Okta セキュリティホワイトペーパー
Okta Security Technical
Whitepaper
目次
Index
目 次
イントロダクション
Oktaとサービスセキュリティ Oktaについて
Okta Identity Cloud Workforce Identity Customer Identity
Oktaのセキュリティ・アプローチ セキュリティ責任共有モデル Oktaの責任:クラウド・セキュリティ ユーザの責任
Oktaのセキュリティ管理 イントロダクション
インフラ/物理的セキュリティ 物理的セキュリティ
信頼性を高めるための障害分離
データ・セキュリティ(Data-at-Rest Security) ネットワークセキュリティ(Data-in-Transit Security) 可用性とパフォーマンス監視
人的セキュリティ
ソフトウェア開発におけるセキュリティ サービスレベルのセキュリティ
サービスレベルの可用性とパフォーマンスの監視 セキュリティとペネトレーションテスト Okta ThreatInsight
コンプライアンス イントロダクション
Oktaのコンプライアンスへの対応 資料
セキュリティに関するドキュメント ソリューションの概要
Oktaのセキュリティと可用性
ユニバーサルディレクトリとライフサイクルマネジメント 多要素認証(MFA)
シングルサインオン(SSO)と統合 コンプライアンスと規制
出版物・刊行物 サードパーティについて おわりに
3 5 6 6 7 8 9 9 9 9 10
11 11 12 13 14 14 15 15 17 20 27 28 29 30 31 32 33 34 34 34 35 35 35 36 36 36 37
イントロダクション
David Bradbury
Chief Security Officer, Okta
今日、アイデンティティ中心のセキュリティへの大規模 な転換が起こっています。テクノロジーの進化により、
人はあらゆる環境でセキュアに働けるようになりつつあ ります。しかし、企業が新しい働き方やユーザへのサー ビスに適応するにつれ、「アイデンティティを中心とし たセキュリティ」が加速しています。Okta を利用して、
従業員にセキュアな就業環境を提供したり、シームレ スな顧客体験を実現したりするうえで、お客様にとって
Oktaのセキュリティ体制はより重要な関心事であるは ずです。
世界をリードする独立系アイデンティティ・プラットフォー ムとして、Okta はセキュリティのベストプラクティスが、
どのようなものか深く理解しています。本ホワイトペーパー では、Okta のセキュリティに関する方向性を導く原則 や、Okta のテクノロジーや人材を網羅したセキュリティ 体制について説明しています。皆様のお役に立てること を心から願い、そして今後も強固なパートナーシップを 築いていけますと幸いです。
Introduction
アイデンティティ・アクセス管理、情報セキュリティは、現代の組織において必要不可欠であり、お客様はOktaがテクノロ ジーへの安全なユーザアクセスを実現することに信頼を置いています。この信頼は、Oktaの高い可用性と安全性がベースと なっています。Oktaは、セキュリティに最も厳格な業界における機密性や安全性、可用性の要件を満たし、設計、構築、保 守、監視が的確になされているサービスを提供しています。本ホワイトペーパーでは、Oktaのセキュリティに対するアプロー チを以下の章で紹介します。
・Oktaとサービスセキュリティ
Oktaの概要、Okta Identity Cloud Platform、Oktaのセキュリティに対するアプローチ、セキュリティの共有モデル について説明しています。
・Oktaのセキュリティコントロール
お客様のデータを保護し、サービスの機密性や完全性、可用性を維持するために、Oktaが実装し活用している主要 なセキュリティ管理の一部を説明しています。
・コンプライアンス
Okta Identity Cloud Platformが達成したセキュリティ認証と、Oktaがお客様のセキュリティ認証の実現や特定の業 界規制への準拠に対してどのように支援できるかについて説明しています。
・詳細情報
Okta Identity Cloud Platformを活用して、Oktaのセキュリティとセキュリティ体制をさらに強化する方法について、
サポート情報を提供しています。
イントロダクション
Okta とサービスセキュリティ
Okta
は、当社だけでなく、業界のアナリストやセキュ リティ専門家に対しても、セキュリティに真剣に取り組 んでいることを実証しており、信頼できるサービスだと 言えます。
– Den Jones, Senior Manager of IT Services
https://www.okta.com/customers/adobe-systems/
Okta and Service Security
Adobe
サービスセキュリティ
Okta について
Oktaは業界をリードするアイデンティティ・クラウド・プロバイダーです。Oktaのプラットフォームは、適切な人を、
適切なタイミングで、適切なテクノロジーへ、安全に接続します。
Okta Identity Cloudは、Oktaが構築・管理するIdentity as a Service (IDaaS)プラットフォームです。クラウドネイティブサー ビスとして構築されたOktaは、以下のようなベネフィットを提供します。
上記のベネフィットは、オンプレミスのソフトウェアやマネージドクラウドサービス、またはオンプレミスのレガシーソフトウェ アをクラウドに移行したベンダーには、ほとんど見られないポイントです。
また、OktaのIdentity Cloud Platformには、「Workforce Identity」と「Customer Identity」の2つの機能が備わっています。
Okta Identity Cloud
グローバルに利用可能で、100%マルチテナント、ステートレス、冗長性を備えています。
セキュリティ強化や新機能が定期的にアップデートされます。
その場でプラットフォームを更新でき、メンテナンスのためのダウンタイムを設定する必要がないため、計画的 ダウンタイムはありません。
運用タスクや設定・保守コストを大幅に削減できます。
サブスクリプションベースのため、コストを柔軟に調整できます。
サービスセキュリティ
Workforce Identity
OktaのWorkforce Identityは、企業のIT部門や高いセキュリティ水準が必要な組織を対象としています。高いセキュリティ水 準のもとで、組織がテクノロジーやIT資産へのアクセスを簡素化し、効率を向上させることで、IT環境全体をセキュアに保つこ とができます。Workforce Identityのソリューションには、次のようなものがあります。
Workforce Identityによって、IT部門は、ビジネスの中核を担うアプリケーションやデータにどのユーザがアクセスできるか といった、ポリシーベースの管理を一元的に行うことができます。
また従業員は、シングルサインオン(SSO)を利用することで、日常的な業務を簡素化し、「パスワード管理疲れ」によるセ キュリティリスクを軽減することができます。Oktaを利用することで、従業員はわかりやすいパスワードの使い回しや、パス ワードを付箋紙に書き留めたり、PC内のエクセルファイルに保存したりといったリスクの高いパスワード管理方法に頼る必 要がなくなります。
ユニバーサルディレクトリ
柔軟なクラウドベースのユーザストアにより、複数のアイデンティティソースからユーザ属性をカスタマイズし、
整理・管理することができます。
シングルサインオン(SSO)
1つの認証情報で、企業のクラウドやオンプレミス、モバイルデバイス上にあるアプリケーションにアクセスする ことができます。複数のパスワード管理による煩雑さから解放することができます。
ライフサイクル・マネジメント
Active Directoryや LDAPなどのディレクトリや、Workday、SuccessFactors、Office 365、RingCentralな どのクラウドアプリケーションとのシームレスな連携を実現し、ユーザのオンボーディングとオフボーディングを 自動化します。
適応型多要素認証(MFA)
信頼できる複数情報を要求することで認証強化を実現します。検証する堅牢なポリシーフレームワーク、最新版 を含む検証要素セット、適応性のあるリスクベースの認証により、アプリケーションとVPNを保護します。
サービスセキュリティ
Customer Identity
Customer Identityは、Oktaをお客様のアプリケーションのアイデンティティレイヤーとして組み込んだり、Oktaをカスタマ イズしたりすることができます。
Customer Identityは、Okta Identity Cloudへのアクセスを提供するほか、Oktaの柔軟な拡張機能によって、開発者が優れ たユーザ・エクスペリエンスを構築できるようなります。Customer Identityを強化することで、デジタルテクノロジーを駆使し たお客様のビジネスにおいて、お客様の最も複雑なエンタープライズ・アーキテクチャーの課題を解決に導きます。
Oktaを活用する企業は、クラウドサービスはもとより、オンプレミスのアプリケーション、VPN、ファイアウォール、カスタム アプリなどを利用して、従業員や契約社員、顧客など、自社のアプリケーションにアクセスするすべてのユーザに対するセキュ リティの確保とカスタマー・エクスペリエンスを、劇的に向上させることができます。
カスタマイズ可能なユーザ・エクスペリエンスの提供
OktaのAPIやウィジェットを活用して、フルブランド化されたログインフローや、エンドユーザポータルを作成する ことができます。また、OktaのAPIを利用して、顧客や部門管理者がユーザを管理できるカスタム管理画面を構築 することもできます。
あらゆるユースケースにOktaを拡張利用が可能
幅広いOktaのAPIを利用することで、複雑なアイデンティティ統合やデータに関する課題、自動化などの課題を 解決することができます。スクリプトを実行してユーザデータを変更したり、アプリケーションを自動的に統合し たり、カスタムワークフローと統合したりすることができます。
最高クラスのCustomer IAM(CIAM)ソリューションを活用可能
Oktaを「アイデンティティAPI」として活用することで、開発者はすべてのアプリ開発プロジェクトで、Oktaに認 可、承認、ユーザ管理を委ねることができます。Oktaにアイデンティティを託し、開発者はカスタマー・エクスペ リエンスに専念することができるようになります。
サービスセキュリティ
Okta のセキュリティ・アプローチ
Okta Identity Cloudは、セキュリティを考慮した設計、構築、維持、監視、そして定期的な更新が行われています。
業界や組織の規模や使用している製品などに関わらず、すべてのお客様に一貫した機密性、完全性、可用性を持ったサービスを 提供するため、Oktaは「セキュリティ責任共有モデル」を採用しています。
セキュリティ責任共有モデル
セキュリティ責任共有モデルとは、Amazon AWS、Microsoft、Salesforceをはじめとする多くのクラウド事業者が採用してい るフレームワークで、お客様とクラウド事業者のセキュリティ責任を明確化し共有するものです。このモデルでは、Oktaはクラ ウド自体のセキュリティに責任を負い、お客様は自社の情報セキュリティ要件に基づき、クラウド上のテナントのセキュリティに 責任を負います。
お客様のアプリケーションとコンテンツ
サービスのセキュリティ テナントとサービスの設定
インフラと物理的セキュリティ
お客様がクラウド上のテナントの セキュリティを確保
Oktaがクラウドのセキュリティを 担当
Oktaの責任:クラウド・セキュリティ
Oktaは、Okta Identity Cloud Platformにおけるインフラのセキュリティに責任を負います。またOktaには、お客様がOktaに 配置するアプリケーションなどを保護するために必要な機能を提供する責任もあります。
以下のOktaセキュリティ管理のセクションでは、クラウドのセキュリティを確保するためにOktaが実装し、活用している主要な 管理機能の一部を示しています。
ユーザの責任
お客様には、Oktaの「中に」配置するアプリケーションなどを保護する責任があります。これには、例えば、ユーザに適切な権 限を与えること、従業員が解雇されたときにアカウントを無効にすること、多要素認証を実施すること、データを保護するため に必要な認証ポリシーを適切に設定・監視すること、ユーザがポリシーに従っていることを確認するためにシステムログを確認 すること、Oktaのテナントがパスワードスプレーやフィッシングなどの攻撃を受けていないか監視することなどが含まれます。
レスポンシビリティの詳細情報については、00p以降にも掲載しています。
責任の詳細情報については、42p以降にも掲載しています。
Okta のセキュリティ管理
Okta
は「サイバーセキュリティ」「ビジネスの生産性」
「ベスト・オブ・ブリード」という、我が社にとって重要 な3つ要件を満たしており、まさに望み通りの製品と言 えます。
– CIO Gus Shahin
Okta Security Controls
フレックス社
セキュリティ管理
イントロダクション
Oktaはクラウドプロバイダーとして、自身のサービスに内在するインフラを含むOkta Identity Cloud Platformそのもの に対するセキュリティに責任を負っています。
Oktaはクラウドサービスのインフラを保護するために、主に以下のようなセキュリティ管理を行っています。
・インフラ/物理的セキュリティ ・人的セキュリティ
・ソフトウェア開発のセキュリティ ・サービス・レベル・セキュリティ
・セキュリティ診断とペネトレーションテスト
インフラ / 物理的セキュリティ
Oktaの技術チームは、クラウドサービスの開発・運用に豊富な経験を有しています。その経験を活かして、Oktaはセキュリティ と可用性の要件を拡張し、両立できるインフラストラクチャ・プロバイダーとしてAmazon AWSを選択しました。Amazonは、
最大級のクラウドプラットフォームサービスを運営しており、インフラの構築、運用、保守に関する重要な専門知識を有しています。
2006年初頭からAmazon AWSは、あらゆる規模の企業にプラットフォームを提供し、ビジネスを強力にサポートしてきました。
セキュリティ管理
OktaはIdentity as a service を中心に自社のサービスレイ ヤに対するセキュリティ制御を 実装
Amazon AWSインフラ の セ キュリティを細やかに調整し、
その上に追加のセキュリティを 実装
Amazon AWSは、サービス基 盤にセキュリティ管理・制御を 実装
OktaはIdentity as a service とAWS上に拡張したセキュリティ機能を提供
Identity Cloud Amazon AWS
Resources
・ワークロードをAmazon AWS上で実行
・Amazon AWSのインフラとネイティブ・セキュリティを活用
・Amazon AWSのセキュリティを考慮した上で、追加のセキュリティ制御を調整・設定
・IDaaSの要求に合わせて、サービスレイヤーにも追加のセキュリティを実装し、安全で信頼性の高いサービスを提供
OktaとAmazon AWSが共同で運営しているインフラのセキュリティは、物理的セキュリティから、コンピュータ、ネッ
トワーク、ストレージの各レイヤーに及び、さらには明確に定義されたセキュリティポリシーとアクセスポリシー、そし て第三者による継続的な監査と認証によって補完されています。
Oktaは、Amazon AWSのインフラを活用するだけでなく、以下のようなセキュリティ制御を付加しています。
OktaはIaaSとAWS上に拡張したセキュリティ機能を提供します。
物理的セキュリティ
Oktaは、物理サーバへのアクセスにAmazon AWSの物理的セキュリティを利用しているほか、Oktaのオフィスでも物理 的セキュリティ管理を導入しています。こうしたセキュリティ戦略では、物理的な脅威から保護するために、サービスの 機密性や完全性、可用性を維持することを目的としています。
データセンター
Amazon AWSのデータセンターは、外観上からはそれと分からない一般的な施設に収容されています。その内部では専門のセキュ
リティスタッフが、ビデオによる監視、最新の侵入検知システム、その他のデジタル技術などを用いて、アクセスを厳格に管理 しています。データセンターへのアクセスには多要素認証を使用しており、入場が許可されたスタッフのアクセスに関する情報は、
記録され、定期的に監査されます。
データセンターおよび情報へのアクセスは、業務での取り扱いが必要で、かつ正当な権限を持つ従業員および請負業者にのみ 提供されます。また、従業員の権限が不要になった場合は、仮にその従業員が引き続きAmazonの従業員であったとしても、
迅速に権限が取り消されます。さらに、すべての訪問者や契約者は、入場する前に身分証明書を提示する必要があるほか、施 設の内部では常にスタッフが付き添うなど、厳重なセキュリティ体制が敷かれています。
セキュリティ管理
Oktaのオフィスにおけるセキュリティ
Oktaでは、自社のオフィスでも以下のようなセキュリティ管理を実施しています。
コンピュータ・セキュリティ
Oktaは、Amazon AWSのEC2(Elastic Cloud Compute)インスタンスとVPC(Virtual Private Cloud)インフラを組み合わ せることで、複合的な対策でセキュリティを確保しています。
・仮想インスタンスのOS、またはゲストOS ・ファイアウォールと署名付きAPIコール
また、インスタンスレベルで安全な隔離を行い、Amazon AWSのアベイラビリティーゾーンを活用して、サービスの可用性を高 めています。
インスタンスレベルのセキュリティ
管理者が、インスタンス管理用のホストOSにアクセスするには、多要素認証が必要になります。この管理ホストのシステムは、
クラウドのマネジメントプレーンを保護するために、特別な設計や構築、構成によって強化されています。また、すべてのアク セスがOktaによって記録・監査されているほか、Oktaの管理者によってロックダウンされ、Oktaの管理者の完全な管理下 にあるゲストOS環境に対して、Amazon AWSはアクセス権を有していません。
さらにOktaは、アプリケーションに必要なポートのみを有効にするようファイアウォールを設定し、それ以外のポートはすべ て無効化します。フロントエンドのアプリケーションコンポーネントのみがインターネットにアクセス可能です。その他のOkta プロダクションインフラへのアクセスにはVPN接続が必要になります。
信頼性を高めるための障害分離
Oktaは、Amazonの強みを生かし、複数の地域や複数のアベイラビリティーゾーンにインスタンスを配置することで、
信頼性を向上させています。それぞれのアベイラビリティゾーンは障害分離および、大都市圏(それぞれ異なる氾濫原と 地震の安定した地域)に物理的分離されるよう設計されています。Amazon Data Center controlsのページでは、AWS のアベイラビリティーゾーンに実装されているいくつかの障害分離制御について説明しています。
・従業員および訪問者の入場管理と監査証跡
・すべての出入口のビデオ監視
・倉庫、電源室、AC室、搬入口などのセキュリティを強化するための境界線の設定
・施設内に24時間365日体制の警備員を配置
・従業員のセキュリティに関する意識向上トレーニング
・物理的セキュリティ対策の定期的なテストを実施
セキュリティ管理
データ・セキュリティ(Data-at-Rest Security)
Oktaは、お客様のデータが安全に利用できることを保証するために、複数の取り組みを行っています。下記の「サービスレベ ル・セキュリティ」のセクションで詳述するように、顧客データとそのアクセスは、Oktaのデータレイヤーにおいて顧客レベル で隔離されています。物理的にはデータは、Amazon AWSのEBS(Elastic Block Storage)サービスを使って保存されており、
Oktaの回復ポイント目標(RPO)である1時間を達成するために、EBSボリュームのデータベーススナップショットが定期的に とられ、Amazon AWSのS3ストレージサービスに保存されます。S3へのアクセスは、たとえAmazon AWS内であっても暗 号化が必要であり、データの安全な転送が保証されています。
AWS S3では、バケットとオブジェクトの両方のレベルでアクセスを制限し、Oktaによって認可されたアクセスのみを
許可しています。認可されたユーザの読み取り/書き込み権限は、バケットとオブジェクトのアクセス制御リスト(ACL)、
バケットポリシー、およびIAM由来のアクセス許可を組み合わせて管理されます。その制御・監査は、すべてのバケッ トレベルのアクセスと、すべてのデータ検索オブジェクトレベルのアクセスを対象にしています。さらにOktaは、S3と VPCのトラフィックに疑わしい動きがないか、ターゲットに着目した監視を行っており、リアルタイムでOktaセキュリティ チームにアラートが送られます。
ネットワークセキュリティ(Data-in-Transit Security)
Amazon AWSのネットワークは、以下のようなネットワークセキュリティに関する課題に対応しています。
・DDoS(Distributed Denial of Service)攻撃
Amazon AWSのネットワークインフラには、世界最大級のオンライン小売業者を運営する中で培った、独自のDDoS
対策技術を活用しています。さらに、Amazon AWSのネットワークは、インターネットアクセスの多様性を実現す るために、複数のプロバイダーを横断してマルチホーミングされています。
・MITM(マン・イン・ザ・ミドル)攻撃
Amazon EC2の仮想マシン(VM)は、初回起動時に自動的に新しいSSHホスト証明書を生成し、インスタンスのコンソー ルに記録します。また、Oktaは安全なAPIを活用しており、インスタンスに初めてログインする前には、必ずホス ト証明書にアクセスします。
・IPスプーフィング
Oktaのサービスを実行するAmazon EC2 VMでは、偽装されたネットワークトラフィックを送信することができませ
ん。Amazon AWSが制御するホストベースのファイアウォールインフラは、インスタンスが自身以外のソースIPまた
はMACアドレスでトラフィックを送信することを許可せず、偽装されたネットワークトラフィックを遮断します。
・ポートスキャン
EC2の利用者に対する無許可のポートスキャンは、Amazon EC2 Acceptable Use Policy (AUP)の違反となります。
AUPの違反は深刻に受け止められ、報告された違反はすべて調査されます。不正なポートスキャンは、検出され次第、
即座に停止され、ブロックされます。また、Amazon EC2インスタンスのポートスキャンは、デフォルトですべての インバウンドポートが閉じられているため、効果がありません。
セキュリティ管理
・外部テナントによるパケットスニッフィング
プロミスキャスモードで動作している仮想インスタンスが、別の仮想インスタンスを対象としたトラフィックを受信したり、「ス ニッフィング」したりすることはできません。また、同じ物理ホスト上にある2つの仮想インスタンスであっても、互いのト ラフィックを閲覧することはできません。ARP(Address Resolution Protocol)キャッシュポイズニングのような攻撃は、
Amazon EC2では機能しません。
Oktaは、Amazon AWSのネットワークセキュリティを、このサービスのための独自なセキュリティ管理で補完します。
このセキュリティ管理・制御の内容については、「サービスレベル・セキュリティ」のセクションで詳細に説明しています。
可用性とパフォーマンス監視
Oktaは各サーバのマシンヘルスメトリックを1分間に2回監視し、可用性を把握しています。メトリックには、ネットワー ク接続性、CPU使用率、メモリ使用率、ストレージ使用率、サービスステータス、キーファイルの整合性などの項目が 含まれます。障害が発生するとアラートが発生し、優先順位づけされたチャネルを通じてオペレーションスタッフに通 知されます。
また、Oktaは、ネットワークの遅延や、データベースのクエリの遅延、ストレージの応答性など、サーバやサービスご とのパフォーマンス指標の傾向データを収集しているほか、アプリケーション全体のエンドツーエンドのシナリオにつ いても追跡しています。こうしたメトリックそれぞれに、Oktaはしきい値を割り当て、マシンヘルスの可用性監視と同 じアラートメカニズムを使用しています。そのほかOktaは、アプリケーション内部のメトリックを収集するために、
ランタイム環境で計測機能を追加し運用しています。
さらに、内部のモニタリングを行うだけでなく、リアルタイムおよび履歴データをtrust.okta.comの公開モニタリング およびアラートシステムにおいて公開しています。これについては「サービスレベル・セキュリティ」のセクションで 詳しく説明しています。
人的セキュリティ
セキュリティの原点は「人」にあります。Oktaでは、採用前、採用後、在職中、退職後の従業員などに対して、厳密なセキュ リティ管理を実施し、機密保持に取り組んでいます。
採用前 在職中
採用後 退職後
・バックグラウンド チェック
・意識向上トレーニング
・アクセスレビュー
・ソーシャルエンジニアリングテスト
・機密情報および発明に関する契約
・オンボード・トレーニング
・アクセス権の削除
・契約義務の再確認 Oktaの継続的な人的セキュリティへの取り組み
人的セキュリティへの取り組み
セキュリティ管理
採用前、すべての従業員や請負業者には、法律で認められている限りのバッグラウンドチェックを行っています。
バッグラウンドチェックでは、犯罪歴と財務歴の両方を調査し、上級財務職の場合は信用調査も行います。
新入社員の推薦状については、すべて慎重に精査しています。従業員と契約社員には、それぞれの職務上の責任 に加えて、運用ポリシーとセキュリティポリシー、およびそれらを遵守しなかった場合の対応について周知徹底 しています。
Oktaのバックグラウンドチェックの手順とポリシーの有効性は、SOC 2 Type II保証報告書で第三者から保証さ れています。その内容については、NDAを締結したお客様のみ閲覧することができます。
すべての従業員と契約者は、採用時に以下のようなオンボーディングプロセスを遂行します。
・機密情報および発明に関する契約(PIIA)への署名
PIIAには、Oktaの従業員または契約者としての守秘義務が記載されています。
・入社時のトレーニングとセキュリティ意識向上のためのトレーニング
新入社員がOktaの従業員または請負業者としてのセキュリティ責任を理解するためのトレーニングを実施 しています。
Oktaでは、従業員や契約者がデータ保護に関する責任を学ぶことを目的に、継続的なセキュリティ意識向上ト レーニングを実施しています。
また、Oktaのセキュリティチームは、定期的なソーシャルエンジニアリングテストや啓蒙活動を通じて、セキュ リティに関する取り組みを企業文化として定着させています。
・すべての従業員および契約者の退職時には、守秘義務に関する規則などを再度通知します。
・ユーザアカウント、パスワード、ハードウェア、バッジを期間内に失効させます。
Oktaに所属している期間中
Oktaを退職する場合 Oktaの採用前
Oktaの採用後・入社時
最小権限のアクセス・ポリシー
Oktaでは、インフラ、アプリケーションやデータなど、すべてのアクセスを、ビジネスや運用上の要件に基づいて制御 する必要があります。その制御では、職務の分離と最小権限の原則に従って、コードの変更やメンテナンスを複数のチー ムに分けて行っています。具体的には、オペレーションチームはコードのデプロイを含む本番環境のメンテナンスを担当 し、エンジニアリングチームは開発環境やテスト環境のみで機能やコードの開発を行います。そのため、コードを本番環 境に実装するためには、複数のチームが必要となります。いずれの場合も、管理者のアクセスは最小権限の概念に基づい ており、ユーザが職務を遂行するために必要な最小限の特権に制限されます。
セキュリティ管理
ソフトウェア開発におけるセキュリティ
Oktaのソフトウェア開発ライフサイクルは、ソフトウェアの機能を提供するとともに、コード開発時のセキュリティリ スクの軽減にも配慮して設計されています。
Oktaのアプリケーション開発は厳格なプロセスに従っており、ソフトウェアのセキュリティ向上を担う非営利組織
「Open Web Application Security Project」が掲げるセキュリティ要求分析手法のCLASP(Comprehensive, Lightweight Application Security Process)のコンセプトに多くが準拠しています。機能要求、バグ、コード強化は脅威モデルとリ スク分析の処理に基づいて優先付けされます。開発されたコードは、最終的なコミットと品質保証(QA)の検証の前に、
ピアレビューとセキュリティレビューが行われます。また、テストリリースには、ユニットテストコードも必要になりま す。そのほか、Oktaの品質保証チームは、すべてのユニットテスト、回帰テスト、パフォーマンステスト、ストレステ ストなどの自動テスト、およびWebやモバイルアプリケーションのペネトレーションテストを実施しています。
なお、最適な結果を得るため、ソフトウェア開発のセキュリティ管理は、ソフトウェア開発前と開発中に実施されます。
開発手法
Oktaは継続的に開発者に安全な開発方法のトレーニングを行っています。標準的なセキュリティ人材向けのトレーニン グに加えて、以下のような取り組みを実施しています。
Oktaは、エンジニアの継続的なトレーニングを通じて、以下のような潜在的攻撃に対して、適切なセキュリティ保護を 提供できるようになります。
・新人エンジニアには、オンボーディング・トレーニングを義務付けています。オンボーディング・トレーニングでは、アプリケー ションセキュリティにおける知識の習得や実践方法について学びます。
・四半期ごとに、セキュリティチームが技術トレーニングを実施します。技術トレーニングでは、セキュリティの脆弱性につ いて学習するほか、アプリケーションの脆弱性に対する悪用の防止について学習します。また、トレーニングは録画され、
参加できないエンジニアも後から視聴することができます。
・不正な入力
・SQLインジェクション
・クロスサイトスクリプティング(XSS)
・クロスサイト・リクエスト・フォージェリ(CSRF)
・認証およびセッション管理の不備
・安全でない直接オブジェクト参照
・セキュリティの設定不備
・機密データの漏えい
・上記以外のOpen Web Application Security Project Topが挙げる10大脅威(OWASP's Top 10)
セキュリティ管理
ソフトウェア開発のライフサイクル
Oktaのソフトウェア開発におけるライフサイクルは、アジャイル/スクラム開発のフレームワークを活用した反復的な アプローチで開発を行っています。
開発開始 開発開始
開発開始
開発 開発
開発 デモ デモ
デモ
テスト テスト
テスト
スプリント
プランニング スプリント
プランニング スプリント
プランニング
次の開発 次の開発
次の開発
2 3
1
反復型のソフトウェア開発ライフサイクル
反復型のアプローチでは、ソフトウェアの新しいバージョンを頻繁に、かつ短いサイクルで作成します。このプロセスで は、各段階を小さな反復で何度も実行しながらループしていきます(アジャイル開発では、このプロセスを「スプリント」
と呼びます)。
これにより、各リリースはそれまでの機能をもとにした増分となり、ソフトウェアの品質を維持するため徹底的にテスト を重ねます。
またアジャイル開発では、開発テストはプログラミングと同じイテレーションで行われ、一連の工程を短期間で繰り返し ていきます。そのため、ユーザはその新しいソフトウェアを頻繁に使用でき、その価値を検証することができます。
Oktaはソフトウェア開発ライフサイクルのさまざまな段階にセキュリティ対策を組み込んでいます。
ビジネスの優先順位付けと計画
この段階では、製品管理者と技術管理者が新しいサービスの機能やコンポーネント、機能性について計画して優先順位を つけていきます。ビジネス要件には、一般的に以下のようなことが定められます。
セキュリティへの潜在的な影響があると判断した場合、製品管理およびエンジニアリング部門は、セキュリティチームと 協力して、新機能やコンポーネント、サービスなどが情報を保持・処理するために遵守すべきセキュリティ要件やコンプ ライアンス要件を定めます。
このセキュリティ要件は、機能の設計・開発・テスト・展開、およびメンテナンスを通じて遵守され、実行されます。
・関連する情報の価値
・新たなサービスや、そのサービスが保持する情報の重要性
・システムが運用されるうえで、要求される法律・規制、および契約上の環境
セキュリティ管理
システム設計
設計段階では、計画段階で設定されたセキュリティおよびコンプライアスの要件に対応する適切なセキュリティ制御 を提示する必要があります。
開発
開発段階では、それぞれのエンジニアに安全な開発環境が提供されます。そのなかには、IT部門が提供するノートPC の設定や、開発用のコーディング環境も含まれます。選定されたコーディング環境、言語、データベース、ツール、
その他のコンポーネントに応じて、安全なコーディングとシステム構成のためのガイドラインが採用されます。
また、エンジニアが統合ブランチにコードをマージする際には、他のエンジニアから必ずコードレビューを受けるこ とが義務付けられており、コードのコンプライアンスやセキュリティ、パフォーマンス、コーディングが論理的に正 しいかが評価されます。さらに、セキュリティに影響がある場合には、セキュリティチームも単体テストに参加し検 証を行います。
さらにセキュリティチームは、今後リリースされるコードについて独自の評価を行い、どの機能に重点的なレビュー が必要かを決定します。レビューの範囲は、自動コード解析から詳細な手動コードレビュー、侵入テストまで、リス クに応じて多岐にわたります。
テスト
ソフトウェアアプリケーションのライフサイクルでは、ユニットテスト、機能テスト、セキュリティテストなど、さまざ まな形式のテストが行われます。テストプロセスでは、以下をはじめとした、60,000以上のテストを実施しています。
この一連のテストには、保護されたテストデータのみが使用され、お客様のデータは使用されません。
リリース
コードフリーズした開発後には、毎週、次にリリースされるコードがコンパイルされるジョブが、プレ本番環境で実行さ れます。プロモーションされる各リリースの候補は、プロキシ・スキャナーを使って自動テストされます。スキャナのプ ロファイルは、OWASP特有の攻撃など、特定の脅威をテストします。この際、あらゆるアーティファクト(開発副産物)
に対してもアンチウイルス・スキャンが実行されます。
自動テストの結果はレポートにまとめられ、セキュリティチームのレビューを受けます。、また、自動テストで問題が見つかっ た際には、問題が解決されるまで、セキュリティチームがリリースを保留にします。
・CI(新しいコードを構築、テスト、実装するための継続的インテグレーション)
・複数の環境やブラウザでの計測テスト
・単体テスト、機能テスト
・すべての変更に対するピアレビュー
・四半期ごとのセキュリティレビュー
セキュリティ管理
サービスレベルのセキュリティ
この項目では、プラットフォームを保護するためにOktaがサービスレベルで実装している制御の一部を紹介します。サー ビスレベルのセキュリティは、以下に分類されます。
Okta の暗号化アーキテクチャー
Oktaは、マルチレイヤーの暗号化アーキテクチャーを使用して、静止状態および通信中のデータを保護します。
・Oktaの暗号化アーキテクチャー
・テナントデータのセキュリティ
・テナントネットワークの分離とセキュリティ
・テナントパフォーマンスの分離
・テナント機能の分離
・Webアプリケーションのセキュリティ対策
・サービスレベルの可用性とパフォーマンスの監視
非対称鍵による 暗号化アクセス、
カスタムドメインと 証明書のサポート
テナント専用の非対称鍵で暗号化/
署名されたアプリへのSSOとAPI認可
機密データはテナント専用の 対称型暗号で暗号化
テナント専用のキーストアに格納 されたSSOおよびデータキー
キーストアとシークレットを 別々のデータベースに格納
キーストアシークレットは 高い可用性のために、複数 の地域のKMSで安全に保 管されると共に、オフライ ンキーは非公開の施設で 保管される
サードパーティ とカスタムアプリ
〈テナント〉.okta.com
テナント・キーストア シンメトリックス
アンシンメトリックス 256-bit AES
2048-bit RSA
セレクトデータベース キーストアデータベース
ユーザデータベース
サードパーティ とカスタムアプリ
1 3
5
6 2
4
Okta Identity Cloud
Oktaの暗号化アーキテクチャーとレイヤー
セキュリティ管理
複数のレイヤーで暗号化を行うアーキテクチャー
Oktaは、サービスとユーザ間の通信を、強力なアルゴリズムと暗号鍵(2048-bit RSA)を用いてHTTPSで暗号化しま す。また、テナントが独自のドメインや証明書を持ち込んでカスタマイズできるようにしています。
Oktaは、SAML、WS-Fedシングルサインオンのアサーションの署名および暗号化、OpenID Connect、OAuth API トークンの署名に非対称暗号を使用しています。SSOとAPI認可で使用される鍵は、各テナント専用の2048ビット RSAです。またOktaでは、SAMLアサーションやOAuthトークンの署名に利用する独自の鍵をインポートすることが できます。
Oktaは、テナントの機密データをデータベース内で暗号化します。暗号化には、テナントごとに専用の鍵を用い た対称型の256ビットAESを使用しています。
・機密データを通信中に暗号化
・接続にTLSv1.2などの強力な暗号化アルゴリズムを使用
・お客様独自の証明書を持ち込むことが可能
・シングルサインオン(SSO)のアサーションの署名と暗号化に対応
・暗号化と署名には、テナント専用の2048ビットRSA鍵を使用
・テナント専用の非対称鍵により、他のテナントの鍵が漏えいしてもSSOを安全に保つ
・テナントは、サードパーティ製のアプリへのSSOやAPI認可で使用する非対称鍵を独自のものに変更 可能
・機密データの暗号化
・強力な鍵を使用したSAMLおよびWS-Federationアサーションに署名と暗号化
・テナント専用の対称鍵により、データの分離を実現 Oktaへのアクセス
アプリへのシングルサインオン(SSO)とAPI認可
テナントデータの保存
セキュリティ上のメリット
セキュリティ上のメリット
セキュリティ上のメリット
1
2
3
テナント専用の鍵はすべてテナント専用のキーストアに保存されます。このキーストアには、テナント専用の マスターキーがないとアクセスできません。これにより、テナント1つが侵害された際の被害が軽減されます。
テナントキーの格納
4
セキュリティ管理
テナント専用キーストアとそのマスターキーは、それぞれ別のデータベースに保管されます。
最高レベルの可用性と事業継続性を実現するため、テナント専用のマスターキーは、3つの方法で暗号化され ています。
第一に、テナント専用マスターキーの暗号化には、KMS サービス(Federal Information Processing Standards(FIPS)140-2 Level 2 ハードウェア暗号モジュール)が用いられます。KMSは、テナント専用マ スターキーの暗号化と復号化を、常にKMS内に維持される強力な鍵(4096ビットのRSA)を用いて行います。
第二に、テナント専用のマスターキーは、高い可用性を実現するために、2つ目のKMSサービスを使用して暗 号化されます。2つのKMSへのアクセスは、最小限のサービスとユーザに限定して厳格に管理され、変更や削 除ができないログとして記録されます。
第三に、テナント専用のマスターキーは、事業継続性を目的として、最も安全なリカバリーメカニズムを提供 するために公開鍵で暗号化されます。バックアップキーは、すべての KMSサービスが停止した場合にのみ使 用されるほか、Oktaの従業員2名以上でなければアクセスできない安全な場所に保管されます。そのため、一 人の人物が証跡を残すことなく、顧客データにアクセスしたり、解読したりすることはできません。
・データやアサーションとともに、テナントが使用する鍵も分離
・複数のテナント専用鍵の保存に対応しており、用途に応じて使い分けることができ、目的に応じて 使い分けが可能
・テナントが使用する鍵は、一時的にメモリにキャッシュされ、ディスクには保存されない
・保管場所を分離することで、キーストアの機密性を向上 キースストアの保存と分離
マスターキーの暗号化 セキュリティ上のメリット
セキュリティ上のメリット
5
6
・あらゆる人物は、詳細な監査証跡と厳格なセキュリティ対応をともなわずに顧客データの解読を行 うことは不可能
・マスターキーのローテーションが容易
・鍵の使用状況についての記録は改変不可能
・高可用性の維持 ・事業継続性の確保 セキュリティ上のメリット
このようなセキュリティに加えて、Oktaはさらなる対策を講じています。
・Oktaへのユーザアクセス、およびサードパーティ・アプリへのSSOやAPI認証用の非対称鍵をお客様が変更 できます。
セキュリティ管理
テナントデータのセキュリティ
暗号化アーキテクチャーのほか、Oktaは顧客のデータを保護するために以下のセキュリティコントロールを実装しています。
Oktaは暗号化を利用して、顧客データを分離しています。データストレージには対象暗号を用いて、転送デー タには非対称暗号、そしてキーストレージには分離されたデータベースとKMSを使用して論理的なデータ分 割を行っています。
下流のアプリケーションへのプロビジョニングを実施するため、個人を特定できる機密性の高いデータをユニ バーサル・ディレクトリ内に保存するケースがあります。Oktaの管理者は、ユニバーサル・ディレクトリを通 じて暗号化したい特定の属性を選択することができます。このデータはテナント専用の対称鍵で暗号化され、
Oktaの管理コンソールでは検索できません。このように、データの暗号化に加えて、Oktaではアクセス時に テナントのデータを隔離するセキュリティフレームワークを使用しています。
テナントデータの分離
機密性の高いデータの暗号化
パスワードの暗号化
Oktaは、ユーザのパスワードを保護するために特別な制御を行っています。ユーザは、次の2つの方法のいず れかでパスワードによる認証を行うことができます。
・Oktaのローカルパスワード ・委任認証
ユーザがOktaのローカルパスワードで認証する場合は、認証情報はOktaクラウドに保存されています。
Oktaはパスワードを保護するために、多いラウンド数で、ソルトを付与したbcryptを使用しています。レインボー テーブル攻撃やブルートフォース攻撃を受けやすい、スピードを重視した他のハッシュアルゴリズムとは異なり、
bcryptは適応型関数であるため、計算能力の向上に応じてハッシュ関数を高め、低速にすることができます。
つまり、bcryptはムーアの法則に簡単に対応することができるのです。
暗号強度は、ラウンド数/
反復回数を増やすことで向上します。
BCRYPT SCRIPT
WHIRLPOOL SHA-3
SHA-512 SHA-256
RIPMD-160 MD5
一般的なハッシュアルゴリズムの暗号強度 時 間
セキュリティ管理
ユーザがActiveDirectoryやLDAPサーバの認証情報を使ってOktaを認証する場合、認証情報は顧客のディレクトリ内 に保持されています。この認証モデルは委任認証と呼ばれます。ユーザがサインインページでActiveDirectory、または LDAPサーバの認証情報を入力すると、Oktaは認証をActiveDirectory、またはLDAPに委任して検証します。委任認証 が設定されると、Oktaのパスワードポリシーではなく、ActiveDirectoryまたはLDAPからのパスワードポリシーが適用 されることになります。
TLS/HTTPS LDAPバインド
ユーザ
Oktaはエージェントを 介してディレクトリに
認証を委任 自社のサーバが
認証を実施
認証成功 認証成功
外部ディレクトリに対する委任認証の方法
LDAP/
ActiveDirectory サーバ LDAP/
AD エージェント
クラウド 自社内
Oktaは、ログインをさらに強化するために、多要素認証(MFA)の設定と実施を推奨しており、さまざまなMFA要素 と適応型ポリシーをサポートしています。Oktaが提供するMFA機能については、サービスリソースのセクションで詳細 情報を掲載しています。
テナントネットワークの分離とセキュリティ
Oktaは、お客様のトラフィックを保護するために、以下のような制御を行っています。
ネットワークの分離
アクセスや管理作業のための専用のサブドメインが付与されます。
・アクセスサブドメイン
・システム管理サブドメイン
独立したサブドメインを使用することで、以下のことが可能になります。
https://{顧客名}.okta.com
https://{顧客名}-admin.okta.com
・ログインページやエラーページのカスタマイズができるため、一貫したルック・アンド・フィールを与えられるとともに、フィッ シング攻撃の軽減が可能です
・ネットワークルール(ホワイトリスト/ブラックリスト)、CORS/リダイレクトルール、SSOアサーションの発行者、およびレー
セキュリティ管理
ト制限の分離が可能です。
・クッキーの一意性を実現し、各テナントのサブドメインに、そのサブドメインへのアクセスを制限する一意のクッキー を発行することができます。
カスタムドメインと証明書
さらに、Oktaではお客様の契約内容に応じて、独自のURLドメイン、電子メール送信者、HTTPS証明書の導入が可能です。これ らの機能を利用すれば、ドメイン名を完全に分離できるほか、任意の認証局が発行した証明書の使用も可能になります。
セッションコンテキストの検証
Oktaは、ユーザの「コンテキスト」に基づいてリクエストを検証するロジックを実装しています。コンテキストとは、2種類の 一意の識別子およびセッションクッキーの機能を指します。これにより、クッキーによるセッション・ハイジャックやリプレイ 攻撃を防ぐことができます。
テナントパフォーマンスの分離
テナントのパフォーマンス問題を解決するため、Oktaではレートリミットを実装しています。各テナントには、お客様 の使用量を十分に満たすAPIコールのレート制限が設けられています。API制限は1分ごとにリセットされます。テナン トがAPI制限に達すると、Oktaはレート制限がリセットされるまで(最大1分)、HTTPエラー429-Too Many Requests を返します。Oktaには、APIエンドポイントごとに異なるAPI制限が設けられているため、あるAPIが制限に達しても、サー ビス内の他の機能が損なわれることはありません。さらに、Oktaのサポートにリクエストすることで、一時的にAPI制 限を引き上げることも可能です。
レート制限に関する文書や手順へのリンクは、サービスリソースの項目に記載しています。
テナント機能の分離
Oktaは、ビジネスニーズの異なるさまざまなお客様にサービスをご提供しています。そのため、個々のお客様が、セキュ リティ要件や期待するビジネス上の価値に基づいて機能が利用できなければなりません。Oktaは、お客様それぞれが最 適な時期に機能を利用できるようにするために、テナント機能の分離を行っています。テナント機能の分離により、お 客様はテナント内で各機能を有効化することができます。
Oktaには、3種類の機能フラグが備わっています。
お客様のテナントに関する質問や、特定のフラグの有効化に関するご要望は、サポート担当者にお問い合わせください。
・ベータフラグはOkta Preview([orgname].oktapreview.com)でのみ利用可能です。ベータフラグの付いた機能が 利用できるのは、Oktaベータプログラムに加入しているお客様が対象です。
・アーリーアクセスフラグ(EAフラグ)は、Oktaプレビューと本番環境の両方で利用できます。EAフラグの付いた機能は、
サポート経由またはFeature Managerを使用して有効化することができます。
・一般提供フラグ(GAフラグ)は、Oktaのプレビュー環境と本番環境の両方で利用可能で、デフォルトで有効化され ています。
セキュリティ管理
Webアプリケーションのセキュリティ対策
Oktaは、ソフトウェアのライフサイクル全体、実行時の運用、およびモニタリングを制御するセキュリティ管理を実装 しています。
Oktaのセキュリティ責任共有モデル アプリケーション
データ
Oktaセキュリティチーム
<code>
ユーザ
ネットワーク セキュリティ ネットワーク セキュリティ XSS、XSRF、インジェクション
攻撃に対するコードの 開発とテスト
Oktaセキュリティチームは、開発ライフサイクルとインフラを監視し、
最新の状態でセキュリティ対策を行います
DDoS防御とサービスレベルの ブラックリスト化
XSS、XSRF、および インジェクション攻撃の防御
データベースの堅牢化と 内部統制
コード
ソフトウェアの設計、開発、テスト、実装時に、OktaがどのようなWebアプリケーションのセキュリティの実装をするかについ ては、「ソフトウェア開発におけるセキュリティ」セクションをご覧ください。
Oktaへのアクセス
OktaはIPブラックリストやその他のセキュリティ制御を実装し、グローバルレベルでDDoS攻撃のリスクを軽減しています。ま たOktaでは、お客様独自のIPブラックリストルールも実施することができます。
実行中のアプリケーションとデータベースの制御
Oktaは、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(XSRF)、インジェクション攻撃など、ア プリケーション攻撃のリスクを軽減するため、実行中におけるアプリケーションレベルでの制御を行います。具体的には、クロ スオリジンリソース共有(CORS)やトラステッドオリジン、セッションコンテキストなどの検証を実施しています。
XSSのリスクを軽減するため、Oktaはユーザからの入力が適切なデータ型フォーマットに準拠しているか(例:日付の場合、日 付フォーマットに準拠しているか)、スクリプト可能なHTMLタグを含まれていないか、レンダリング前に潜在的なタグが取り 除かれているかを検証します。さらに、すべてのHTML出力について、ブラウザがスクリプトを処理しないようにエンコードさ れています。
また、XSRFのリスクを軽減するため、Oktaは最適かつ標準的な手法に基づいて、POSTされたすべてのリクエストがOktaに
セキュリティ管理
よって生成されたページから来ているかどうかを検証しています。具体的には、サーバが生成したセキュアートークンがページ に埋め込まれ、そのページからのPOSTのパラメータとして含まれる手法が採用されています。このトークンは、ユーザのセッ ションに固有のものであり、サーバだけが解読できる形にハッシュ化されています。サーバ側のインターセプターは、受信した POSTに、このトークンが含まれていることが分かるリクエストパラメータがあるかどうかをチェックし、投稿先のセッション と一致していることを確認します。
さらにOktaは、インジェクション攻撃のリスクを軽減させるため、データの入力の制限と検証、および、SQLクエリにバイン ド変数を使用してデータベースの正当性を保つフレームワークも実装されています。バインド変数とは、実行時にアプリケー ションから提供される値を挿入するための、SQLコマンド内のプレースホルダーです。パラメータやパラメータマーカーを使 用して値を保持するため、値を文字列に連結してからクエリの一部として実行するよりも、データベースを安全に守ることが できます。
Oktaのセキュリティ担当者
Oktaのセキュリティ担当者は、開発ライフサイクルとインフラを積極的に監視し、セキュリティ管理を最新の状態に保ちます。
各段階でのセキュリティ担当者の作業については、「ソフトウェア開発におけるセキュリティ」と「セキュリティとペネトレー ションテスト」の項目で解説しています。
サービスレベルの可用性とパフォーマンスの監視
Oktaは信頼性と透明性を重視しています。そのため、インフラレベルでの監視に加えて、Okta Trust Site(trust.okta.
com)による、透明性の高い監視、報告、インシデント対応システムを実装しています。
Okta Trust Site
「Okta Trust Site」では、Oktaおよびサードパーティのサービスの可用性に関するリアルタイムの情報を公開しており、
インシデント発生時には更新情報を提供しています。ステータス情報は、見やすいダッシュボードデザインで提供されて おり、インシデントのカテゴリーが明確であることに加えて、インシデントの詳細情報が発生時に更新され、根本原因を 分析したレポートにも素早くたどり着くことができます。
セキュリティ管理
セキュリティとペネトレーションテスト
セキュリティ戦略の一環として、Oktaは4つの異なるセキュリティおよびペネトレーションテストプログラムをサポー トしています。
内部セキュリティと ペネトレーションテストテスト
お客様による ペネトレーションテスト
第三者によるセキュリティと ペネトレーションテスト
バグバウンティ プログラム
4
Oktaのセキュリティとペネトレーションテストプログラム
Oktaのセキュリティとペネトレーションテストプログラム
・社内のセキュリティとペネトレーションテスト
Oktaのセキュリティチーム「Red Team」が、最新の脅威に対するセキュリティを、継続的かつ定期的にテストしています。
・第三者によるセキュリティとペネトレーションテスト
第三者のセキュリティ調査会社に依頼し、少なくとも年に一度、Oktaサービスのグレーボックスペネトレーション テストを実施します。このテストでは、調査会社がOktaのソースコードや専用のOktaインスタンスに完全にアクセ スし、テスト分析や脆弱性攻撃の作成を行うように構成されています。
・バグバウンティプログラム(公的なバグ報奨金制度)
Oktaは、主要なパブリックプラットフォームで、継続的に公的なバグ報奨金制度(バグバウンティプログラム)を 実施しています。バグバウンティプログラムでは、Oktaに対する外部からのペネトレーションテストが行われ、セキュ リティの脆弱性がトリアージされ、検証されます。脆弱性を発見した場合、プログラムの参加者はその重大性に比例 した報酬を受け取ることができます。プログラムの詳細には、以下のURLから確認することができます。
https://www.okta.com/bugbounty
・お客様によるペネトレーションテスト
お客様はOktaと連携することで、プレビュー・インスタンス上で独自のペネトレーションテストを実施することが できます。
これらのプログラムは相互に補完し合い、Oktaはセキュリティテストのあり方を改善し続けます。
セキュリティ管理
Okta ThreatInsight
前述のとおり、OktaはDDoS攻撃のリスクを軽減するために、IPブラックリストやその他のセキュリティ管理を実装しています。
その1つが、Okta ThreatInsightです。Okta ThreatInsightは、1つ以上の組織でアカウントロックアウト攻撃、ブルートフォー ス攻撃、パスワードスプレー攻撃を引き起こしたIPアドレスを集約します。これにより、Oktaが悪意のあるIPアドレスとし て特定したもの以外の、疑わしいとは思われるものの、継続的に悪意のある活動をしていないIPアドレスからのアクセスを、
監査・ブロックすることができます。Okta ThreatInsightによって特定されたIPからのログイン試行に対して、管理者は「何 もしない」「アクセスを完全にブロックする」「IPアドレスの監査を行う」を選択できます。さらにOkta ThreatInsightは、
すべてのログインイベントの前に事前認証を行うため、アカウントロックアウトの問題にも対応することができます。
Identity Cloud ThreatInsight
・・・
金銭的な動機 による攻撃
海外からの攻撃
スクリプトキディ
Okta ThreatInsightは、サービスレベルで認証前に評価されます
インテリジェンスの取り込みと 脅威の発生源の特定 フィッシング攻撃
クレデンシャルスタッフィング 攻撃
ブルートフォース攻撃
ソーシャル・エンジニアリング 攻撃
パスワードスプレー攻撃 以下に関与のあるIP
アカウントロックアウトされるIPの例
コンプライアンス
Compliance
Okta
のおかげで、お客様のアイデンティティ管理・維 持をする必要がなくなり、HIPAA への準拠が可能にな りました。
– Rishu Tandon, Chief Technology Officer
https://www.okta.com/customers/heal/
heal社 CTO リッシュ・タンドン氏
