ゼロトラストアーキテクチャの台頭により、新たな課題が浮上しています。ゼロトラストのアプローチでは、ユーザーの資格情報が有効であることを信頼するだけでは不十分です。また、デバイス自体を検証して、組織のセキュリティ基準を満たしていることを確認する必要もあります。 この課題に対処する上で鍵となる方法として、組織のアイデンティティプロバイダーが検証した資格情報を使用するデバイスログインの利用が挙げられます。このアプローチでは、ユーザーは組織の資格情報を使用してデバイスにログインします。これによって、パスワードを統合し、ユーザーと管理者の両方のエクスペリエンスを向上させることができます。 開発者は、macOS Venturaで導入されたプラットフォームSSOを使用して…

ソーシャルエンジニアリングは、インターネットそのものよりも古くからあるハッキング手法です。しかし、最近、ユーザーを騙したり、脅したりして、目的の行動を実行させるために、より洗練された攻撃的な手法を追求する脅威者の傾向が目撃されています。彼らのキャンペーンには説得力があり、図々しく、憂慮すべきものです。本ブログでは、私たちが目にしたり、気づいた手法のいくつかをご紹介し、従業員や組織を守るために使える実践的なアドバイスを提供したいと思います。 まず最初に、システムに侵入しようとする脅威者は、企業で使われる用語に精通し、あなたの隣のデスクにいる人と同じように本物らしく聞こえるよう、時間をかけて研究しています。彼らは社内ツールや用語を熟知し、同僚社員の名前を簡単に口にします…

日本語で受講できるOktaの認定資格試験「Okta Certifications」の 「Certified Professional」 (第一ステップ) および 「Certified Administrator」(第二ステップ) の模擬試験と本試験の具体的な受験手順をご紹介します。 受験の流れ こちらのブログ記事でもご紹介しましたが、認定資格の取得までに下図のようなステップを踏むことを推奨しています。 もちろん本試験に合格しさえすれば認定資格は得られるのですが、問題の形式や傾向、ハンズオン環境のイメージなどが分からないまま初見で臨むのは不安も大きいでしょう。 Okta はそういった不安解消のために講師付きのトレーニングコースや本試験さながらの模擬試験を提供しています。 この記事では …

Okta Trainingでは、迅速かつ効率的にOkta Workforce Identity Cloud(WIC) の機能や開発／運用方法を学べる様に、様々な学習コンテンツを提供しています。学習コンテンツは、Okta管理者向け、開発者向け、構築コンサルタント向けに別れていますが、Okta Essentials と Okta Certifications（認定資格試験）が日本語で提供されています。 Okta Essentials コース概要（3日間） Okta Essentialsは、Okta WICのシステム管理者やセットアップを担当する方向けに、導入を成功させるために特にお薦めのコースです。Okta WICをセットアップ…

Okta Workforce Identity Cloud (以降、WIC) を触り始めた初期段階では、WICに登録したユーザーに対して、Okta Verifyアプリの登録を求められたり、求められなかったりするので「なんでこんな動きになるの？」と疑問を持つと思います。 そこで本ブログでは、WIC初心者が疑問に思うであろう下記2点について解説します。 ・新規ユーザー登録の際に発生する、認証器への登録の挙動 ・登録済みユーザーにも発生する、認証器への登録の挙動 認証器（英語ではAuthenticators）とは、パスワード、メール、Okta Verifyアプリなど、認証を行うものを指します。 以降の解説は、WICトライアル環境をベースに行っていきます。 ※…

このブログでは、Okta Workflorce Identity Cloud (以降、WIC) のトライアル環境の構築方法をお伝えします。 WICの動作を実感できるように、外部アプリケーションとのSAML連携を行う方法もご紹介します。 WICトライアルの申請から構築まで WICトライアル環境の申請は、OktaのWebサイトから行います。 https://www.okta.com/jp/ へアクセスして、「サインアップ」をクリックします。 氏名、メールアドレスなどの必要事項を入力して、「今すぐ始める」をクリックします。 以下のような画面に遷移したら、先ほど入力した「仕事用Eメールアドレス」宛のメールを確認します。 届いたメールの「Activate Okta Account…

パスワードは、登場した当時から大きな問題を抱えてきましたが、それも当然のことです。パスワードを最初に作成したのは、MITのコンピューター科学者であったFernando Corbató氏ですが、同氏ですらパスワードを「一種の悪夢」と呼んだほどです。現在、私たちはそれぞれに何百ものパスワードを使っており、知識ベースの認証要素の弱点を克服するための複雑なルールが増え続けています。こうした状況は、Corbató氏でも想像できなかったのではないでしょうか。 脆弱なアイデンティティ検証を増強する多要素認証（MFA）は、ワンタイムパスコード、生体認証、物理トークンなどの強力な要素を使用することで、現代のセキュリティ対策を鼓舞するものとなっています。完璧ではありませんが…

5月24日にOkta City Tour Tokyo 2023が開催されました。当日はCEOのトッド・マッキノンやOkta Japan株式会社の代表取締役社長の渡邉によるキーノートに加え、お客様による最新事例の紹介、パネルディスカッションなど、さまざまな形式で最新情報をお伝えしました。 また、別会場ではWorkfoce Identity CloudとCustomer Identity Cloudそれぞれの製品を体験できるワークショップが開催されました。この記事ではそれぞれの様子をお届けします。 Workforce Identity Cloudワークショップ Workforce Identity Cloudは従業員やパートナーに対して安全なアクセス環境を提供する認証基盤を提供します…

今日のダイナミックなデジタル環境における大きなパラダイムシフトとして、ゼロトラストアーキテクチャが登場しました。脅威が絶え間なく進化し、デジタル環境がますます複雑化している状況では、暗黙の信頼に挑戦する包括的なセキュリティアプローチを採用する必要があります。ゼロトラストにより、高度な脅威に対する効果的な保護を実現し、貴重なデータ資産を保護できます。 ゼロトラストセキュリティアーキテクチャとは？ ゼロトラストとは、「決して信頼せず、常に検証する」という原則に基づくセキュリティモデルです。つまり、組織のデジタル環境内で、ユーザー、デバイス、ネットワークをデフォルトで信頼しません。そのためには、場所やネットワーク接続に関係なく、ユーザーとデバイスの継続的な認証、認可、検証が必要です…

10年前、セキュリティ専門家は5月の第1木曜日を新しい祝日と宣言しました。World Password Dayは、パスワードの変更を促す年1回の注意喚起のためのものでした。また同時に、パスワードの基本的な欠陥の一つを黙認することにもなりました：パスワードの有効性を維持するためには、頻繁にパスワードを変更する必要があるということです。 それ以来10年間、ログインの状況はより複雑になっています。セキュリティの脅威は成熟してきており、フィッシング攻撃は増加し、より巧妙になっています。一方、パスワードのルールはより厳しくなっており、特殊文字、大文字、長さなどに関する要件は常に変化しています。当然ながら、多くのユーザーは、パスワードに関する複雑なルールに不満を感じ…