Okta Japanは4月11日、オンラインで説明会を開き、AIエージェントや非人間アイデンティティを人間のアイデンティティと同じレベルの可視性、制御、ガバナンス、自動化で保護できるOkta Platformの新機能「Okta Identity Security Posture Management」(Okta ISPM)を発表した。
増加する人間と非人間アイデンティティ
昨今のアイデンティティを取り巻く状況は、データ侵害がアイデンティティに対する攻撃に起因する割合が80%、2023年にFortune 1000企業の従業員から窃取されたセッションクッキーの件数は19億、侵害の認識と封じ込めにかかる日数は290日となっており、攻撃件数も増加傾向にあるという。
Okta Japan プリンシパル・ソリューション・エンジニアの井坂源樹氏は「アイデンティティは、認証前から認証後まで保護する必要がある」と警鐘を鳴らす。
具体的には、認証前は適切な権限付与やアクセスポリシー、設定ミスの検知・修正、認証時はフィッシング耐性、パスワードレス認証、デバイスポスチャ、SSO(シングルサインオン)、認証後は継続的なセッション、脅威シグナルの共有、セッションの強制終了、修正プロセスの起動などがある。
井坂氏は「アイデンティティは人間だけではなく、サービスアカウントやヘルプデスクの人が運用で使う共有アカウント、APIキー、トークン、AIエージェントといった非人間アイデンティティ管理しなければならない。例えば、共有アカウントはMFAを提供しにくい性質があり、攻撃のポイントになりかねない」と指摘。
Okta ISPMの概要
こうしたことから、同社では認証前のセキュリティソリューションとしてOkta ISPMを提供するというわけだ。
実際、非人間アイデンティティは今後増加することが見込まれており、デロイトの予測では2027年までに生成AIを活用する企業の半数が何らかの形でAIエージェントを導入し、すでに一部の企業では数百の営業プロセスを自動化するセールスオートメーションサービスであるAI SDR(AI Sales Development Representative)や数千のカスタマーサービスエージェントを展開している。
そのため、非人間と人間のアイデンティティを大規模なエコシステム全体で一元的に保護、管理、ガバナンスする統合的なアイデンティティセキュリティ基盤の実装が重要になるという。
ISPMについて、井坂氏は「さまざまなIdP(Identity Provider)アプリケーションと連携して、どのようなアカウントが存在し、どのようにつながっているのかを情報収集し、可視化する。そのうえでユーザーアカウントやサービスアカウントが正しいか否かを支援するためになどの、NISTやPCI-DSSセキュリティフレームワークと照らし合わせて是正する仕組みを提供するもの」と説明した。
ISPMは、IdPアプリケーションやSaaS(Software as a Service)などからのデータソースをAIを活用して、アカウントの分離・相関やリスク優先度の設定、権限の標準化、使用状況分析を行う。これにより、アイデンティティセキュリティの優先順位付けと文脈のあるインサイト、アイデンティティグラフ&インベントリ、修正のガイダンス、フレームワーク制御のマッピング、チケット発行システムやメッセージングとの統合を可能としている。
人間のアイデンティティについては、設定やログ、ポリシーを取得して人間のアカウントとサービスを識別してタグ付けを行い、アカウント情報とステータス、ログイン履歴やパスワードの変更履歴、MFA適用の有無を把握できるという。
一方、非人間アイデンティティに関しては、Salesforce、Entra IDでの過剰特権サービスアカウントやAWS(Amazon Web Services)とOktaでローテーションされていないAPIキー、制御されていないAIエージェントとなり、非人間アイデンティティの発見、問題点の検出・修復を行う。今後、Microsoft AzureやGoogle Cloud、GitHubなど対象の追加を予定している。
また、ISPMと特権アクセス管理の「Okta Privileged Access」により、AIエージェントやサービスアカウント、共有アカウント、緊急アクセス用アイデンティティ、APIキー、アクセストークン、自動化ツールなどの非人間アイデンティティを保護するための包括的なエンドツーエンドソリューションを提供するとしている。
企業は非人間アイデンティティの検出、保護、管理を強化でき、AI駆動型の自動化やマシン間通信に対してもゼロトラストポリシーのもとでガバナンスを維持できるほか、これらのリスクと脆弱性を継続的に監視することも可能としている。
さらに、IDガバナンス管理サービス「Okta Identity Governance」の新機能として「職務の分離(Separation of Duties)」の一般プレビューを開始。これは、ユーザーが矛盾したアクセス権を持ってしまい、セキュリティリスクやコンプライアンス違反につながるのを防止することができ、事前定義された業務ルールに基づいて、SoDポリシーを適用することで、不正防止、法令遵守、内部脅威の軽減を実現するとのこと。
加えて、デバイスへのアクセスも保護する「Okta Device Access」とAdaptive MFA(状況に応じてMFAを柔軟に適用する仕組み)による新機能「Secure Device Features」の早期アクセスを開始。
MFA疲労や認証情報の盗難リスクを軽減し、デバイスのコンテキストとハードウェア保護をシームレスに統合して、ゼロトラスト型アクセス制御を実現するという。ユーザーが使用する他のツールと連携し、アクセスポリシーの判断や継続的なリスク評価・施行に必要なシグナルを収集する。
また、一般提供を開始した「Secure Identity Integrations」は、重要な業務アプリケーションに対して包括的なセキュリティ統合を提供。現在、Oktaの1万8000社以上のユーザーが活用している7000以上のアプリケーションと連携する「Okta Integration Network」内のコレクションとして提供を開始している。
Google Workspace、Microsoft 365、Salesforceなどのアプリケーションにおいて、ユーザー権限の管理、リスクの可視化、ビルトインの自動修復やUniversal Logoutによる迅速な脅威の封じ込めが可能になるという。