このブログはこちらの英語ブログ（2024年10月15日公開）の機械翻訳です。

OktaのSVP兼副CSOであるCharlotte Wylieは、Oktaの技術的サイバーセキュリティサービスを統括しています。これには、Oktaのグローバルエンジニアリングチームを監督し、同社のセキュリティポスチャと19,000社を超えるお客様をサポートするプログラムを強化することが含まれます。

Charlotteは、セキュリティ変革プログラムの提供とグローバルエンジニアリングチームの統括で豊富な経験を持ち、大企業のビジネス目標に沿ったセキュリティポスチャの強化を通じて価値を生み出しています。

多くの組織が同様の課題や脅威に直面していることを踏まえ、拡大する労働力を保護するために必要なことについて、いくつかの考えを共有してもらいました。

多くの組織と同様に、Oktaもビジネス能力を拡大するためにサードパーティのベンダーと協力しています。しかし、サードパーティが必ずしも同じセキュリティ基準やプロトコルを提供しているとは限りません。そのため、サードパーティは攻撃者の格好の標的となり、攻撃者はサードパーティを組織の中枢への最も容易な侵入口とみなす可能性があります。

同僚のJen Waughが最近ブログで書いたように、Oktaがセキュリティ文化を育む方法について解説していますが、Oktaが保有するデータ（当社のデータ、お客様とパートナーのデータ）と当社製品の重要性により、サイバー攻撃者の標的となっています。

つまり、当社システムに物理的または論理的にアクセスできる請負業者、コンサルタント、ベンダー、サービスプロバイダ、買収した企業、パートナーなど、当社の拡大した労働力も標的となるということです。

脅威をもたらす人物は、このグループ（簡略化のため、「請負業者」、「サードパーティ」、「拡張された労働力」を互換的に参照します）を、当社の攻撃対象領域全体における比較的な弱点とみなす可能性があります。私の職務の一部は、当社の拡張された労働力を、従業員に対して実施しているのと同じ保護対策で保護することにより、脅威者がこの想定を誤るようにすることです。

実際、この記事の要約は次の通りです。私は、すべての組織が社内および社外の全従業員に対して同じ厳格な管理を徹底することを推奨します。もちろん、その目的を定義することは第一歩に過ぎません。そこで、Oktaがその目的を達成するために取り組んできた方法をいくつかご紹介したいと思います。

詳細に入る前に、まず、すべての組織は、サードパーティのサービスプロバイダを選択し、監視する際に、包括的なデューデリジェンスプロセスを推進するためのサードパーティリスクプログラムを導入すべきであることを指摘しておきます。このトピックはそれだけで1つの投稿になる可能性がありますが、ここでは、そのようなプログラムには以下を含めるべきであることを簡単に言及します。

• サードパーティの情報セキュリティ管理の評価
• サードパーティのセキュリティ責任、管理、および報告に関する契約上の保証

Okta が拡張された労働力をどのように保護しているか、詳しく見てみましょう。

例外なく強化および管理されたデバイス

組織が犯す最も深刻で一般的なセキュリティ上の過ちの1つは、管理されていない、またはロックされていないデバイスからサードパーティに内部システムへのアクセスを許可することです。

特に新規パートナーとの緊急プロジェクトの場合、厳格なデバイスポリシーを定めている企業でも例外を認めたくなる誘惑に駆られる可能性があることは指摘しておく価値があります。「強化されたデバイスを発送できるまで一時的にアクセスを許可しよう…」という対応は、迫り来る締め切りの恐怖の前では賢明な判断のように思えるかもしれませんが、脅威をもたらす人物にとっては、セキュリティの脆弱性は1つあれば十分なのです。

現在、請負業者は、強化されたOktaデバイスから、または（少数のBYODシナリオでは）当社のデバイス管理ソフトウェアを実行しているデバイスからアクセスしない限り、Oktaシステムにアクセスできません。 フィッシング耐性認証に加えて、これらのデバイスは、VPNの使用やデバイスのセキュリティ状態の評価など、追加のセキュリティ対策を強制しています。

しかし、以前はそうではありませんでした。そのため、攻撃対象領域を強化するために実施した作業の多くは、次の2つのアプローチを実行することでした。

• 既存の契約者全員に強化されたデバイスとオフラインセキュリティキー（当社の場合はYubiKey）を発行する
• 契約者のオンボーディングプロセスを更新する（これについては後ほど詳しく説明します）

これは特にOktaのような大企業にとっては大変な作業ですが、セキュリティ対策を強化する努力は価値があります。

当社が役立つと判断したことは、セキュリティを当社の価値の重要な要素として組み込み、Okta Secure Identity Commitmentを通じてセキュリティへの取り組みを強化することです。組織として真剣にセキュリティに重点的に取り組むことで、拡大した全ワークフォースに強化されたデバイスを装備するためのコストをセキュリティ対策への投資と見なしています。これらの投資により、セキュリティインシデントによる財務、法律、評判への影響を回避または最小限に抑えることができます。

セキュリティトレーニングの義務化

オンボーディングプロセスの一環として、Oktaと業務を行うすべての契約社員は、当社の必須トレーニングを完了することが義務付けられています。

• 一般的なセキュリティ意識：特に、脅威や犯罪から当社、コンピュータシステム、データ、人々、その他の資産を保護する方法について説明しています。
• データプライバシー：データプライバシーの重要性、データプライバシーの原則、機密データの取り扱いと保護に関するベストプラクティスをカバー
• 物理的セキュリティ：当社施設内のセキュリティ（一部の契約業者は当社オフィスを訪問する必要があるため）と、物理的な世界における機密情報の保護について

当社はこれを非常に重視しています。責任を怠る契約業者は私から連絡を受けることになりますが、これはおそらくその日のハイライトにはならないでしょう。これらのモジュールはすべて重要ですが、特に一般的なセキュリティ意識のトレーニングは不可欠です。

一般的なセキュリティ意識のトレーニングで私たちが目指しているのは、モジュール名にもあるように一般的なセキュリティ意識の醸成です。 外部参加者の会議への参加時の注意から、パスワード、APIキー、暗号化キーをリポジトリに残さないことまで、具体的なガイダンスに加えて、請負業者が直面する可能性のある一般的な脅威に対する意識を高めるようにも努めています。

ソーシャルエンジニアリングの防御

例えば、Oktaの従業員は、当社システムへのアクセスを試みる脅威アクターから定期的に標的にされています。ソーシャルエンジニアリング（特にフィッシングとプリテキスト）は、彼らが好んで用いる手法の1つです。もちろん、脅威アクターは、当社と協力するサードパーティを見つけ出し、そのサードパーティ内の個々の従業員を特定することに長けています。その結果、それらの個人は、当社の社内チームと同じソーシャルエンジニアリングの戦術の対象となります。

請負業者は、LinkedInのプロフィールに「Oktaと仕事をしている」という新しい項目を追加することについて、それほど深く考えないかもしれません。また、プロフェッショナルなプロフィールからコネクションリクエストを受け取ったり、新しい連絡先から「面接の準備」などのもっともらしい理由で質問を尋ねるダイレクトメッセージを受け取っても、何もおかしいとは思わないかもしれません。

あるいは、より極端な例を挙げると、出会い系アプリで誰かとつながり、実際に会って、仕事について話したとしても、ほとんどの人はその点に気づかないでしょう。トレーニングが魔法のような解決策になるわけではありませんが、トレーニングによって請負業者が標的になり得ることを知らせ、注意を促すことができます。

その意識の向上が、少しの疑念につながる可能性もあります。その少しの疑念が、ソーシャルエンジニアリングの被害者になるか、何かがおかしいと微妙な点をつなぎ合わせるかの違いを生むかもしれません。そして、その微妙な点をつなぎ合わせることで、標的となった個人が被害を受ける前にブレーキをかけたり、脅威を報告したりすることが可能になります。

エンドツーエンドのフィッシング耐性

フィッシングが日常的な脅威である中、私たちは、契約者のオンボーディングからオフボーディングまでのライフサイクル全体にわたってフィッシング耐性を組み込むために、多大な時間と労力を費やしてきました。例えば、私たちはすべての契約者にYubiKeyを発行しています。このオフラインセキュリティキーは、契約者が当社のシステムにアクセスする前に有効にする必要があります。また、契約者が当社のヘルプデスクで作業する必要がある場合、本人確認プロセスの一部としても使用されます。

（YubiKeyを従業員に展開することを考えたものの、手作業が必要になるため躊躇していた読者の方々へ。Oktaのネイティブ統合により、YubicoのFIDO Pre-reg提供が大幅に拡張可能になりました。）

同様に、デバイスベースの生体認証、およびOkta Device Access、Okta FastPass、Okta Verifyなどのツールにより、業務遂行の妨げとなるような摩擦を生じさせることなく、セキュリティを強化することができます。

始めるのに最適なタイミングは昨日だったが、次に最適なタイミングは今だ

今日の脅威に満ちた環境において、組織のセキュリティを確保するには、社内システムにアクセスする多数のサードパーティを含め、組織全体に効果的なアクセス制御を導入する必要があります。

例外は一切認められません。

もちろん、現在地からそこまでたどり着くには長い道のりとなりますが、経営陣のサポートがあれば、それは可能です。

以上の内容は、原文（英語）の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。