Secure SaaS Service Accountsでサービスアカウントを保護

このブログはこちらの英語ブログ（2024年12月9日公開）の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。

Okta Privileged Accessの新機能であるSecure SaaS Service Accountsの早期アクセスが利用可能になりました。この新機能により、アカウント乗っ取り、保管、パスワードの定期的な変更により、組織全体でサービスアカウントを保護できるようになります。

サービスアカウント、共有アカウント、または緊急用アカウントのいずれであっても、セキュリティチームやITチームは組織のSaaS環境における非フェデレーションアカウントを管理し、より広範なアイデンティティセキュリティポスチャの一部として管理することができます。

サービスアカウントの詳細と、それがアイデンティティの乱立にどのような影響を与えるのか、さらにOktaの新しいソリューションについてご紹介します。

サービスアカウントとは？

業界や規模に関わらず、今日の企業は数十から数百ものクラウドベースのアプリケーションを使用しています。そして、組織内では、これらのアプリケーションやタスクを管理する担当者が任命されています（または、マシンが管理する場合もあります）。

プロセスやタスクを管理するためにアカウントが作成され、組織では、以下のような名称が使用されることがあります。

• サービスアカウント
• 共有アカウント
• 緊急用アカウント
• 管理者アカウント
• 特権アカウント
• ローカルアカウント

サービスアカウントは、ローカルまたはドメイン全体でシステムリソースへの広範なアクセスを許可する特権を持つことがよくあります。これらのアカウントのいずれかの認証情報が侵害された場合、組織に壊滅的な被害をもたらす可能性がある理由がお分かりいただけるでしょう。

非フェデレーションアカウントとアイデンティティの乱立

アイデンティティの乱立は、アプリケーションの急増により、今日、組織が直面している問題です。管理者がアプリケーションをプロビジョニングする際、作成されるサービスアカウントは特定のユーザーのアイデンティティに関連付けられていません。

特定のユーザーに属さないため、これらのアカウントはフェデレーションできません。そのため、ITチームとセキュリティチームは、プロビジョニング、認証、アクセスポリシー、コンプライアンスなど、さまざまなソリューションを考案する必要があります。これらのアカウントは管理不足になりがちで、セキュリティと可視性の問題を引き起こします。

セキュリティ上の課題と問題点

チームは、この種のアカウントを管理するために、いくつかのソリューションを試します。

潜在的なソリューション：アカウントを保存するために、パスワード管理ツールを使用します。

問題点：全員がこのツールにアクセスできるとは限らず、また、このツールが包括的な管理に必要な機能を提供しているとは限りません。

解決策：スプレッドシートや文書などの手動プロセスを使用します。

問題点：手動プロセスは時間がかかり、セキュリティが確保されず、拡張性もありません。

解決策：特権アクセス管理（PAM）のvaultを使用して認証情報を保存します。

問題点：別のPAMソリューションでは、管理者は複数のコネクタを使用する必要があります。1つはSSO/フェデレーション用のOktaとのアプリコネクタ、もう1つはPAMベンダーとのアプリコネクタです。管理者は、複数のソリューションにまたがるポリシーを設定し、別の高保証要素を選択・採用し、エンドユーザーを登録する必要があります。

これまで、どのオプションを使用しても、セキュリティと効率性のトレードオフがありました。

Oktaでサービスアカウントを保護

Secure SaaS Service Accountsは、従来の方法でサービスアカウントを管理する際に発生するすべての問題の解決に役立ちます。

可視性

この機能により、Okta Admin Consoleに新しいビューが追加され、SaaSアプリケーションアカウントの集中可視化が可能になります。

管理

Okta Privileged Access内で、管理者は共有アカウントのアクセスポリシーを作成・管理し、既存の特権を削減または排除することができます。ローテーションスケジュール用のポリシーを設定し、アカウントへのアクセスを常に1人のユーザーに限定することができます。

ガバナンス

管理者は、アプリケーション、リソース所有者、セキュリティパーソナにまたがる多段階の承認プロセスを作成できます。

保管

共有アカウントの認証情報は、Okta Privileged Access Secrets Vaultで保護されます。

説明責任

特定の期間にアカウントにアクセスしたユーザーを把握できます。

所有

リソース所有者を共有アカウントに割り当てることができます。

統合されたアイデンティティプラットフォームによる統合されたエクスペリエンス

アイデンティティとアクセス管理、アイデンティティガバナンスと管理、PAMのユースケースにわたってアイデンティティソリューションを統合するメリットは、ベンダーの統合にとどまりません。Okta Workforce Identity Cloudは、アイデンティティを核として、これらのユースケースにわたって深く統合されたツールとエクスペリエンスを提供します。Oktaでは、広範な統合ネットワークにより、エンタープライズアプリケーションにわたる共有アカウント、サービスアカウント、特権アカウントを検出、管理、ガバナンスし、セキュリティを強化できます。

Okta Privileged Accessは、多くの標準的なアプリとの統合をサポートしています。

• Salesforce
• Google Workspace
• Microsoft Office 365
• ServiceNow UD
• Zendesk
• NetSuite (Oracle)
• Coupa
• ShareFile (Citrix)
• Snowflake
• Cisco Webex Meetings
• Salesforce.com (Federated ID)
• SuccessFactors
• Atlassian Confluence Cloud
• 15five
• Facebook Workplace
• Better Stack
• Outsystems v.598
• Streamline AI
• RightScale
• TOPdesk Person by FuseLogic
• TOPdesk Operator by FuseLogic
• Salesforce.com (Nonprofit)

さらに多くの接続が日々テストされ、追加されています。

Secure SaaS Service Accountsに関するお問い合わせはこちらからお願いします。