Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言：Cybersecurity Dive

Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。

[Matt Kapko，Cybersecurity Dive]

　OktaのCEO兼共同設立者であるトッド・マッキノン氏は、2023年11月29日（現地時間、以下同）に実施された同社の第3四半期の決算説明会で、すぐに要点に入り、以下のように述べた。

　「同年9月下旬に発生したサイバー攻撃は、誰にとっても最大の関心事だ。リスクは高いが、現在および将来の顧客を守るために必要なことは何でもする」

一連のサイバー攻撃による情報漏えい　決算説明会でOktaが示した4つの要点

　今回のサイバー攻撃は、2023年に発生した一連のセキュリティインシデントの最新の例だ。夏には著名な顧客の環境に対する攻撃が相次ぎ（注1）（注2）、第三者のベンダーに対する攻撃では、Oktaの現従業員および元従業員約5000人分の健康情報が流出した（注3）。

　そして、2023年11月29日に公表された同年9月のインシデントに関する調査から、侵害を受けたのはOktaのカスタマーサポートシステムの顧客の1％ではなく（注4）（注5）、100％だったと結論付けた。

　2024年度の第3四半期の決算報告会において（注6）、Oktaのセキュリティ体制は主要な話題であり、調査の対象だった。「最優先事項は、Oktaと顧客の安全確保であり、それ以上に優先されるものはない」とマッキノン氏は述べた。

　同社がサポートシステムに対するインシデントの実態を明らかにした数時間後に決算報告会が開催され、以下の4つの要点が示された。

1．ビジネスへの影響と顧客の不安

　Oktaは「同第3四半期に顧客との契約の遅延が増加した」と報告し、この遅れや一時的な停滞は今後も続くと予想している。

　OktaのCFO（最高財務責任者）のブレット・ティグ氏は、決算報告会で「顧客維持率は依然として90％台中盤であり、これは最近の四半期と一致している」と話す。同社の顧客は、2023年10月末時点で前年比約10％増の1万8800人に達した。

　Oktaの経営陣は「安定はしているが、依然として厳しい環境」を財務の見通しに織り込み、2024年度における年間売上高は21％増の約22億5000万ドル、2025年度には10％増の24億7000万ドルになると予想している。

　Oktaの売上高は2017年の上場以来、一貫して前年比で増加している。同社は四半期ごとに利益を報告していないが、最新の四半期では損失が前年比で61％縮小し、8100万ドルになった。

　「一連のサイバー攻撃は、強力なフィッシング体制を備えたアクセス管理やアイデンティティーガバナンス、特権アクセス管理と制御の必要性を浮き彫りにした。私たちがサービスを提供する市場、私たちの製品の可能性はますます広がっており、脅威の状況もその一部だ」（マッキノン氏）

2．Oktaの首脳陣はセキュリティの不備を把握している

　マッキノン氏は、セキュリティを最優先事項とする同社のコミットメントについて繰り返し強調した。

　「企業の成長や製品開発など、他の目的とセキュリティのバランスを取ってきたが、ITインフラの防衛が不十分だった」（マッキノン氏）

　同社のセキュリティに対する取り組みは、製品インフラの領域では非常に具体的で成熟しているが「IT全般の運用や企業全体のオペレーションについては、それほど成熟しておらず、包括的なアプローチができていない」とマッキノン氏は述べている。

　「それが十分でないことは分かっている。改善しなければならない。Oktaは世界で最も狙われやすい企業の一つだ。攻撃から自社と顧客を守るために成長しなければならない」（マッキノン氏）

3．Program Bedrockは、4つの柱にまたがる90日間のスプリント

　Oktaは2023年11月中旬に「Program Bedrock」と呼ばれる90日間のスプリントを開始した。これは4つの柱にまたがっている。

1. ボトムアップ：Oktaは従業員にセキュリティを強化するためのアイデアを共有するよう奨励している。マッキノン氏によると、すでに進行中の一例として、全ての管理者アカウントにおいて多要素認証を必要とする取り組みがある
2. トップダウン：Oktaはトップのセキュリティ専門家からアドバイスを受け、ビジネスやIT、製品の運用をどのように設計すべきかを検討している
3. 文化：リーダーたちはビジネス全体でセキュリティを優先事項とする旨を明確に伝えている。マッキノン氏によると、セキュリティの問題に完全に集中し、90日間のスプリントを実施することで誰にとっても優先事項が明確になるという
4. 製品：マッキノン氏によると、Oktaは自社製品が価値あるパワフルなものであり、「顧客のセキュリティを確保できるように構築されている」というバランスを追求している

　「90日間のスプリントではセキュリティの問題が最優先事項であることを混乱させることなく、全員に余裕をもって明確に伝える。スプリントは、リスクを大幅に減少させるための十分な取り組みであると考えている」（マッキノン氏）

　Oktaがセキュリティの強化を主張したのは今回が初めてではない。同社は2022年4月にセキュリティアクションプランに取り組み（注7）、2022年10月にその取り組みを完了したと述べている。

　マッキノン氏が「超集中型セキュリティアクションプラン」とも表現したProgram Bedrockは、1年前に計画され、現在進行中である。

4．Oktaはセキュリティに重点を置く文化にシフトしている

　マッキノン氏によると、Oktaのサポートシステムに対する攻撃やその他の最近のインシデントを受け、同社は業務のセキュリティアーキテクチャを改善するために、さらに努力する必要があると認識しているという。

　その必要性は非常に高く、急を要するため、同社のリーダーたちは2023年11月の初めに、2024年の冬の最終週まで全ての製品開発を停止することを決定した。

　マッキノン氏は「私たちは、世界で最も安全な企業の1つになるために、どんなことでもするつもりだ。なぜならば、現在の私たちがそれに満たないことは誰の目にも明らかであり、私たちはそれを解決するつもりだからである」と述べた。

　「Oktaのエコシステムを保護する取り組みは決して終わらないが、現在の超集中型のフェーズでは、他のプロジェクトや製品開発さえ、それほど重要ではない」（マッキノン氏）

　Oktaが使用する全てのアプリケーションや導入している全てのハードウェア、提携している全てのベンダーは、十分なセキュリティ対策がなされているかどうかの審査を受けている。

（注1）Okta customers’ IT staff duped by MFA reset swindle（Cybersecurity Dive）
（注2）Threat actors claim to have compromised MGM Resorts’ Okta environment（Cybersecurity Dive）
（注3）Okta employee data breached in third-party healthcare attack（Cybersecurity Dive）
（注4）Unauthorized Access to Okta's Support Case Management System: Root Cause and Remediation（okta）
（注5）All Okta support system customers caught in previously disclosed breach（Cybersecurity Dive）
（注6）Okta Announces Third Quarter Fiscal Year 2024 Financial Results（SEC）
（注7）Okta Completes Security Action Plan（okta）

原文へのリンク