Okta、ゼロトラストを強化する「Identity Threat Protection with Okta AI」

Okta内では、これらの認証情報をもとにコンテキストの評価を行い、誰が、どこから、どのような端末といった情報をベースに明らかに従来とは異なる動きをしていれば拒否をしたり、追加のMFA(多要素認証)を用意し、アプリケーションごとに異なる制御を可能としていた。認証後のユーザートラフィックはSASEでネットワークを監視し、巧妙な攻撃がエンドポイントに到達した場合はEDRを用いるといったものだ。

しかし、昨今のアイデンティティ攻撃はログイン後の「認証の証明」が対象になっており、パスワードレスやMFAが普及したことで攻撃者は認証情報を盗むことが難しくなってきたため、セッションIDを狙うようになっているという。攻撃者に狙われる認証の証明は昨年だけで19億にものぼっている。

こうした状況に対して、岸本氏はアイデンティティセキュリティの新たな課題として「攻撃者はログイン後にユーザーになりすまし、盗まれたセッションクッキーが不正アクセスを可能にしており、サイロ化されたセキュリティツールではリスクの分析が不完全になりがちであり、手作業による脅威への対応は時間を擁しエラーも発生しやすい。ユーザーのリスクは、アクティブセッション中に変わる可能性があるものの、従来のアクセスポリシーはログイン後に再評価されない」との見解を示す。
継続的なアイデンティティ脅威評価と自動対処が可能な新製品

そこで、同社ではID管理製品「Okta Workforce Identity Cloud」の新製品として「Identity Threat Protection with Okta AI」(ITP)のアーリーアクセス版を4月に提供開始。これは、継続的なアイデンティティ脅威評価と自動対処を行い、認証後の保護を強化するとともにトリガーとしてファーストパーティとサードパーティのシグナルを活用。

また、セッション中のアクセスを再評価して脅威を検出して軽減と修復を自動的に発動し、アイデンティティのセキュリティに対する直感的かつリアルタイムな可視性を提供するという。2024年後半には一般提供の開始を予定している。

岸本氏は「端末からOktaにあがってくる認証を常に評価し続け、通信を見ることはできないためユーザーがアプリケーションにアクセスするたびにチェックをする。そのタイミングで送信元IPアドレスが異なっていることが判明すれば、リソースから強制ログアウトを行う。また、SASEやEDRからシグナルを受け取り、挙動がおかしければログアウトさせることが可能」と説明した。