Okta Japanは9月11日、都内でイベント「Okta Identity Summit Tokyo 2024」を開催した。本稿ではOkta Japan 代表取締役社長の渡邉崇氏による「アイデンティティで世界は変わる」と題した基調講演に加え、製品アップデートについて紹介する。
企業における重要課題とは?その解決を阻むもの
冒頭に、渡邉氏は「朝起きてから1日で何回ログインを行いますか?昨今では、ログインすることは日常生活において無意識で行っています。ログインにはIDとパスワードが必要になります。IDとアイデンティティは同じものと考えている方は少なくないと思いますが、Oktaの定義では異なります」と述べている。
同氏によると“アイデンティティ”は氏名、肩書、所属に加え、アクセスしている現在地や行動履歴、デバイス、IPアドレスなど、すべての集合体として“その人”を表すものだという。渡邉氏は「アイデンティティを使い、セキュアにログインすることが重要なっており、アイデンティティに投資する企業が増加してきています」と話す。
昨今では不確実な経済やデジタル上での競争、加速するAI、サイバーリスクをはじめ、マクロとミクロ両方の要素により、ビジネスを取り巻く変化は激しさを増している。こうした変化に対応するために、企業では新しいテクノロジーを取り入れるが、それらのテクノロジーを利用する際にはログインが必要となる。
そして、同氏が顧客に対して、アイデンティティへの取り組み状況を尋ねたところ「コストの最適化」「長期的な成長」「セキュリティ」の3つが最重要課題であることが浮き彫りになったという。しかし、これらの課題解決を阻害するものがあるという。それは、テクノロジーと体験の断片化が問題として立ち塞がるとのことだ。
例えばテクノロジーの断片化では、部門・業務ごとに必要なものを実現する観点から物事が作られたり、クラウドに置き換えたりしているが、これによって全体最適化が考えられていないと指摘。次のアクションや流れの中で連携していないとシステム同士が連携していないと、システムの利用を諦めてしまうといったことがあるようだ。
同氏は「これを解決しないと全体像が見えず、結果的にセキュリティが弱体化します。ただ、これらを解決するための基盤技術としてアイデンティティが鍵になります。アイデンティティを活用することで、テクノロジースタックを全体的に可視化できることから、ビジネス全体の動向をベースにした経営判断がしやすくなります。それを実現するものとしてOktaでは中立性を提供しています」と説明する。
Oktaの強み
渡邉氏が言及したように「Okta Integration Network」は、Oktaとの連携を簡単に設定できるテンプレ―ト群であり、Oktaと事前連携済みの7000以上のSaaS(Software as a Service)やセキュリティ製品などが一覧化され、数クリックで実装できる。こうした中立性に加え、「拡張性」「体験」「信頼性」を備えているため、グローバルにおいて採用が進んでいるという。
拡張性では、必要なカスタマイズやビジネスの要件に対して容易に連携可能なほか、体験についてはエンドユーザーのみならず、アイデンティティ管理を行うシステム管理者、Webサイトを構築してログインを開発する開発者の体験を容易にしており、システムが落ちない信頼性があるとのことだ。
こうした特徴を備えていることから、国内でも導入が拡大し、日本における実績としては企業システムのIDやパスワードを一元管理するサービス「Okta Workforce Identity Cloud」の月間認証数が前年比71%成長の2億9000万回以上、消費者向けサービスの認証基盤「Okta Customer Identity Cloud」は同36.8%成長の1億5000万回以上、2020年の日本法人設立以降のビジネス規模は10倍以上になっている。
また、国内のパートナーは設立時は3社のみだったが、現在では前年比50%増の101社まで拡大している。
インシデントから得た教訓でセキュリティを強化
一方で、2022年、2023年と2年連続で不正アクセスを伴うセキュリティインシデントを引き起こした苦い経験も活かしている。
渡邉氏は「Oktaとして真剣に受け止め、プロジェクトを開始しました。具体的には製品開発やロードマップの方針などセキュリティと関わらないものを止めて、信頼を回復してもらえるようにすべてのリソースをセキュリティに特化させて取り組みました」と振り返る。
このようにセキュリティに注力し、今年2月には「Okta Secure Identity Commitment」を発表。このコミットメントにもとづき同社では「市場をリードするセキュアなアイデンティティ製品とサービスの提供」「より強固な社内インフラの実現」「ベストプラクティスを推進し、お客さまを保護」「アイデンティティへの攻撃から業界を保護」の4つの施策を進めた。
ただ、Okta単体で実現できるものではないため、OpenIDやNIST(米国立標準技術研究所)、FIDO Allianseといった標準団体と連携し、セキュリティの強化やアイデンティティの向上、アクセシビリティの向上に取り組んだ。結果として、30日間に拒否された潜在的に悪意のあるアクセス要求を20億ブロックし、90日間に削減したクレデンシャルスタッフィングの試行回数の割合は90%を占めたという。
日本においては、迅速な情報共有のほか、英語と日本語の情報発信、パートナーと歩調を合わせた顧客対応を実施。そして、先日には日本法人でCSO(最高セキュリティ責任者)として板倉景子氏が就任し、国内の制度や市場の成熟度や動向を理解したセキュリティのプロフェッショナルによる日本国内のセキュリティ支援体制の強化を図っている。
環境の変化に合わせた最新の製品アップデート
続いて、Okta Japan シニアソリューションマーケティングマネージャーの高橋卓也氏が最新の製品アップデートについて解説した。同社では、主要製品の発表を四半期ごとに集約して行う「Okta Launch Week」として最新のアップデートをアナウンスしている。
はじめに、高橋氏は委託したユーザー調査の結果を引き合いに出した。それによると「今後1年間で自社において管理するアイデンティティの増加を予測」と回答した割合は、83%となっている。また、増加していくアイデンティティを取り巻く環境として、あるレポートでは情報漏えいにおいて認証情報の悪用が起因する割合は80%以上となり、Fotune 1000の企業から窃取されたセッションクッキーは18億以上にのぼるという。
高橋氏は「このような状況を受けて、企業ではアイデンティティを保護するためのソリューションや仕組みを取り入れ始めています。例えば、多要素認証では生体認証を用いた認証などが使われ始めています。クラウドの利用が進む中で企業においては、クラウドファーストやDX(デジタルトランスフォーメーション)が重要視されており、新しい戦略にシフトする状況下ではアイデンティティがセキュリティ戦略の根幹をなすものです」との見解だ。
こうしたセキュリティ戦略を実現するものとして、Workforce Identity CloudとCustomer Identity Cloudそれぞれにおいて特徴的な新機能・サービスが紹介された。Workforce Identity Cloudでは「Identity Security Posture Management」「Identity Threat Protection with Okta AI」「Workflows Audit Ready for FedRAMP High」、Customer Identity Cloudは「Highly Regulated Identity」「Forms for Actions」の計5つだ。
Workforce Identity Cloud
Workforce Identity CloudのIdentity Security Posture Managementは、脆弱性の特定やリスクの優先順位付け、修復の合理化を行い、アイデンティティセキュリティ体制を強化し、すでに北米で提供を開始しており、2025年以降にグローバルで展開予定。
Identity Threat Protection with Okta AIは、継続的なアイデンティティ脅威評価と自動対処を行い、認証後の保護を強化するとともにトリガーとしてファーストパーティとサードパーティのシグナルを活用した生成AI。早期アクセスを開始しており、アナリティクスを提供するだけでなく、データからアクションまでを紐づけることができ、セッションクッキーの悪用を防げるという。
Workflows Audit Ready for FedRAMP Highは、クラウドサービスを対象とする米国連邦政府の調達要件に関する認証制度であるFedRAMPの監査に対応するものとなり、対象となるユーザーは利用が可能。今後も米国のみならず、グローバル各国の規制やレギュレーションに対応していく方針だ。
Customer Identity Cloud
次はCustomer Identity Cloudのアップデート。高橋氏は「Oktaで認証した全ユーザーのうち25%はクレデンシャルスタッフィングでした。セキュリティを強化しなければいけない反面、売り上げも重要のためバランスを取ることが求められます」と指摘。
Highly Regulated Identityは、欧州のオンライン決済に対する規制である「PSD2」で求められるSCA(Strong Customer Authentication:強力な顧客認証)の実装を容易にする機能となり、多要素認証などの検証を可能とし、すでに提供を開始している。
同氏は「何度も認証を行わず、機密性が求められるトランザクションの時だけ認証を行うことができます。そのため、ユーザーにストレスを与えることなく、重要な時にだけ認証を行うことからセキュリティと売り上げの両方を実現できるソリューションです」と説く。
Forms for Actionsは例えばSNSログインの連携やメールアドレスを確認するまではアプリケーションが使えないようにしたいなどのWebアプリケーション要件を外部サーバとの連携やコーディングの必要があったが、そうしたフローをなくしてWebブラウザでノーコードでフォームを作成することができるというもの。
これにより、ノーコードで即座に開発することが可能となり、エンジニアのリソースを消費することなく、開発期間を短縮して新しいアプリケーションを市場に投入することができるという。
最後に高橋氏は「これ以外にもWorkforce Identity CloudとCustomer Identity Cloudでは多くの機能を発表しています。最近、注目を集めているソリューションに関しても多くの機能拡張を行っており、今後も四半期ごとに発表していきます」としてプレゼンテーションを結んだ。