メディア

Okta「セキュリティは最優先事項」　一連のインシデントのてん末と変革の取り組み：Cybersecurity Dive

数々のサイバー攻撃は、Oktaが自社のセキュリティを大きく変革する転機となった。同社は誤りを認め、セキュリティを最優先事項とする体制を築こうとしている。インシデントの発生からセキュリティ体制変更までの動きをまとめた。

» 2024年03月23日 08時00分公開

[Matt Kapko，Cybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　Oktaに入社して4年が経過し、CSO（最高戦略責任者）のデイヴィッド・ブラッドベリ氏は最も重要な役割を担うことになった。

　ブラッドベリ氏によると、Oktaはすでに一連のセキュリティコントロールを展開し始めている。今にして思えば、これらは同社のかつての製品や社内のIT運用方法に組み込まれているべきものだった。

　「私たちは、自社を取り巻く脅威環境の変化についていけなかった。セキュリティへの対応は、多くの点で批判されるべきものだった。現在、議論は進展している。セキュリティをどこに適合させるかという話を終え、全ての要素をどのように適合させて理想の形を目指すかという話をしている」（ブラッドベリ氏）

苦境に立たされたOktaは、セキュリティ変革に向けて何をしているのか？

　過去数年にわたる一連のサイバー攻撃で評判を落とし、以前のセキュリティ改善計画も失敗に終わったことからOktaは謝罪し、セキュリティに重点を置いた方向転換を図ることを最優先事項とした。

　これは、苦境に立たされたOktaにとって決定的な瞬間だった。

　ブラッドベリ氏は2024年2月26日（現地時間、以下同）に、週の後半にOktaが発表する十数件以上のセキュリティ強化策を紹介した。これは、2023年9月に発生したサイバー攻撃によってサポートシステムの顧客情報が流出したことをきっかけにした全社的な取り組みの一環である（注1）（注2）。

　Oktaは『Cybersecurity Dive』に、4つの柱にまたがる長期的なコミットメントを共有し、社内の防御と1万8800の企業顧客のアイデンティティーベースのセキュリティを改善することを表明した。

　Oktaは企業インフラを強化し、製品全体でセキュア・バイ・デザインの原則を体現し、ベストプラクティスを支持し、今後5年間で社外のサイバーセキュリティの課題に対処するためのファンドに5000万ドルを投資することを約束した。

Oktaを襲った一連のサイバーインシデントとそのてん末

　2022年、Oktaはフィッシング攻撃や侵害に見舞われ（注3）（注4）、「GitHub」のソースコードが盗まれた（注5）。2023年は、顧客環境を狙った一連の攻撃が夏に発生し（注6）（注7）、サードパーティーベンダーへの攻撃によってOktaの現在の従業員と過去の従業員の分を合わせた約5000人分の健康情報が流出した（注8）。

　そして2023年9月にはOktaのサポートポータルに対する攻撃があった。BeyondTrust（注9）、Cloudflare（注10）、1Passwordの3社は（注11）、いずれもこの攻撃の下流の被害者であることを公表した。Oktaの初期の見積もりでは、顧客サポートシステムの顧客のわずか1％が影響を受けたと結論付けられていた。

　しかし2023年11月末までに、Oktaはカスタマーサポートの顧客の全てがこの攻撃の影響を受けたと結論付けた。

　Oktaがサポートシステムへの攻撃による被害の全容を明らかにする前に、Cybersecurity Diveは、CloudflareとBeyondTrustのセキュリティリーダーに話を聞いた。Oktaのシステムへの侵入と、それによって両組織に生じた影響は、当時の彼らの関係を緊張させた。しかし、これによって両組織のOktaに対する信頼は、回復不能なほどに壊れたわけではなかった。

　CloudflareのCSOであるグラント・ブージカス氏は、2023年10月下旬にCybersecurity Diveの取材に対し、次のように答えている。

　「Oktaは世界で最も重要な組織にアイデンティティーを提供する信頼できるプロバイダーだ。このような侵害がこれ以上起こらないようにするために、同社はこの問題に真剣に取り組んでいることを示す必要がある」

　この度の大規模なインシデントは、Oktaにとって転機となった。サイバーセキュリティに関するバランスを欠いた取り組みや、最終的に効果のないアプローチの落とし穴を明らかにしたためだ。

　「Oktaのような企業で働く際、自社はセキュリティ企業なのか、それともアイデンティティー企業なのかという対立が常に存在する。どちらが優先されるべきだろうか」（ブラッドベリ氏）

　Oktaのサポートポータルが包括的に侵害されたことで、その疑問は解消された。Oktaの経営陣は、変革が不可欠であると判断し、2023年11月初旬から90日間、製品開発を一時停止し、セキュリティを最優先事項とした。

　「社内の焦点は、自社システムのセキュリティとその周辺にあるものとの間のギャップや格差を認識することだ。私たちは、これを判断する基準を厳しくする必要がある」（ブラッドベリ氏）

　また、ブラッドベリ氏は、次のようにも述べている。

　「私たちは世界中のほんの数社のうちの1社にならなければならない。システム間で、セキュリティに関する不均衡がない企業だ。それがペーパークリップの注文システムであろうと、製品サービスであろうと、どのシステムも同じ脅威プロファイルで扱われるべきだ」

　Oktaが攻撃時の侵入ポイントとなった場合、防御の責任を顧客が負うことはなく、Oktaが負うことになる。「私のサイバー防衛チームがこの責任を負っている。何をするにしても、私のチームが責任を追うのだ」（ブラッドベリ氏）

デフォルトで安全な状態への移行

　Oktaが1年半の間に2回のセキュリティアクションプランを開始した後、ブラッドベリ氏と彼のセキュリティチームは、同社または同社の顧客が標的となった攻撃の経路を特定し、それらのベクトルを今後のフィッシング攻撃、ソーシャルエンジニアリング攻撃、トークン盗難攻撃を防ぐために必要な機能にマッピングした。

　ブラッドベリ氏は「この事件の後、私たちが最初にしたことの一つは、ログインセッションクッキーを利用者のいるネットワークのみで使えるものにしたことだ」と話した。

　Oktaは製品や管理コンソール、特権アクセスにIPバインディングを適用した。IPアドレスが変更されると、セッションが自動的に無効になる機能だ。また、Oktaの全ての管理者ロールと管理コンソールでの保護されたアクションに対して、多要素認証の要件を導入した。

　これらの変更の一環として、Oktaはセキュア・バイ・デザインの原則を社内外の技術スタックに組み込んでいるが、新機能の全てがデフォルトで安全なわけではない。一部はオプションであり、自らの防御を強化するために顧客が設定する必要がある。

　ブラッドベリ氏は、このアプローチが顧客とOktaブランドにとってリスクを生み出すと認めた。初期アクセスモードでより多くの機能が展開されるにつれて、同社は最も有益と考えられるコントロールをデフォルトでオンにする意向だという。

　「現在の状況で、バランスが取れているとは考えていない。歴史的に好まれてきたのは、顧客が自分たちの方法で自分たちのスタックを作成し、Okta製品を適切に使用する自由を持つことだった」（ブラッドベリ氏）

　また、ブラッドベリ氏は、次のようにも述べている。

　「現在の私たちの立場について、顧客が自分たちのプラットフォームのセキュリティを確保する方法について、私たちに助言を求めるべきでないと考えている。Oktaは、これらの機能を適切に提供するのみで十分だ」

原文へのリンク

マクドナルドで発生した世界規模でのシステム停止　その原因は？
マクドナルドは2024年3月15日に発生した世界的なシステム停止についてその原因を発表した。同問題は本稿執筆時点で解消している。
最高年収2500万円超も夢じゃない　生成AIに並ぶ“稼げる”AIスキルとは？
2024年に入りAIの導入に注力する企業が増えていくにつれて、AIを使いこなせる人材の需要も高まりを見せている。生成AIのスキルを持つ技術者は最高で17万4727ドル（日本円で約2500万円）の平均給与が期待できるという。
“もうファイアウォール企業とは呼ばせない”　チェックポイントの新戦略に迫る
チェック・ポイント・ソフトウェア・テクノロジーズはAI活用などを含めた新戦略を発表した。ファイアウォール企業の元祖という従来のイメージをどう覆すのか。
Microsoft、2048bit未満のRSA鍵使用を非推奨に
MicrosoftはWindowsでTLSサーバ認証に使用される全てのRSA証明書について、鍵の長さが2048bit以上であることを必須にすると発表した。