Okta Developer Edition Serviceにおけるセキュリティのベストプラクティスの実装

このブログはこちらの英語ブログ（2024年11月20日公開）の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。

Okta Developer Edition Serviceにおけるセキュリティ強化方法

顧客向けサービスや開発者の練習用環境のセキュリティ確保は、ソフトウェア開発の時代において最も重要です。本記事では、Okta Developer Edition Serviceのセキュリティ強化のために採用したさまざまな戦略と対策について説明します。堅牢なセキュリティ慣行を確立するまでの道のりを紹介し、他の組織がセキュリティポスチャを強化するのに役立つ洞察を提供します。

Okta Developer Edition Serviceとは？

Okta Developer Edition Serviceは、Okta Workforce Identityの無料プランで、多くの機能が有効になっています。このOkta Workforce Identityのエディションでは、開発者はコードやアプリをテストし、従業員やパートナー向けのOkta Workforce Identityを管理および自動化することができます。サインアップは簡単です。必要なのは、名前、国、および勤務先のメールアドレスだけです。

Okta Developer Edition Serviceは、Okta Integration Network ISVやOkta Workforce Identityの開発者で、アプリやコードをテストするためのOkta Preview Sandbox orgを持っていない方が主に利用しています。Oktaの開発者向けドキュメントの大部分は、Okta Developer Edition Service orgの使用を直接参照しています。

Okta Developer Edition Serviceでは何が提供されるのか？

Okta Developer Edition Serviceに登録すると、完全に機能するOkta Workforce Identity Orgにアクセスでき、安全で拡張性があり信頼性の高いアプリケーションを構築するためのさまざまな機能やサービスを利用できます。主な機能の一部を紹介します。

• 認証と承認：Okta Workforce Identityは、ソーシャルログイン、多要素認証（MFA）、シングルサインオン（SSO）など、ユーザーサインインサービス一式を提供します。
• ユーザー管理：ユーザーアカウントの作成、読み取り、更新、削除など、ユーザーの管理が可能です。また、ユーザープロファイルやパスワードポリシーの管理も可能です。
• レート制限：開発者向けエディションサービスには、一定のレート制限がありますが、開発やテストの目的には一般的に十分なレートです。
• アプリ：通常、開発者向けエディションで設定できるユニークなアプリの数には制限があります。

開発者向けエディションで利用できるすべての機能やサービスの詳細については、開発者向けドキュメントをご覧ください。

Okta Developer Edition Serviceの強化はどのように行われたのですか？

Okta Developer Edition Serviceのセキュリティ強化を目的とした継続的な取り組みの一環として、当社は以下の対策を実施しました。

• MFA：Okta Developer Edition Serviceのすべての管理者アカウントで MFA を有効にしました。これにより、ユーザーがOkta Developer Edition Serviceのアカウントにアクセスする前に、最低 2 種類の ID を提示することが必要となる、追加のセキュリティレイヤーが追加されます。
• メールドメインの制限：使い捨てのメールドメインでのOkta Developer Edition Service の登録を無効にしました。これにより、当社のサービスへの登録に、正当なメールアドレスのみが使用されるようになり、スパムや不正使用の防止に役立ちます。
• Org2Org アプリ統合の制限：Okta Developer Edition Service での Org2Org アプリ統合を無効にしました。これにより、Okta Workforce Identityの 1 つの組織が別の組織のデータにアクセスすることを許可することに伴う潜在的なセキュリティリスクを防止します。
• セッション作成時のデバイスバインドの強制：すべてのアイデンティティプロバイダー（IdP）で、セッション作成時にデバイスバインドを強制するようにしました。このセキュリティ対策により、セッションは最初に作成されたデバイスでのみ作成および使用されるようになり、セッションの乗っ取りやサイドジャックが防止されます。
• Okta ThreatInsight：Okta ThreatInsightの設定を、悪意のあるIPからの認証試行をログに記録するように設定しました。これにより、潜在的な脅威をリアルタイムで監視および対応できるようになります。
• パスワードポリシー： 最低12文字のパスワード、ユーザー名や一般的なパスワードの使用制限、最低2時間のパスワード有効期間、24文字のパスワード履歴の強制など、強固なパスワードポリシーを導入しています。 これらの対策により、ユーザーアカウントが強力かつ固有のパスワードで保護されるようになります。
• システムログの監視：Oktaの防御的サイバーオペレーションチームは、Okta Developer Edition Serviceから生成されたシステムログを監視しています。これにより、当社のセキュリティチームは潜在的なセキュリティインシデントを迅速に特定し、対応することができます。

Okta Developer Edition Serviceの開始

当社は、ユーザーとユーザーデータを保護するために講じた対策が、セキュリティ対策の強化を検討している他の組織にとっても青写真になると考えています。

ソフトウェア開発、IT管理、製品管理、マーケティング、営業、事業開発のいずれかの業務に携わっている方で、サインインとユーザー管理にOkta Workforce Identityを使用したカスタムアプリの構築や、SSOとプロビジョニングの統合による当社の共通顧客へのアプリの接続と配布を検討されている場合は、ぜひOkta Developer Edition Serviceにサインアップして、その違いを体験してください。