ニュース
Okta、認証前のIDを保護する新製品「Okta ISPM」でID管理体制を可視化
2025年4月14日 06:00
Okta Japan株式会社は11日、認証前のアイデンティティを保護する新製品「Okta Identity Security Posture Management(ISPM)」に関する説明会を開催した。
Okta ISPMは、アイデンティティのセキュリティ体制を可視化して評価し、改善する製品。Okta Japan プリンシパル・ソリューション・エンジニアの井坂源樹氏は、「Oktaは、認証時のアイデンティティを保護するソリューションがよく知られているが、実際のアイデンティティは認証前、認証時、認証後まで保護する必要がある」とし、Okta ISPMの重要性を語った。
Okta ISPMは、同社が提供する認証時のソリューションとは独立した製品で、アイデンティティプロバイダー(IdP)のひとつとしてOktaに対応するほか、Google、Microsoftにも対応する。また、クラウドインフラやSaaSアプリケーションのデータソースを利用し、これらと連携してアカウントや接続状況の情報を収集して可視化する。ユーザーやその権限、アプリケーションへのアクセス状況を分析し、ユーザーが持つアカウントやサービスが適正であるかを検証。NISTやPCI-DSSなどのセキュリティフレームワークと照らし合わせて評価し、不備があれば是正を促すという仕組みだ。
対応するIdPやクラウドインフラなどに登録されたユーザーアカウント情報を取り込んで、リスクを分析するわけだが、そのリスクの例として井坂氏は、パスワード変更の未実施や、多要素認証(MFA)の未適用、過剰な権限設定、未使用アカウントなどを挙げる。この分析結果は、グラフエンジンによって相関分析され、どのアイデンティティに対してどのような対策が必要か示される。
「Okta ISPMは、Identity Access Management(IAM)の適正化を支援する。例えば、MFAの適用状況を検出し、リスクを提示することで、設定ミスを防ぎ、正しい状態を維持する。このような予防策により、攻撃者から環境を保護する仕組みを提供する」と、井坂氏は説明する。
人間のアイデンティティに関しては、関連データをさまざまなアプリケーションやIdPより取得し、一元管理する。このデータはインベントリに集約され、登録アカウントやその権限内容を分析する。具体的には、数万件規模のアカウントデータを取り込み、管理者アカウントの数やサービス化されているアカウント数を分析、複数のシステム間でどのようなアイデンティティや権限が結びついているかを可視化する。また、パスワードが変更されていない、未使用のアカウントが存在するといったようなリスクを特定し、それに基づいてリスクレポートを作成する。
井坂氏は、非人間アイデンティティ(NHI:Non Human Identity)の管理の重要性も強調。NHIには、サービスアカウントや共有アカウント、APIトークン、AIエージェントなどが含まれ、「これらのアカウントは個人にひもづかず管理が行き届きにくいため、攻撃対象になりやすい」という。
Okta ISPMは、AI技術を利用してNHIを識別してラベル付けし、そのリスクを検出する。また、特権アクセス管理を行う「Okta Privileged Access」も活用してサービスアカウントのパスワードを定期的にローテーションし、特定の認証されたユーザーのみがそのアカウントを利用できる仕組みを提供する。これにより、「パスワード流出時にも迅速に対応でき、誰がアカウントを使用したか追跡することも可能だ」(井坂氏)という。
それぞれのアイデンティティで不備が発覚した場合は、Okta ISPMの自動修復機能により、各アプリケーションに対してAPIを通じ是正処理を自動で実行することが可能だ。また、JiraやServiceNowでチケットを作成したり、Slackで通知したりと、外部システムとの連携でフローを回す仕組みも備えている。
さらに、アイデンティティガバナンス機能の「Okta Identity Governance」を活用することで、不要なアカウントの棚卸しや削除が効率的に進められるほか、ノーコードでアイデンティティ管理を自動化する「Okta Workflows」によって修正を実行することも可能だ。この仕組みは、Oktaだけでなく、AzureやGoogle、Salesforceなど、APIで呼び出しが可能な環境に対応する。
Okta ISPMは、すでに日本でも利用可能となっている。データセンターの提供地域は現在北米に限定されているが、今年後半にはグローバルのデータセンターからも展開が予定されている。