いろいろあったOkta、日本法人トップがインシデントから得た学びとは 「これから」を聞いた

Okta Japanは2023年のセキュリティインシデントを契機に、自社インフラや製品の安全性強化に取り組んできた。日本での市場戦略と製品開発にこの事件はどのように生かされたのか。

[宮田健，ITmedia]

　アイデンティティー管理サービスを提供するOkta Japanは2025年9月3日、事業戦略説明会を開催した。同発表会では、渡邉崇氏（代表取締役社長）と高橋卓也氏（APJプロダクトマーケティング部シニアマネージャー）が登壇し、これまでの5年間の日本市場での歩みと実績、そして今後を見据えた事業戦略および製品戦略を説明した。

Oktaが口火を切ったアイデンティティー管理の革新、日本での成長、そして……

　Okta Japanは2020年9月の設立以来、日本市場において「誰もがあらゆるテクノロジーを安全に使えるようにする」というビジョンの実現を目指し、アイデンティティー管理の重要性を訴求してきた。渡邉氏はこれまでの歴史を簡単に振り返る。

Okta Japanの渡邉崇氏（代表取締役社長）

　渡邉氏は「Okta Japanが設立された2020年9月はコロナ禍の真っただ中であり、多くの企業がテレワークへの移行を余儀なくされる中で、シングルサインオン（SSO）や多要素認証（MFA）、セキュアなアクセス管理といったニーズが急速に高まった」と話す。Oktaのクラウド型アクセス管理ソリューションは、こうした状況で従業員を迅速かつ安全にデジタル環境につなぐ中心的な役割を果たしたという。

　その後の市場変化として、2021年5月には顧客アイデンティティー管理（CIAM）を提供するAuth0を買収し、サービスカバー領域をB2E（従業員向け）やB2B（ビジネス間）に加え、B2C（消費者向け）まで拡大した。その後2022年2月にはAuth0日本法人も統合を果たす。渡邉氏は、Auth0の創業者とOktaの創業者であるトッド・マッキノン氏ともともと親交が深く、認証・認可のソリューションの重要性を共有していたと説明。両社の統合により、従業員向けのOktaと外向けのAuth0がシームレスなソリューションを市場に提供できるようになった。

　日本市場へのコミットメントは多岐にわたり、2022年3月には国内でのデータセンター稼働を開始した。Oktaでは災害復旧に備え、最低2カ所のデータセンターとシステムの三重化という社内の要件を満たす必要があるという。さらに、2022年11月には働きがいのある会社研究所による「Great Place To Work」に選出されるなど、従業員が長く働けるカルチャー醸成と支援制度の整備にも注力してきた。

　この5年間で、Okta Japanの事業は売上ベースで「設立時より20倍に成長した」と渡邉氏は述べる。これは、日本法人設立前から日立ソリューションズをはじめとするパートナー経由での販売があった上で、「当初の事業計画を上回るペースでの成長」だ。また、グローバルでの顧客数は2万社を超えることに触れつつ、これは「日立製作所グループさまやNTTデータさまのような数十万人規模の企業を“1社”と数えての数字」であり、業界や企業規模を問わず広く利用されていることを示した。渡邉氏は「アイデンティティー管理はPCのOSと同じくらい、誰にでも使ってもらえるソリューションだと感じている」と、アイデンティティー管理の重要性を強調した。

　日本市場のアイデンティティー管理の認知は、「米国に比べて3〜5年遅れているという肌感覚がある」ものの、テレワークの普及により、MFAの需要が急増したことで、変化が訪れていることを渡邉氏は示す。Oktaは14の他要素認証オプションを提供しており、「ハードウェアキーからスマートフォンアプリまで柔軟な対応が可能である点が顧客に評価されている」。

　現在では、CIAM（Customer Identity and Access Management：カスタマーアイデンティティーおよびアクセス管理）の進化やガバナンス・特権管理（IGA・PAM）の市場拡大に加え、2022年にはフィッシング耐性やパスワードレスへの注目が高まった。現在では、パスキーの本格普及やAIの活用が始まり、特に「非人間アイデンティティー（NHI）の管理が喫緊の課題となっている」と指摘する。

アイデンティティー管理を巡る需要の変遷（出典：Okta Japanの発表資料）《クリックで拡大》

Oktaはインシデントから何を学んだのか？

　渡邉氏は2023年9月に発生したセキュリティインシデントを振り返る。これはサイバー攻撃者がOktaのカスタマサポートシステム内のファイルに不正にアクセスし、134の顧客組織が影響を受けたというものだ。サイバー攻撃者は5人の顧客の正規Oktaセッションをハイジャックできたとされている。

　このインシデントから得た学びを生かし、Oktaは「Okta Secure Identity Commitment」（OSIC）という長期的な取り組みをグローバルで推進している。創業者であるトッド・マッキノン氏は、全ての製品開発を3カ月間停止し、自社のセキュリティ強化に注力したという。OSICは「より安全な製品提供」「自社インフラの強化」「ベストプラクティスの提供」「業界水準の向上」という4つの柱で構成され、社内での実践的なセキュリティ教育や、AIを活用した設定の最適化支援、さらには業界全体の標準化活動への貢献など、多岐にわたる施策を展開している。

Oktaはインシデントから何を学んだか（出典：Okta Japanの発表資料）《クリックで拡大》

　このインシデントを通じて、日本独自の課題も明らかになった。地域別のセキュリティ専門家はいたが、インシデント発生時に日本の顧客や当局への情報提供に時間がかかるという問題があった。これを受け、渡邉氏が本社に直接交渉し、国単位でのCSO（Chief Security Officer）設置に至る。日本法人は2024年9月、日本担当リージョナルCSOに、板倉景子氏を任命した。板倉氏は大手ITベンダーやエンドユーザー企業のセキュリティ担当としての経験が長い。リージョナルCSOを置くのはOktaグローバルとしても世界初の試みだ。これにより「迅速な情報共有、日本独自の規制や顧客要望への即時対応、そしてパートナーとの連携強化が可能になった」と強調した。

　パートナーエコシステムも大きく成長した。設立当初の3社から、現在では130社を超えるパートナー企業とエコシステムを構築している。ディストリビューターやリセラーだけでなく、マネージドサービスプロバイダー（MSP）モデルの汎用（はんよう）化やマーケットプレースを通じたライセンス提供も進め、多様な顧客ニーズに対応している。

　直近では特に中堅・中小企業市場の強化に注力しており、ソフトバンクとのOkta初の独占MSP契約も開始した。。さらに、Oktaの強みである中立性を実現するため、8000以上のSaaSアプリケーションと安全に接続できる「Okta Integration Network」（OIN）の拡充にも力を入れており、SansanやSmartHRなどの国内主要SaaSとの連携も実現している。

　日本市場への継続的なコミットメントとして、データセンター設立、製品マニュアルやUIのローカライズ、日本語でのサポート体制の整備、そして日本専任CSOの設置といった積極的な投資を進めてきた。また、社会貢献活動「Okta for Good」を日本でも展開し、製品、時間、資本の1％を社会に還元する活動を継続している。加えて、日本法人では販売部門だけでなく、ポストセールス、テクニカルサポート、コンサルティング、法務、経理、人事など、あらゆる機能が日本で完結できる組織体制を早期に構築しており、これは「他の外資系企業と比較しても非常にユニーク」であると渡邉氏は述べた。

日本市場に対してのコミットメント（出典：Okta Japanの発表資料）《クリックで拡大》

AI時代に求められるアイデンティティー管理

　高橋氏からはOktaが提供する2つの主要プラットフォームに関する製品戦略の説明があった。一つは、従業員やビジネスパートナーのアイデンティティーを保護する「Oktaプラットフォーム」もう一つは、買収したAuth0の技術を基盤とし、企業の顧客（エンドユーザー）のアイデンティティーを保護する「Auth0プラットフォーム」だ。両プラットフォームは、OSICに基づき、より安全で使いやすいアイデンティティー保護基盤を提供することを目指している。

Okta Japanの高橋卓也氏（APJプロダクトマーケティング部シニアマネージャー）

　アイデンティティー管理の概念は進化しており、Gartnerが提唱する「Identity Fabric」という考え方に基づき、Oktaは「Identity Security Fabric」アーキテクチャを採用する。これは、IAMやIGA、PAMといった従来の機能群を個別のソリューションとしてではなく、統合的に運用することで、従業員とアプリケーションの間にセキュリティコントロールのレイヤーを設け、柔軟な相互連携を実現するものだ。

Oktaが目指す「Identity Security Fabric」アーキテクチャ（出典：Okta Japanの発表資料）《クリックで拡大》

　Oktaのアーキテクチャの主な特徴は、「独立性と中立性」「徹底的に統合されたエコシステム」「設計思想に基づく拡張性」の3点にあると高橋氏は説明する。アイデンティティー管理に特化した専業ベンダーとして、特定の製品に依存せず、ビジネスで使われるあらゆるアプリケーションと公平に連携できる中立性を重視している。これにより、顧客はビジネス状況に応じてアプリケーションを柔軟に変更できるという。

　この他、AI時代における新たな課題として、高橋氏は「爆発的に増えるアイデンティティー」と「消費者のAIへの懸念」を挙げた。AIエージェントの普及により、企業内では人間のアイデンティティーの数十倍もの非人間アイデンティティー（NHI）が発生している。

　しかし同社の独自調査では、これらを「明確な戦略と仕組みで管理できている」と回答した企業は、アンケート結果でわずか9％に過ぎなかった他、消費者アンケートでは70％がAIよりも「人間との対話を好む」と回答した。高橋氏はこれを踏まえて「NHIへの対応は急務」と指摘し、AIへの漠然とした懸念を解決する「信頼」が鍵となるとした。

　Oktaはこれらの課題に対応するため、各プラットフォームの機能を拡張する。Oktaプラットフォームでは、IAMやIGA、PAMといった従来の機能に加え、「NHI対応」「アプリ連携」「可視化」といったAI時代に求められる新たな機能群を提供する。また、Auth0プラットフォームでは、顧客体験と開発者体験の改善に加え、AIエージェントへの「認証」「代理認証」「外部情報（RAG）への認可」「非同期処理」への対応といった新機能群をSDKやAPIレベルで提供し、開発者が容易に組み込める環境を目指す。

日本市場の戦略的意義：最初からフルスタック、非英語圏での成功モデルであれ

　渡邉氏は「日本市場がOktaにとって極めて重要な戦略拠点である」と改めて強調した。日本独自の取り組みとして紹介された日本担当CSOの設置や、日本で全てがそろう組織体制は、APJ（アジア太平洋・日本）地域をけん引するだけでなく、グローバルにおける「非英語圏ビジネスの成功モデルとしても注目されている」という。「われわれが本社に提案し、それを実現してさらにそれを世界に広げていく。それにより、日本の顧客もグローバルの中でも最も早いタイミングでメリットを提供できる。これを続けていきたい」と語った。

Okta Japan、次の5年は（出典：Okta Japanの発表資料）《クリックで拡大》