストラクチャを利用した攻撃のオーケストレーションを検知する

Identity Threat Protection with Okta AIは、攻撃者の活動をクラウドソーシングする機能も備えており、管理者やエンドユーザーがリスクや未知のアクセス行動をシステムに報告するオプションを利用できます。

しかし、この製品の適用範囲はそれだけではありません。エンティティリスクは、アイデンティティに関連する他の攻撃対象領域（デバイス、ネットワーク、アプリケーション）における攻撃の影響も評価対象とします。

エンティティリスクの目的は、アクセスセッションの範囲を超えた攻撃を検知することだけでなく、ベストオブブリードのセキュリティプロバイダーを利用している組織が、単一的で視野の狭い脅威の定義によるセキュリティ製品の運用のサイロ化による悪影響を受けることを防ぐことにもあります。

エンティティリスクという概念は、その範囲の違いや、より継続的な状態管理を行い、多次元的である点において、セッションリスクと区別されます。そのため、ユーザーに関連する侵害の可能性をより正確に反映する指標として機能します。

エンティティリスクは、多次元的な仕組みにより、高度な攻撃者が攻撃対象領域でのラテラルムーブメントにより攻撃を拡大させるのを防ぐことを目指します。この機能はShared Signals Framework パイプラインを通じて実現されます。 

Shared Signals Framework パイプライン

ここでは、より進んだ対応を提供します。従来のセッションリスクやIP/デバイスの変更に基づく検知では、ユーザーがセッション中にOktaと直接（認証やトークン、その他のOktaエンドポイントを通じて）または間接的に（Okta Verifyを使って）やり取りしている間に限られます。しかし、現在の高度な持続型脅威（APT）や多段階攻撃のような複雑な攻撃を防ぐには、セッションを超えた範囲で攻撃を継続的に検知する必要があります。それを実現するのがエンティティリスク検知です。エンティティリスク検知は、ネイティブな検知機能と、Shared Signals Framework（SSF）パイプラインを通じて他の攻撃対象領域を保護するセキュリティベンダーとの統合によって実現されます。この仕組みにより、アイデンティティ以外の攻撃対象領域と交差する場所から発生するアイデンティティベース攻撃を排除できます。

現在、一般的なSSO環境では、長期間有効なトークンやセッションCookieが多く利用されています。そのため、アイデンティティプロバイダーとのやり取りは、比較的少なくなる傾向があります。

SSFパイプラインの考え方は、「どの攻撃対象領域を保護するセキュリティ製品であっても、交差するすべての攻撃対象領域で検出された侵害指標（IOC）に基づき、包括的なリスク評価を行うべきである」という理念に基づいています

その目的は、アイデンティティと交差する他の攻撃対象領域で得られた侵害指標（IOC）やリスクを活用し、エンティティ（ユーザー）の包括的なリスク評価を提供することにありました。この取り組みにより、セキュリティイベントプロバイダーとOktaの対等なパートナーシップが築かれ、双方がこのエコシステムから利益を得ることができます。すべてのセキュリティイベントプロバイダー（Oktaを含め）は、SSFトランスミッター/レシーバーのペアを実装し、OpenID FoundationのShared Signalsワーキンググループによって承認されたオープン標準である継続的アクセス評価プロファイル（CAEP）に基づいてシグナルを交換できます。

CAEPは、限定的なパブリッシュ/サブスクライブ（Pub-Sub）モデルを採用し、イベント（リスク/IOC）が発生すると継続的に公開する仕組みを提供します。これにより、真の「継続的な保護」という目標を実現します。

現在、OktaはSSFとCAEPを活用した統合を提供しており、Cloudflare、Jamf、Palo Alto Networks、Rubrik、SGNL、Zimperium、Zscalerなど、各領域の主要セキュリティイベントプロバイダーとシグナルインテリジェンスを共有しています。Oktaは、XDR、CASB/ZTNA/SASE、UEMなど、さまざまな攻撃対象領域をバランスよく網羅するよう考慮してパートナーを選定しています。

セキュリティ対策に欠かせないCAEP

Identity Threat Protection with Okta AIは、製品であると同時に、健全な資本主義の実験として捉えることもできます。セキュリティ企業が協力して製品を開発し、顧客にメリットを提供することで、個々の要素の単純な合計を超える価値を生み出せることを証明するものです。たとえば、JamfはCAEPトランスミッターとしてOktaのCAEPレシーバーとの統合を最初に発表したパートナーでしたが、この動きは勢いを増し、Apple Business Managerもこのエコシステムへのサポートを発表しました。Oktaは、CAEP-SSFを通じてApple Business Managerとアイデンティティセキュリティコンテキストの交換をサポートする、初のCAEPトランスミッターパートナーとなりました。さらに、OktaのCAEPトランスミッターパートナーの多くも、OktaのCAEPレシーバーシグナルの利用に関心を寄せています。大規模なアイデンティティ基盤を持つお客様からも、社内でキュレーションされたインテリジェンスシグナルをSSFに統合して活用したいという声が上がっています。これにより、Oktaのテナント組織内でのエンティティリスク評価が向上することが期待され、Oktaはこうした進展を喜んで受け止めています。異なるセキュリティスタックにより、相互に接続されたベストオブブリードの環境を実現することで、安全性が格段に高まります。Oktaとして、その一端を担えることを光栄に思います。

Shared Signals Frameworkプラットフォームの構築により、驚くべき相乗効果が生まれました。特に注目すべき点は、顧客が最小限の統合コストで高度な脅威活動に対応する強力な手段を得られるようになったことです。

Identity Threat Protection with Okta AIでShared Signals and EventsとCAEPを組み合わせることで、あらゆるエンタープライズ攻撃対象領域で非常に多くの検知を可能にしました。これにより、多様なITエコシステム全体でアイデンティティを保護し、さまざまなユースケースに対応した保護を実現します。この成果がまだ始まりに過ぎないことを考えると、その可能性は非常に大きいといえます。

以下に、ユースケースをいくつかご紹介します。

Apple Business Manager

デバイス管理とコンプライアンス：Apple Business ManagerはOktaと統合して、組織全体のAppleデバイスを管理します。これにより、セキュリティポリシーの適用、デバイス設定の管理、社内の標準への準拠を確保できます。

Cloudflare

セキュリティサービスエッジ（SSE）：CloudflareのSSEプラットフォームは、ゼロトラストの原則に基づき、アクセスの保護、脅威からの防御、データの保護を支援します。Oktaと統合することで、Webアプリケーション、社内専用アプリケーション、SaaSアプリケーションにわたるすべての要求に対してアイデンティティベースのアクセスコントロールを適用でき、認可されたユーザーのみが保護されたリソースにアクセスできるように確保できます。

Jamf

モバイルデバイスセキュリティ：Jamfは、Macおよびモバイルデバイスを保護し、マルウェア、既知の脆弱性、危険なアプリケーション、脆弱なOSバージョンなどの脅威検知/対応を提供します。JamfとOktaを連携させることで、準拠したデバイスのみが企業リソースにアクセス可能となり、不正アクセスを防止できます。

Netskope

クラウドセキュリティとデータ保護：Netskope OneはOktaと統合することで、SSEアーキテクチャの重要な要素に対する洞察とコントロールを提供します。クラウドアプリの使用状況を監視し、データ保護ポリシーを適用することで機密データを保護します。この統合によって、クラウドでの活動の可視性を高め、クラウドサービスに関連するリスクを軽減し、OktaのネットワークゾーンとNetskope NewEdgeネットワークを利用してゼロトラストモデルの境界を拡張します。

Palo Alto Networks

ネットワークおよびクラウドセキュリティと脅威検知：Palo Alto NetworksのCortex XSIAMはOktaと統合して、ネットワーク全体で高度な脅威検知と自動対応を提供します。これにより、巧妙なサイバー脅威を検知して対応し、包括的なネットワークセキュリティを実現します。さらに、Cortex ITDRソリューションはOktaと連携することで、高度な内部脅威を特定する能力を強化し、付加価値を提供します。

Rubrik

データセキュリティ：Rubrik Security Cloudは、企業、クラウド、SaaS全体にわたる完全なサイバーレジリエンスを提供するデータセキュリティプラットフォームです。Oktaと統合することで、ユーザーの機密データに関するアクセスリスクレベルの変化の積極的な検知と自動修復を可能にします。

SGNL

アクセスコントロールとガバナンス：SGNLは、Oktaと統合されたアクセスコントロールソリューションを提供し、きめ細かいアクセスルールやガバナンスルールを適用します。これにより、機密情報やシステムへのアクセスを許可されたユーザーに限定し、不正アクセスのリスクを低減します。

Zimperium

モバイル脅威からの防御：Mobile Threat Defense（zIPS）は、マルウェアやネットワーク攻撃を含む高度な脅威を監視し、モバイルデバイスを保護します。この統合により、企業リソースにアクセスするモバイルデバイスがセキュリティポリシーに準拠し、安全であることが確保されます。

Zscaler

インターネットセキュリティ、脅威からの防御、ラテラルムーブメント対策：Zscaler Deceptionは、おとりシステムとデータを活用して、標的型攻撃や内部脅威を早期に高精度で検知します。Oktaとのシームレスな統合により、攻撃の詳細なシグナルを共有し、リアルタイムでアダプティブなアクセスコントロールを実現します。この仕組みにより、ネットワーク内でのラテラルムーブメントのリスクを効果的に軽減します。

精密なリスク対応による継続的ポリシー評価

継続的なリスク評価は、継続的保護の一部に過ぎません。さらに継続的ポリシー評価を組み合わせることで、継続的保護の多面的な利点を得ることができます。このように評価されたポリシーは、以下のように複数の階層で効果を発揮します。

• 最初の階層は、グローバルセッションポリシー（GSP）の継続的な評価です。Identity Threat Protection with Okta AIの枠組みでは、Okta SSOセッションの作成を決定するGSPの構造（ポリシールール）が、セッション発行後もGSP違反からセッションを保護します。これにより、特定のアプリが関連するOktaセッションで認証ポリシー要件を満たしていた場合でも、認証後に制約付きのアクションを適用することが可能です。この仕組みにより追加の防御層が提供され、ポリシーのギャップや構成ミスによるセキュリティ態勢や認証の保証レベルの低下を防止します。
• GSPと認証ポリシーはどちらも、要求ごとに、そしてセッションのコンテキストの有効期間を通じて評価されます。
• 認証ポリシーは、要求内のアプリだけでなく、要求に関連付けられたOktaセッションにリンクされたすべてのアプリについて評価されます。

• Oktaのエンドポイントに要求がない状態でセッションコンテキストの変更が検出された場合、その変更はエンドポイント上でOkta Verifyによる継続的なポーリングによって発生したものです。Okta Verifyはデバイスコンテキストの変化を常時監視します。この場合、デバイスIDにリンクしたすべてのセッションに関連するすべてのアプリのすべてのポリシールールが評価されます。
• エンティティリスクポリシーは、Oktaのポリシーフレームワークで新たに導入されたポリシータイプです。GSPがOktaセッションに焦点を当て、認証ポリシーがアクセス対象のアプリケーションに焦点を当てるのに対して、エンティティポリシーはアイデンティティに焦点を当てます。つまり、アイデンティティそのものが対象となります。エンティティポリシーで構成されるポリシールールはイベントに応じてトリガーされ、エンティティリスクが検知されると自動的に実行されます。このように、GSPや認証ポリシーが提供する詳細なセキュリティ評価にエンティティリスクポリシーの機能が加わることで、これまでの方法論を超える新たなレベルの「継続的保護」が可能になります。

こうした多段階のポリシー評価アーキテクチャの実行規模は革新的で、Identity Threat Protection with Okta AIおよびOkta独自のものであり、まさに業界初の試みといえます。ポリシー評価の範囲や影響は、トリガーとなるイベント（エンティティリスク、IPの変更、デバイスコンテキスト、セッションリスク、行動など）に左右されますが、その効果はポリシーで構成されたアクションの内容によって決まります。

 Identity Threat Protection with Okta AIは、認証後のセッションにおいて、GSPや認証ポリシーの再評価やエンティティリスクポリシーの評価に対応する業界トップクラスの拡張性に優れたオプションを提供します。

• セッションハイジャックが即時的にもたらす脅威に対処するため、GSPおよび認証ポリシールールの再評価で失敗が発生した場合には、修復アクションとしてMFAや検証がプロセス内で実行されます。これは、GSPや認証ポリシー内で構成されたアクションが実行されているにすぎません。本来、これらのアクションは、Oktaセッションやアプリへのアクセスを条件付きで発行するために設定されたものであり、認証ポリシーでは厳格な条件下（各リソースへのサインオン時、一定の時間枠、またはOktaセッションの有効期限時）で適用されます。Identity Threat Protection with Okta AIでは、これが検証ステップとして適用され、セッションの有効期間中に記録された変更の検証が確実に行われるように確保されます。

Oktaは、トークン窃取に対するインラインの保護（プロセスの一環としての保護）を最初に発表した企業の1つです。現在ではさらに機能を進化させ、MFAでセッションハイジャックが検出され放棄されたと判断された場合に、Okta SSOセッションCookieを取り消す仕組みを導入しています。このように、トークン窃取の状況下では、すべてのアクセスに再認証が適用されます。

• 一部のシナリオでは、Oktaのエンドポイントで要求が発生していない場合でも、セッションコンテキストの変更によって継続的ポリシー評価がトリガーされることがあります。たとえば、Okta Verifyがデバイスのシグナルを定期的にポーリングする際、Oktaが非同期（帯域外）でデバイスコンテキストの変更を検出し、それに基づいてポリシーの再評価をトリガーする場合があります。このような状況では、MFAをトリガーするのは適切ではありません。これは、MFAをトリガーする要求が存在せず、検証を要求するためのサインインウィジェットも存在しないためです。このようなケースやその他のシナリオにおいて、Identity Threat Protection with Okta AIはUniversal Logoutというアクションをトリガーする独自の機能を提供します。これにより、帯域外でも、即座にアクセスを制限することが可能になります。

帯域外のシグナルを利用して、インラインかつリアルタイムでアクセスを制限する能力は、Identity Threat Protection with Okta AIの大きな差別化要因となっています。

• Universal Logoutは画期的な機能であり、業界初の取り組みでもあります。Oktaは、徹底したアクセス制限を実現する新しい世界の実現に向けて取り組んでいます。これにより、孤立したアーティファクトが一切許されず、認可の継承チェーンが設定時と同じ秩序立った方法で解除されるようになります。グローバルなトークン無効化の新しい標準の確立では、Oktaの標準化推進組織が大きく貢献しました。

約10年前、Oktaは業界で初めてクラウドのアイデンティティプロバイダーとしてSSO（Universal Login）を提供しました。そして今、Identity Threat Protection with Okta AIを通じて、Oktaはすべてのデバイスと対応アプリにわたるUniversal Logoutを業界で初めて実現しました。

このコンセプトを採用するための最初のステップは、Universal Logoutの枠組みを主要アプリに採用してもらうことでした。早期アクセスの発表以来、標準の開発と並行して対応範囲を大幅に拡大してきました。そして現在、Identity Threat Protection with Okta AIが一般提供されたことを受け、Box、Dropbox for Business、Microsoft Azure、Microsoft Defender for Cloud、Microsoft Defender for Endpoint、Microsoft Defender for O365、Microsoft Dynamics 365、Microsoft O365、Microsoft Power BI、Microsoft Power PlatformおよびVisual Studio、Microsoft Sentinel、Microsoft SQL Server Mgmt Studio、Google Cloud Platform、Google Workspace、Pagerduty、Salesforce、Slack、Zendesk、ZoomSurf Securityで、Universal Logoutのサポートを提供できるようになりました（備考：Microsoftのすべてのアプリでは部分的なログアウトのサポートとなり、アプリセッションCookieの無効化にはまだ対応していません。Surf Securityのサポートは2024年8月14日に開始されます。）。

• Universal Logout機能は、「認証後アクション」や「エンティティリスクポリシー」で提供されるログアウトのアクションを基盤として支えています。この機能では、リスクの種類に応じてアクションの影響範囲をマッピングし、ログアウトのスコープをインテリジェントに設定します。具体的には、エンティティリスクポリシーではUniversal Logoutの全範囲をサポートしますが、認証後アクションでは、対象となるアプリやOktaセッションに限定してログアウトを実行します。（詳細な処理については、Universal Logoutの無効化をご参照ください。）
• Identity Threat Protection with Okta AIのアクションは、インシデント管理やIT運用への拡張性もサポートします。Identity Threat Protection with Okta AIは、Okta Workflowsとシームレスに統合されているので、チームの対応の活動やプロセスを統合して自動化することが可能になりました。これによって、より迅速で効果的なセキュリティ成果を実現できます。また、Okta Workflowsのネイティブ統合により、以下のいずれか、またはすべてのトリガーからワークフローを開始できます。
  • IPやデバイスコンテキスト、セッションリスク、行動評価の変化に対応する
  • エンティティのリスクの検知を基点として対応する
  • 認証後セッションの結果に対するアクション、またはエンティティリスクポリシー内のアクションとしてワークフローをネイティブに統合する

50以上のアプリケーションで100を超えるアクションを活用して成果を達成するために、Okta WorkflowsとIdentity Threat Protection with Okta AIは、アイデンティティ脅威対策の実現に向けた幅広い対応策を提供します。

フィードバックパイプラインによる可観測性と洞察

対応のもう1つの側面は、日常的なITセキュリティ運用の支援です。Identity Threat Protection with Okta AIは、製品の導入を促進し、セキュリティ管理者が以下の機能を利用できるようにするための、充実したレポートダッシュボードや管理ダッシュボードウィジェットを組み合わせて提供します。

• 環境内のアイデンティティに対するリスクをデータに基づいてスナップショットとして保持する機能
• 認証後のセキュリティ態勢の弱体化や、ユーザーベース全体のアクセス期間を通じたポリシー構成のセキュリティパフォーマンスを把握する機能
• 手動またはポリシーによりリスクを軽減するアクションを促進するデータ
• 組織やユーザーの行動に徐々に適応するよう、Identity Threat Protection with Okta AIにフィードバックを提供する仕組み

管理者は、まずダッシュボード内のウィジェットを活用して、セッション違反、エンティティユーザーリスク、ポリシーのパフォーマンスを俯瞰的に把握できます。

そこから、関心のある特定の領域を詳しく調査するため、3種類のレポートを利用できます。

• Session Violations Reportは、認可済みのOktaセッション内で発生する変更を、該当セッションに対する要求やOkta Verifyが検知したコンテキストの変化を基に報告することに焦点を当てています。ここでは、環境を保護するために設定されたポリシーが、これらの変更に対してどのように機能しているかを確認できます。また、特定の変更に伴うリスクの種類や、潜在的な悪意ある活動を阻止するための緩和策について深掘りするための情報も提供されます。管理者はここで、セッションハイジャックなどの攻撃に対する検知と対応を判断できます。以下はこのエクスペリエンスを示しています。

• 次に、エンティティリスクに関する2つのレポートを紹介します。At-Risk Users Reportは、組織内で（エンティティ）リスクの高いユーザーを迅速に確認できる参照ツールです。また、Entity Risk Reportでは、以下の点について詳細な分析を提供します。
  • 検知されたエンティティリスクの種類とその発生頻度
  • これらのリスク検知を阻止するポリシールール、および阻止されずに検知を逃れているケース

Identity Threat Protection with Okta AIを利用することで、アイデンティティ管理者は発生したリスクを詳細に調査できます。［Directory］→［People］→［User］→［{ユーザー名}］を選択して表示されるページには、ユーザーが蓄積したリスクを確認するための専用の［Risk］タブが追加されました。ここでは以下を実行できます。

• そのユーザーに関連する過去7日間のすべての高リスク活動を確認し、IP/位置情報、デバイスのコンテキスト、行動の変化を把握する。
• セッションのコンテキストや検知されたエンティティリスクに関するアサーションを補完する関連データを、システムログで詳しく調査する。
• システムにフィードバックを提供する（Oktaがリスクアサーションを組織に適合するように調整するため）。
• Oktaと統合されていない外部ソースに基づき、ユーザーリスクを任意に変更する（APIでも利用可能）。

• Universal Logoutを使用して手動でアクセス権を取り消す。

おわりに
 

この製品を活用することで、お客様が以下のような成果を得られることを期待しています。

• セッションハイジャックに対するOkta AIを活用したインラインの保護など、認証後の攻撃を含む一般的なアイデンティティ脅威からの防御を強化する。
• エンティティリスクに基づく包括的なセキュリティを実現し、共有シグナルインテリジェンスの連携とオープン標準フレームワークを活用することで、既存のベストオブブリードセキュリティスタックを強化し、セキュリティのサイロを解消する。
• 手動またはポリシーのオーケストレーションを通じて、すべてまたは特定のアプリへのアクセスを即時に取り消す機能を活用する。
• 攻撃対象領域にまたがるアイデンティティが関与する巧妙な多段階の攻撃に対して、組織の防御を強化する。
• シングルサインオン（SSO）メカニズムを保護し、Oktaセッションの存続期間全体にわたって認証保証を適用する。
• ログイン時にポリシーで求められるアプリアクセス保証が、CAEPの対象アプリやSSO要求のアプリに限らず、アクセス期間にわたってすべてのアプリに対して継続的に適用されるようにする。 
• 検知。MFAブルートフォース攻撃、アプリブルートフォース攻撃、ユーザー/管理者による重要なアクションなど、永続性、特権のエスカレーション、ラテラルムーブメントの検知と、すべての攻撃対象領域における数百のサードパーティ検知を組み合わせて対応する。
• Oktaを活用した脅威インテリジェンスにより、洗練された脅威インフラストラクチャや最新のTTPを追跡する。
• エンティティプロバイダー全体でエンティティユーザーリスクを連鎖させる（デイジーチェーン）、またはセキュリティ運用チームが判断したインテリジェンスに基づいて手動でユーザーのリスクレベルを引き上げる。
• エンドユーザーのデバイスコンテキストの変化を監視するOkta Verifyを活用し、ユーザーがOktaと直接やり取りしていないときでもセッションを保護する。
• ユーザーを中心に据えたエンティティポリシーフレームワークを提供する。
• クラウドソースされたシグナルを活用する。たとえば、ユーザーが「これは自分ではない」と報告した際にアクションを実行し、その情報をリスクに関するITセキュリティ運用チームのインテリジェンスアサーションを組み込んだ高度なリスクエンジンにフィードバックすることが可能。
• Identity Threat Protection with Okta AIは、Okta Workflowsを活用して、拡張性のあるセキュリティとビジネスオーケストレーションの成果を実現する。
• 充実した可観測性レポートとウィジェットを使用し、一目で状況を把握する。
• ユーザープロファイルページから直接、リスクのある行動を調査する。

この価値の実現については、さらに詳しくお伝えします。このブログは、新しいシリーズの始まりでもあります。今後公開されるブログにもぜひご注目ください。

• ユーザビリティとセキュリティ
• Identity Threat Protection with Okta AIとOktaエコシステムにおけるその位置付け
• セキュリティエコシステムにおけるOkta
• 継続的な認証とリスク
• Universal Logout
• 共有シグナルの相乗効果
• セキュリティとビジネスの目標を達成するための拡張可能なOkta Workflows

これまで、サイバー脅威との戦いは圧倒的に防御側にとって不利でしたが、Identity Threat Protection with Okta AIのリリースによって、状況は大きな転換点を迎えています。Oktaと一緒に、より安全なオンラインビジネスの未来を目指しましょう。Identity Threat Protection with Okta AIは、現在、パブリッククラウドでWorkforce Identity Cloudのすべてのお客様が利用可能なSKUとして提供されています。なお、Oktaは、Identity Threat Protection with Okta AIをFedRAMPおよびDoD Impact Level 4（IL4）に準拠させ、このサービスをOkta for Government Moderate、Okta for Government High、Okta for U.S. Militaryの各クラウドソリューションに組み込むことを目指しています。現時点では、該当するコンプライアンス基準に対応しておらず、これらの規制環境への適合性に関する監査も受けていないことをご了承ください。

Identity Threat Protection with Okta AIを利用するには、Okta Identity Engine、Universal Directory、Single Sign-On、Adaptive MFAが必要です。この製品は、Workforce Identity Cloudのすべてのお客様に無償で提供されるOkta Workflows機能を活用しますが、利用状況によっては追加のOkta Workflowsライセンスの購入が必要となる場合があります。この製品はWorkforce Identity Cloudのお客様専用として提供されます。また、混在するorgを運用している組織や教育機関もサポート対象となる予定です。参考価格は1ユーザーあたり月額4ドルです。詳細情報やカスタムの見積もりをご希望の場合は、地域のOkta担当者にお問い合わせください。また、無料トライアルについては、サポートにご連絡ください。

Identity Threat Protection with Okta AIによるお客様の価値実現を楽しみにしています。

以上の内容は、原文（英語）の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。