CSO Conversationsは、Oktaの最高セキュリティ責任者（CSO）であるデビッド・ブラッドベリー（David Bradbury）をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、世界的なセキュリティのオピニオンリーダーとの信頼関係を構築し、強化しています。 サイバーセキュリティの分野でのキャリアを追求するようになったきっかけは何ですか？ 私はもともとコンピュータサイエンスの学位を取得しており、大学を卒業してすぐに米国国防総省で働き始めました。その世界では、セキュリティがすべてのプロジェクトの最優先事項であり…

Okta Securityの調査によると、脅威アクターに標的とされた企業は、標的が判明した後になって初めてフィッシング耐性のあるサインイン方式に移行しています。より強力な認証ツールに移行させるコストと複雑性が低いのにも関わらず、なぜ標的とされたことが判明するまで待つのでしょうか？ Okta Securityの調査によると、MFA（MFAとは？）の導入率の伸びは鈍化しているものの、Okta FastPassやFIDO2などのフィッシング耐性のある多要素認証（MFA）方式の利用は急増しています。 全体として、Oktaのお客様はMFAを積極的に採用しています。2024年1月時点で、Oktaの「Secure Sign-In Trends Report 2024」によると、Okta管理者の91%…

このブログはこちらの英語ブログ（2025年1月23日公開）の機械翻訳です。 Okta Workflows は、アイデンティティプロセスを自動化するためのイベント駆動型プラットフォームです。Okta Workflowsを使用すると、Oktaまたはサードパーティサービスでイベントが発生したときにフローをトリガーすることができます。 このブログ記事では、イベントが発生したときに自動化をトリガーする方法について説明します。 Oktaおよびその他のサービスからの組み込みコネクタイベントを使用する Oktaイベント用のイベントフック（ウェブフック）を使用する サードパーティサービス用のウェブフックを使用する イベントの検索（System Log） Okta Workflowsリソース Okta…

企業のセキュリティにおいて、アイデンティティの保護は日々重要性が高まっています。アイデンティティセキュリティを考える時、最初に思い浮かぶのは認証だと思います。そこでまずは、認証がどのように進化してきたのかを、振り返ってみたいと思います。読み終わった時にはきっと最適な認証の必要性が理解して頂けると思います。その後、認証以外の部分についてもお話ししていきたいと思います。 パスワード 従来はユーザー認証といえばパスワード認証でしたが、今では十分な認証と言えなくなってきました。パスワードそのものは記憶の中のものであるため盗難が理論上不可能で、破損することもなく安全性が高いものですが、ユーザーのパスワード運用(使い回し、メモに残すなど)により安全性が容易に揺らいでしまう上…

本投稿では、2024年にリリースしたIdentity Threat Protection with Okta AI（ITP）の実際のユースケースをご紹介します。 認証後の脅威 不正アクセスなどの脅威を防ぐ手段として、Okta Workforce Identity Cloudが提供している機能では、Okta ThreatInsight、振る舞い検知、リスクスコアリングなどがあります。これらは、認証前に防ぐ手段となります。 昨今、話題となっているセッションハイジャック攻撃のように、セッションを盗んでユーザーになりすます攻撃は、認証後に発生するものとなり、これらの対策のみでは防ぐことはできません。 Identity Threat Protection with Okta AI（ITP）とは…

目次 Client Credentialsグラントについて Client Credentialsグラントの設定 JWTの生成 トークンリクエストの発行とアクセストークンの取得 APIリクエストの発行 まとめ 本ブログ記事では、前回に続き、Okta Workforce Identity Cloud (以降、Okta WIC) でのOAuth 2.0を使ったAPIの使い方について解説します。 前回の「認可コードグラント」は、ユーザーの認証が必要 (＝人の介在が必要) なので、「サーバからOkta WICへAPIでアクセスしたい」という場合には使いづらい方式でした。 本ブログ記事では、OAuth 2.0の中でも「Client Credentials グラント」という…

このブログはこちらの英語ブログ（2025年1月15日公開）の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。 Oktaの企業ビジョンである「すべての人があらゆるテクノロジーを安全に利用できる世界を実現する」は、今もなお当社の指針となっています。 現在、世界中のほぼすべての業界における約20,000社のお客様がOktaのアイデンティティソリューションを活用しています。 昨年初め、Okta は、アイデンティティ攻撃との戦いで業界をリードするための長期的な取り組みであるOkta Secure Identity Commitment (OSIC) を発表しました。 この取り組みは、「業界全体のセキュリティ水準を向上させる」などを含む4つの柱で構成されています。…

このブログはこちらの英語ブログ（2025年1月6日公開）の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。 新年が到来し、新しい決意、可能性が生まれます。そして、残念なことに、新しい脅威ももたらされます。 しかし、攻撃者はカレンダーが変わるだけで攻撃方法を変えるわけではありません。むしろ、これまで効果があった攻撃方法をさらに強化し、検出を回避して、脆弱性を悪用する新しい方法を試すことでしょう。 すべての悪意ある攻撃を予測することはできませんが、2025 年も継続して拡大する可能性が高い、懸念されるアイデンティティ攻撃の傾向のいくつかを特定することはできます。 ここでは、それらに関する私たちの予測と、備えるためのアドバイスをいくつかご紹介します。…