Okta セキュリティホワイトペーパー Okta Security Technical Whitepaper Okta Security Technical Security White Paper 1

Okta セキュリティホワイトペーパー Okta Security Technical Whitepaper 1

目次目次 Index イントロダクション Oktaとサービスセキュリティ Oktaについて Okta Identity Cloud Workforce Identity Customer Identity Oktaのセキュリティアプローチセキュリティ責任共有モデル Oktaの責任 : クラウドセキュリティユーザの責任 Oktaのセキュリティ管理イントロダクションインフラ / 物理的セキュリティ物理的セキュリティ信頼性を高めるための障害分離データセキュリティ ( Data-at-Rest Security) ネットワークセキュリティ ( Data-in-Transit Security) 可用性とパフォーマンス監視人的セキュリティソフトウェア開発におけるセキュリティサービスレベルのセキュリティサービスレベルの可用性とパフォーマンスの監視セキュリティとペネトレーションテスト Okta ThreatInsight コンプライアンスイントロダクション Oktaのコンプライアンスへの対応資料セキュリティに関するドキュメントソリューションの概要 Oktaのセキュリティと可用性ユニバーサルディレクトリとライフサイクルマネジメント多要素認証 (MFA) シングルサインオン (SSO) と統合コンプライアンスと規制出版物刊行物サードパーティについておわりに 3 5 6 6 7 8 9 9 9 9 10 11 11 12 13 14 14 15 15 17 20 27 28 29 30 31 32 33 34 34 34 35 35 35 36 36 36 37 2

イントロダクション Introduction 今日アイデンティティ中心のセキュリティへの大規模 David Bradbury Chief Security Officer, Okta な転換が起こっていますテクノロジーの進化により人はあらゆる環境でセキュアに働けるようになりつつありますしかし企業が新しい働き方やユーザへのサービスに適応するにつれアイデンティティを中心としたセキュリティが加速しています Oktaを利用して従業員にセキュアな就業環境を提供したりシームレスな顧客体験を実現したりするうえでお客様にとって Oktaのセキュリティ体制はより重要な関心事であるはずです世界をリードする独立系アイデンティティプラットフォームとして Oktaはセキュリティのベストプラクティスがどのようなものか深く理解しています本ホワイトペーパーでは Oktaのセキュリティに関する方向性を導く原則や Oktaのテクノロジーや人材を網羅したセキュリティ体制について説明しています皆様のお役に立てることを心から願いそして今後も強固なパートナーシップを築いていけますと幸いです 3

イントロダクションアイデンティティアクセス管理情報セキュリティは現代の組織において必要不可欠でありお客様は Okta がテクノロジーへの安全なユーザアクセスを実現することに信頼を置いていますこの信頼は Okta の高い可用性と安全性がベースとなっています Okta はセキュリティに最も厳格な業界における機密性や安全性可用性の要件を満たし設計構築保守監視が的確になされているサービスを提供しています本ホワイトペーパーでは Okta のセキュリティに対するアプローチを以下の章で紹介します Okta とサービスセキュリティ Okta の概要 Okta Identity Cloud Platform Okta のセキュリティに対するアプローチセキュリティの共有モデルについて説明しています Okta のセキュリティコントロールお客様のデータを保護しサービスの機密性や完全性可用性を維持するために Okta が実装し活用している主要なセキュリティ管理の一部を説明していますコンプライアンス Okta Identity Cloud Platform が達成したセキュリティ認証と Okta がお客様のセキュリティ認証の実現や特定の業界規制への準拠に対してどのように支援できるかについて説明しています詳細情報 Okta Identity Cloud Platform を活用して Okta のセキュリティとセキュリティ体制をさらに強化する方法についてサポート情報を提供しています 4

Okta とサービスセキュリティ Okta and Service Security Oktaは当社だけでなく業界のアナリストやセキュリティ専門家に対してもセキュリティに真剣に取り組んでいることを実証しており信頼できるサービスだと言えます Den Jones, Senior Manager of IT Services Adobe https://www.okta.com/customers/adobe-systems/ 5

サービスセキュリティ Okta について Okta は業界をリードするアイデンティティクラウドプロバイダーです Okta のプラットフォームは適切な人を適切なタイミングで適切なテクノロジーへ安全に接続します Okta Identity Cloud Okta Identity Cloud は Okta が構築管理する Identity as a Service (IDaaS) プラットフォームですクラウドネイティブサービスとして構築された Okta は以下のようなベネフィットを提供しますグローバルに利用可能で 100% マルチテナントステートレス冗長性を備えていますセキュリティ強化や新機能が定期的にアップデートされますその場でプラットフォームを更新できメンテナンスのためのダウンタイムを設定する必要がないため計画的ダウンタイムはありません運用タスクや設定保守コストを大幅に削減できますサブスクリプションベースのためコストを柔軟に調整できます上記のベネフィットはオンプレミスのソフトウェアやマネージドクラウドサービスまたはオンプレミスのレガシーソフトウェアをクラウドに移行したベンダーにはほとんど見られないポイントですまた Okta の Identity Cloud Platform には Workforce Identity と Customer Identity の 2 つの機能が備わっています 6

サービスセキュリティ Workforce Identity OktaのWorkforce Identityは企業の IT 部門や高いセキュリティ水準が必要な組織を対象としています高いセキュリティ水準のもとで組織がテクノロジーや IT 資産へのアクセスを簡素化し効率を向上させることで IT 環境全体をセキュアに保つことができます Workforce Identityのソリューションには次のようなものがありますユニバーサルディレクトリ柔軟なクラウドベースのユーザストアにより複数のアイデンティティソースからユーザ属性をカスタマイズし整理管理することができますシングルサインオン (SSO) 1 つの認証情報で企業のクラウドやオンプレミスモバイルデバイス上にあるアプリケーションにアクセスすることができます複数のパスワード管理による煩雑さから解放することができますライフサイクルマネジメント Active Directoryや LDAPなどのディレクトリや Workday SuccessFactors Office 365 RingCentralなどのクラウドアプリケーションとのシームレスな連携を実現しユーザのオンボーディングとオフボーディングを自動化します適応型多要素認証 ( MFA) 信頼できる複数情報を要求することで認証強化を実現します検証する堅牢なポリシーフレームワーク最新版を含む検証要素セット適応性のあるリスクベースの認証によりアプリケーションと VPN を保護します Workforce Identityによって IT 部門はビジネスの中核を担うアプリケーションやデータにどのユーザがアクセスできるかといったポリシーベースの管理を一元的に行うことができますまた従業員はシングルサインオン (SSO) を利用することで日常的な業務を簡素化しパスワード管理疲れによるセキュリティリスクを軽減することができます Oktaを利用することで従業員はわかりやすいパスワードの使い回しやパスワードを付箋紙に書き留めたり PC 内のエクセルファイルに保存したりといったリスクの高いパスワード管理方法に頼る必要がなくなります 7

サービスセキュリティ Customer Identity Customer Identity は Okta をお客様のアプリケーションのアイデンティティレイヤーとして組み込んだり Okta をカスタマイズしたりすることができますカスタマイズ可能なユーザエクスペリエンスの提供 OktaのAPIやウィジェットを活用してフルブランド化されたログインフローやエンドユーザポータルを作成することができますまた OktaのAPIを利用して顧客や部門管理者がユーザを管理できるカスタム管理画面を構築することもできますあらゆるユースケースに Oktaを拡張利用が可能幅広いOktaのAPIを利用することで複雑なアイデンティティ統合やデータに関する課題自動化などの課題を解決することができますスクリプトを実行してユーザデータを変更したりアプリケーションを自動的に統合したりカスタムワークフローと統合したりすることができます最高クラスの Customer IAM(CIAM) ソリューションを活用可能 Oktaをアイデンティティ API として活用することで開発者はすべてのアプリ開発プロジェクトで Oktaに認可承認ユーザ管理を委ねることができます Oktaにアイデンティティを託し開発者はカスタマーエクスペリエンスに専念することができるようになります Customer Identityは Okta Identity Cloudへのアクセスを提供するほか Oktaの柔軟な拡張機能によって開発者が優れたユーザエクスペリエンスを構築できるようなります Customer Identityを強化することでデジタルテクノロジーを駆使したお客様のビジネスにおいてお客様の最も複雑なエンタープライズアーキテクチャーの課題を解決に導きます Oktaを活用する企業はクラウドサービスはもとよりオンプレミスのアプリケーション VPN ファイアウォールカスタムアプリなどを利用して従業員や契約社員顧客など自社のアプリケーションにアクセスするすべてのユーザに対するセキュリティの確保とカスタマーエクスペリエンスを劇的に向上させることができます 8

サービスセキュリティ Okta のセキュリティアプローチ Okta Identity Cloud はセキュリティを考慮した設計構築維持監視そして定期的な更新が行われています業界や組織の規模や使用している製品などに関わらずすべてのお客様に一貫した機密性完全性可用性を持ったサービスを提供するため Okta はセキュリティ責任共有モデルを採用していますセキュリティ責任共有モデルセキュリティ責任共有モデルとは Amazon AWS Microsoft Salesforceをはじめとする多くのクラウド事業者が採用しているフレームワークでお客様とクラウド事業者のセキュリティ責任を明確化し共有するものですこのモデルでは Oktaはクラウド自体のセキュリティに責任を負いお客様は自社の情報セキュリティ要件に基づきクラウド上のテナントのセキュリティに責任を負いますお客様のアプリケーションとコンテンツお客様がクラウド上のテナントのセキュリティを確保テナントとサービスの設定サービスのセキュリティ Okta がクラウドのセキュリティを担当インフラと物理的セキュリティレスポンシビリティの詳細情報については 00p 以降にも掲載しています Oktaの責任 : クラウドセキュリティ Oktaは Okta Identity Cloud Platformにおけるインフラのセキュリティに責任を負いますまた Oktaにはお客様が Oktaに配置するアプリケーションなどを保護するために必要な機能を提供する責任もあります以下のOktaセキュリティ管理のセクションではクラウドのセキュリティを確保するためにOktaが実装し活用している主要な管理機能の一部を示していますユーザの責任お客様には Oktaの中に配置するアプリケーションなどを保護する責任がありますこれには例えばユーザに適切な権限を与えること従業員が解雇されたときにアカウントを無効にすること多要素認証を実施することデータを保護するために必要な認証ポリシーを適切に設定監視することユーザがポリシーに従っていることを確認するためにシステムログを確認すること Oktaのテナントがパスワードスプレーやフィッシングなどの攻撃を受けていないか監視することなどが含まれます責任の詳細情報については 42p 以降にも掲載しています 9

Okta のセキュリティ管理 Okta Security Controls Oktaはサイバーセキュリティビジネスの生産性ベストオブブリードという我が社にとって重要な3つ要件を満たしておりまさに望み通りの製品と言えます CIO Gus Shahin フレックス社 10

セキュリティ管理イントロダクション Okta はクラウドプロバイダーとして自身のサービスに内在するインフラを含む Okta Identity Cloud Platform そのものに対するセキュリティに責任を負っています Okta はクラウドサービスのインフラを保護するために主に以下のようなセキュリティ管理を行っていますインフラ/ 物理的セキュリティ人的セキュリティソフトウェア開発のセキュリティサービスレベルセキュリティセキュリティ診断とペネトレーションテストインフラ / 物理的セキュリティ Oktaの技術チームはクラウドサービスの開発運用に豊富な経験を有していますその経験を活かして Oktaはセキュリティと可用性の要件を拡張し両立できるインフラストラクチャプロバイダーとして Amazon AWS を選択しました Amazonは最大級のクラウドプラットフォームサービスを運営しておりインフラの構築運用保守に関する重要な専門知識を有しています 2006 年初頭からAmazon AWS はあらゆる規模の企業にプラットフォームを提供しビジネスを強力にサポートしてきました 11

セキュリティ管理 Okta は Amazon AWS のインフラを活用するだけでなく以下のようなセキュリティ制御を付加しています Identity Cloud Amazon AWS Resources Okta は Identity as a service を中心に自社のサービスレイヤに対するセキュリティ制御を実装 Amazon AWS インフラのセキュリティを細やかに調整しその上に追加のセキュリティを実装 Amazon AWS はサービス基盤にセキュリティ管理制御を実装 Okta は Identity as a service と AWS 上に拡張したセキュリティ機能を提供 Oktaは IaaSと AWS 上に拡張したセキュリティ機能を提供しますワークロードをAmazon AWS 上で実行 Amazon AWSのインフラとネイティブセキュリティを活用 Amazon AWSのセキュリティを考慮した上で追加のセキュリティ制御を調整設定 IDaaSの要求に合わせてサービスレイヤーにも追加のセキュリティを実装し安全で信頼性の高いサービスを提供 Okta と Amazon AWS が共同で運営しているインフラのセキュリティは物理的セキュリティからコンピュータネットワークストレージの各レイヤーに及びさらには明確に定義されたセキュリティポリシーとアクセスポリシーそして第三者による継続的な監査と認証によって補完されています物理的セキュリティ Okta は物理サーバへのアクセスに Amazon AWS の物理的セキュリティを利用しているほか Okta のオフィスでも物理的セキュリティ管理を導入していますこうしたセキュリティ戦略では物理的な脅威から保護するためにサービスの機密性や完全性可用性を維持することを目的としていますデータセンター Amazon AWSのデータセンターは外観上からはそれと分からない一般的な施設に収容されていますその内部では専門のセキュリティスタッフがビデオによる監視最新の侵入検知システムその他のデジタル技術などを用いてアクセスを厳格に管理していますデータセンターへのアクセスには多要素認証を使用しており入場が許可されたスタッフのアクセスに関する情報は記録され定期的に監査されますデータセンターおよび情報へのアクセスは業務での取り扱いが必要でかつ正当な権限を持つ従業員および請負業者にのみ提供されますまた従業員の権限が不要になった場合は仮にその従業員が引き続き Amazonの従業員であったとしても迅速に権限が取り消されますさらにすべての訪問者や契約者は入場する前に身分証明書を提示する必要があるほか施設の内部では常にスタッフが付き添うなど厳重なセキュリティ体制が敷かれています 12

セキュリティ管理 Okta のオフィスにおけるセキュリティ Okta では自社のオフィスでも以下のようなセキュリティ管理を実施しています従業員および訪問者の入場管理と監査証跡すべての出入口のビデオ監視倉庫電源室 AC 室搬入口などのセキュリティを強化するための境界線の設定施設内に24 時間 365 日体制の警備員を配置従業員のセキュリティに関する意識向上トレーニング物理的セキュリティ対策の定期的なテストを実施コンピュータセキュリティ Okta は Amazon AWS の EC2(Elastic Cloud Compute) インスタンスと VPC(Virtual Private Cloud) インフラを組み合わせることで複合的な対策でセキュリティを確保しています仮想インスタンスの OS またはゲスト OS ファイアウォールと署名付き API コールまたインスタンスレベルで安全な隔離を行い Amazon AWS のアベイラビリティーゾーンを活用してサービスの可用性を高めていますインスタンスレベルのセキュリティ管理者がインスタンス管理用のホスト OSにアクセスするには多要素認証が必要になりますこの管理ホストのシステムはクラウドのマネジメントプレーンを保護するために特別な設計や構築構成によって強化されていますまたすべてのアクセスが Oktaによって記録監査されているほか Oktaの管理者によってロックダウンされ Oktaの管理者の完全な管理下にあるゲスト OS 環境に対して Amazon AWS はアクセス権を有していませんさらに Oktaはアプリケーションに必要なポートのみを有効にするようファイアウォールを設定しそれ以外のポートはすべて無効化しますフロントエンドのアプリケーションコンポーネントのみがインターネットにアクセス可能ですその他の Okta プロダクションインフラへのアクセスには VPN 接続が必要になります信頼性を高めるための障害分離 Okta は Amazon の強みを生かし複数の地域や複数のアベイラビリティーゾーンにインスタンスを配置することで信頼性を向上させていますそれぞれのアベイラビリティゾーンは障害分離および大都市圏 ( それぞれ異なる氾濫原と地震の安定した地域 ) に物理的分離されるよう設計されています Amazon Data Center controls のページでは AWS のアベイラビリティーゾーンに実装されているいくつかの障害分離制御について説明しています 13

セキュリティ管理データセキュリティ (Data-at-Rest Security) Oktaはお客様のデータが安全に利用できることを保証するために複数の取り組みを行っています下記のサービスレベルセキュリティのセクションで詳述するように顧客データとそのアクセスは Oktaのデータレイヤーにおいて顧客レベルで隔離されています物理的にはデータは Amazon AWS のEBS(Elastic Block Storage) サービスを使って保存されており Oktaの回復ポイント目標 ( RPO) である 1 時間を達成するために EBS ボリュームのデータベーススナップショットが定期的にとられ Amazon AWS のS3ストレージサービスに保存されます S3へのアクセスはたとえ Amazon AWS 内であっても暗号化が必要でありデータの安全な転送が保証されています AWS S3ではバケットとオブジェクトの両方のレベルでアクセスを制限し Okta によって認可されたアクセスのみを許可しています認可されたユーザの読み取り / 書き込み権限はバケットとオブジェクトのアクセス制御リスト (ACL) バケットポリシーおよびIAM 由来のアクセス許可を組み合わせて管理されますその制御監査はすべてのバケットレベルのアクセスとすべてのデータ検索オブジェクトレベルのアクセスを対象にしていますさらにOkta は S3と VPCのトラフィックに疑わしい動きがないかターゲットに着目した監視を行っておりリアルタイムでOktaセキュリティチームにアラートが送られますネットワークセキュリティ (Data-in-Transit Security) Amazon AWS のネットワークは以下のようなネットワークセキュリティに関する課題に対応しています DDoS(Distributed Denial of Service) 攻撃 Amazon AWS のネットワークインフラには世界最大級のオンライン小売業者を運営する中で培った独自の DDoS 対策技術を活用していますさらに Amazon AWS のネットワークはインターネットアクセスの多様性を実現するために複数のプロバイダーを横断してマルチホーミングされています MITM( マンインザミドル ) 攻撃 Amazon EC2の仮想マシン (VM) は初回起動時に自動的に新しい SSHホスト証明書を生成しインスタンスのコンソールに記録しますまた Okta は安全なAPI を活用しておりインスタンスに初めてログインする前には必ずホスト証明書にアクセスします IP スプーフィング Oktaのサービスを実行するAmazon EC2 VMでは偽装されたネットワークトラフィックを送信することができません Amazon AWSが制御するホストベースのファイアウォールインフラはインスタンスが自身以外のソース IPまたはMAC アドレスでトラフィックを送信することを許可せず偽装されたネットワークトラフィックを遮断しますポートスキャン EC2の利用者に対する無許可のポートスキャンは Amazon EC2 Acceptable Use Policy (AUP) の違反となります AUPの違反は深刻に受け止められ報告された違反はすべて調査されます不正なポートスキャンは検出され次第即座に停止されブロックされますまた Amazon EC2インスタンスのポートスキャンはデフォルトですべてのインバウンドポートが閉じられているため効果がありません 14

セキュリティ管理外部テナントによるパケットスニッフィングプロミスキャスモードで動作している仮想インスタンスが別の仮想インスタンスを対象としたトラフィックを受信したりスニッフィングしたりすることはできませんまた同じ物理ホスト上にある 2つの仮想インスタンスであっても互いのトラフィックを閲覧することはできません ARP(Address Resolution Protocol) キャッシュポイズニングのような攻撃は Amazon EC2では機能しません Okta は Amazon AWS のネットワークセキュリティをこのサービスのための独自なセキュリティ管理で補完しますこのセキュリティ管理制御の内容についてはサービスレベルセキュリティのセクションで詳細に説明しています可用性とパフォーマンス監視 Oktaは各サーバのマシンヘルスメトリックを1 分間に2 回監視し可用性を把握していますメトリックにはネットワーク接続性 CPU 使用率メモリ使用率ストレージ使用率サービスステータスキーファイルの整合性などの項目が含まれます障害が発生するとアラートが発生し優先順位づけされたチャネルを通じてオペレーションスタッフに通知されますまた Okta はネットワークの遅延やデータベースのクエリの遅延ストレージの応答性などサーバやサービスごとのパフォーマンス指標の傾向データを収集しているほかアプリケーション全体のエンドツーエンドのシナリオについても追跡していますこうしたメトリックそれぞれに Oktaはしきい値を割り当てマシンヘルスの可用性監視と同じアラートメカニズムを使用していますそのほかOkta はアプリケーション内部のメトリックを収集するためにランタイム環境で計測機能を追加し運用していますさらに内部のモニタリングを行うだけでなくリアルタイムおよび履歴データをtrust.okta.com の公開モニタリングおよびアラートシステムにおいて公開していますこれについてはサービスレベルセキュリティのセクションで詳しく説明しています人的セキュリティセキュリティの原点は人にあります Okta では採用前採用後在職中退職後の従業員などに対して厳密なセキュリティ管理を実施し機密保持に取り組んでいます人的セキュリティへの取り組み採用前バックグラウンドチェック在職中意識向上トレーニングアクセスレビューソーシャルエンジニアリングテスト採用後機密情報および発明に関する契約オンボードトレーニング退職後アクセス権の削除契約義務の再確認 Okta の継続的な人的セキュリティへの取り組み 15

セキュリティ管理 Oktaの採用前採用前すべての従業員や請負業者には法律で認められている限りのバッグラウンドチェックを行っていますバッグラウンドチェックでは犯罪歴と財務歴の両方を調査し上級財務職の場合は信用調査も行います新入社員の推薦状についてはすべて慎重に精査しています従業員と契約社員にはそれぞれの職務上の責任に加えて運用ポリシーとセキュリティポリシーおよびそれらを遵守しなかった場合の対応について周知徹底しています Okta のバックグラウンドチェックの手順とポリシーの有効性は SOC 2 Type II 保証報告書で第三者から保証されていますその内容については NDA を締結したお客様のみ閲覧することができます Oktaの採用後入社時すべての従業員と契約者は採用時に以下のようなオンボーディングプロセスを遂行します機密情報および発明に関する契約(PIIA) への署名 PIIAには Oktaの従業員または契約者としての守秘義務が記載されています入社時のトレーニングとセキュリティ意識向上のためのトレーニング新入社員がOktaの従業員または請負業者としてのセキュリティ責任を理解するためのトレーニングを実施しています Oktaに所属している期間中 Okta では従業員や契約者がデータ保護に関する責任を学ぶことを目的に継続的なセキュリティ意識向上トレーニングを実施していますまた Okta のセキュリティチームは定期的なソーシャルエンジニアリングテストや啓蒙活動を通じてセキュリティに関する取り組みを企業文化として定着させています Okta を退職する場合すべての従業員および契約者の退職時には守秘義務に関する規則などを再度通知しますユーザアカウントパスワードハードウェアバッジを期間内に失効させます最小権限のアクセスポリシー Okta ではインフラアプリケーションやデータなどすべてのアクセスをビジネスや運用上の要件に基づいて制御する必要がありますその制御では職務の分離と最小権限の原則に従ってコードの変更やメンテナンスを複数のチームに分けて行っています具体的にはオペレーションチームはコードのデプロイを含む本番環境のメンテナンスを担当しエンジニアリングチームは開発環境やテスト環境のみで機能やコードの開発を行いますそのためコードを本番環境に実装するためには複数のチームが必要となりますいずれの場合も管理者のアクセスは最小権限の概念に基づいておりユーザが職務を遂行するために必要な最小限の特権に制限されます 16

セキュリティ管理ソフトウェア開発におけるセキュリティ Okta のソフトウェア開発ライフサイクルはソフトウェアの機能を提供するとともにコード開発時のセキュリティリスクの軽減にも配慮して設計されています Okta のアプリケーション開発は厳格なプロセスに従っておりソフトウェアのセキュリティ向上を担う非営利組織 Open Web Application Security Project が掲げるセキュリティ要求分析手法のCLASP(Comprehensive, Lightweight Application Security Process) のコンセプトに多くが準拠しています機能要求バグコード強化は脅威モデルとリスク分析の処理に基づいて優先付けされます開発されたコードは最終的なコミットと品質保証 (QA) の検証の前にピアレビューとセキュリティレビューが行われますまたテストリリースにはユニットテストコードも必要になりますそのほか Okta の品質保証チームはすべてのユニットテスト回帰テストパフォーマンステストストレステストなどの自動テストおよびWeb やモバイルアプリケーションのペネトレーションテストを実施していますなお最適な結果を得るためソフトウェア開発のセキュリティ管理はソフトウェア開発前と開発中に実施されます開発手法 Okta は継続的に開発者に安全な開発方法のトレーニングを行っています標準的なセキュリティ人材向けのトレーニングに加えて以下のような取り組みを実施しています新人エンジニアにはオンボーディングトレーニングを義務付けていますオンボーディングトレーニングではアプリケーションセキュリティにおける知識の習得や実践方法について学びます四半期ごとにセキュリティチームが技術トレーニングを実施します技術トレーニングではセキュリティの脆弱性について学習するほかアプリケーションの脆弱性に対する悪用の防止について学習しますまたトレーニングは録画され参加できないエンジニアも後から視聴することができます Okta はエンジニアの継続的なトレーニングを通じて以下のような潜在的攻撃に対して適切なセキュリティ保護を提供できるようになります不正な入力 SQL インジェクションクロスサイトスクリプティング(XSS) クロスサイトリクエストフォージェリ(CSRF) 認証およびセッション管理の不備安全でない直接オブジェクト参照セキュリティの設定不備機密データの漏えい上記以外のOpen Web Application Security Project Top が挙げる10 大脅威 (OWASP's Top 10) 17

セキュリティ管理ソフトウェア開発のライフサイクル Okta のソフトウェア開発におけるライフサイクルはアジャイル / スクラム開発のフレームワークを活用した反復的なアプローチで開発を行っています開発開始開発開始開発開始スプリントプランニングスプリントプランニングスプリントプランニングデモ 1 2 3 開発デモ開発デモ開発テストテストテスト次の開発次の開発次の開発反復型のソフトウェア開発ライフサイクル反復型のアプローチではソフトウェアの新しいバージョンを頻繁にかつ短いサイクルで作成しますこのプロセスでは各段階を小さな反復で何度も実行しながらループしていきます ( アジャイル開発ではこのプロセスをスプリントと呼びます ) これにより各リリースはそれまでの機能をもとにした増分となりソフトウェアの品質を維持するため徹底的にテストを重ねますまたアジャイル開発では開発テストはプログラミングと同じイテレーションで行われ一連の工程を短期間で繰り返していきますそのためユーザはその新しいソフトウェアを頻繁に使用できその価値を検証することができます Oktaはソフトウェア開発ライフサイクルのさまざまな段階にセキュリティ対策を組み込んでいますビジネスの優先順位付けと計画この段階では製品管理者と技術管理者が新しいサービスの機能やコンポーネント機能性について計画して優先順位をつけていきますビジネス要件には一般的に以下のようなことが定められます関連する情報の価値新たなサービスやそのサービスが保持する情報の重要性システムが運用されるうえで要求される法律規制および契約上の環境セキュリティへの潜在的な影響があると判断した場合製品管理およびエンジニアリング部門はセキュリティチームと協力して新機能やコンポーネントサービスなどが情報を保持処理するために遵守すべきセキュリティ要件やコンプライアンス要件を定めますこのセキュリティ要件は機能の設計開発テスト展開およびメンテナンスを通じて遵守され実行されます 18

セキュリティ管理システム設計設計段階では計画段階で設定されたセキュリティおよびコンプライアスの要件に対応する適切なセキュリティ制御を提示する必要があります開発開発段階ではそれぞれのエンジニアに安全な開発環境が提供されますそのなかには IT 部門が提供するノートPC の設定や開発用のコーディング環境も含まれます選定されたコーディング環境言語データベースツールその他のコンポーネントに応じて安全なコーディングとシステム構成のためのガイドラインが採用されますまたエンジニアが統合ブランチにコードをマージする際には他のエンジニアから必ずコードレビューを受けることが義務付けられておりコードのコンプライアンスやセキュリティパフォーマンスコーディングが論理的に正しいかが評価されますさらにセキュリティに影響がある場合にはセキュリティチームも単体テストに参加し検証を行いますさらにセキュリティチームは今後リリースされるコードについて独自の評価を行いどの機能に重点的なレビューが必要かを決定しますレビューの範囲は自動コード解析から詳細な手動コードレビュー侵入テストまでリスクに応じて多岐にわたりますテストソフトウェアアプリケーションのライフサイクルではユニットテスト機能テストセキュリティテストなどさまざまな形式のテストが行われますテストプロセスでは以下をはじめとした 60,000 以上のテストを実施しています CI( 新しいコードを構築テスト実装するための継続的インテグレーション ) 複数の環境やブラウザでの計測テスト単体テスト機能テストすべての変更に対するピアレビュー四半期ごとのセキュリティレビューこの一連のテストには保護されたテストデータのみが使用されお客様のデータは使用されませんリリースコードフリーズした開発後には毎週次にリリースされるコードがコンパイルされるジョブがプレ本番環境で実行されますプロモーションされる各リリースの候補はプロキシスキャナーを使って自動テストされますスキャナのプロファイルは OWASP 特有の攻撃など特定の脅威をテストしますこの際あらゆるアーティファクト ( 開発副産物 ) に対してもアンチウイルススキャンが実行されます自動テストの結果はレポートにまとめられセキュリティチームのレビューを受けますまた自動テストで問題が見つかった際には問題が解決されるまでセキュリティチームがリリースを保留にします 19

セキュリティ管理サービスレベルのセキュリティこの項目ではプラットフォームを保護するために Okta がサービスレベルで実装している制御の一部を紹介しますサービスレベルのセキュリティは以下に分類されます Oktaの暗号化アーキテクチャーテナントデータのセキュリティテナントネットワークの分離とセキュリティテナントパフォーマンスの分離テナント機能の分離 Web アプリケーションのセキュリティ対策サービスレベルの可用性とパフォーマンスの監視 Okta の暗号化アーキテクチャー Okta はマルチレイヤーの暗号化アーキテクチャーを使用して静止状態および通信中のデータを保護します 2 テナント専用の非対称鍵で暗号化 / 署名されたアプリへのSSOとAPI 認可サードパーティとカスタムアプリ 1 テナント.okta.com 3 機密データはテナント専用の対称型暗号で暗号化ユーザデータベース非対称鍵による暗号化アクセスカスタムドメインと証明書のサポート 4 テナント専用のキーストアに格納されたSSOおよびデータキーキーストアデータベーステナントキーストアシンメトリックス 256-bit AES アンシンメトリックス 2048-bit RSA 5 キーストアとシークレットを別々のデータベースに格納 6 セレクトデータベースキーストアシークレットは高い可用性のために複数の地域のKMSで安全に保管されると共にオフラインキーは非公開の施設で保管されるサードパーティとカスタムアプリ Okta Identity Cloud Okta の暗号化アーキテクチャーとレイヤー 20

セキュリティ管理複数のレイヤーで暗号化を行うアーキテクチャー 1 Okta へのアクセス Okta はサービスとユーザ間の通信を強力なアルゴリズムと暗号鍵 (2048-bit RSA) を用いて HTTPS で暗号化しますまたテナントが独自のドメインや証明書を持ち込んでカスタマイズできるようにしていますセキュリティ上のメリット機密データを通信中に暗号化接続にTLSv1.2などの強力な暗号化アルゴリズムを使用お客様独自の証明書を持ち込むことが可能 2 アプリへのシングルサインオン (SSO) と API 認可 Oktaは SAML WS-Fedシングルサインオンのアサーションの署名および暗号化 OpenID Connect OAuth API トークンの署名に非対称暗号を使用しています SSOとAPI 認可で使用される鍵は各テナント専用の2048ビット RSAですまた Oktaでは SAMLアサーションやOAuthトークンの署名に利用する独自の鍵をインポートすることができますセキュリティ上のメリットシングルサインオン(SSO) のアサーションの署名と暗号化に対応暗号化と署名にはテナント専用の2048ビットRSA 鍵を使用テナント専用の非対称鍵により他のテナントの鍵が漏えいしてもSSOを安全に保つテナントはサードパーティ製のアプリへのSSOやAPI 認可で使用する非対称鍵を独自のものに変更可能 3 テナントデータの保存 Okta はテナントの機密データをデータベース内で暗号化します暗号化にはテナントごとに専用の鍵を用いた対称型の 256 ビット AES を使用していますセキュリティ上のメリット機密データの暗号化強力な鍵を使用したSAMLおよびWS-Federationアサーションに署名と暗号化テナント専用の対称鍵によりデータの分離を実現 4 テナントキーの格納テナント専用の鍵はすべてテナント専用のキーストアに保存されますこのキーストアにはテナント専用のマスターキーがないとアクセスできませんこれによりテナント 1 つが侵害された際の被害が軽減されます 21

セキュリティ管理セキュリティ上のメリットデータやアサーションとともにテナントが使用する鍵も分離複数のテナント専用鍵の保存に対応しており用途に応じて使い分けることができ目的に応じて使い分けが可能テナントが使用する鍵は一時的にメモリにキャッシュされディスクには保存されない 5 キースストアの保存と分離テナント専用キーストアとそのマスターキーはそれぞれ別のデータベースに保管されますセキュリティ上のメリット保管場所を分離することでキーストアの機密性を向上 6 マスターキーの暗号化最高レベルの可用性と事業継続性を実現するためテナント専用のマスターキーは 3つの方法で暗号化されています第一にテナント専用マスターキーの暗号化には KMS サービス ( Federal Information Processing Standards( FIPS)140-2 Level 2 ハードウェア暗号モジュール ) が用いられます KMSはテナント専用マスターキーの暗号化と復号化を常に KMS 内に維持される強力な鍵 ( 4096ビットの RSA) を用いて行います第二にテナント専用のマスターキーは高い可用性を実現するために 2つ目の KMSサービスを使用して暗号化されます 2つの KMSへのアクセスは最小限のサービスとユーザに限定して厳格に管理され変更や削除ができないログとして記録されます第三にテナント専用のマスターキーは事業継続性を目的として最も安全なリカバリーメカニズムを提供するために公開鍵で暗号化されますバックアップキーはすべての KMSサービスが停止した場合にのみ使用されるほか Oktaの従業員 2 名以上でなければアクセスできない安全な場所に保管されますそのため一人の人物が証跡を残すことなく顧客データにアクセスしたり解読したりすることはできませんセキュリティ上のメリットあらゆる人物は詳細な監査証跡と厳格なセキュリティ対応をともなわずに顧客データの解読を行うことは不可能マスターキーのローテーションが容易鍵の使用状況についての記録は改変不可能高可用性の維持事業継続性の確保このようなセキュリティに加えて Oktaはさらなる対策を講じています Oktaへのユーザアクセスおよびサードパーティアプリへの SSOやAPI 認証用の非対称鍵をお客様が変更できますテナントキーは一時的にメモリにキャッシュされディスクには保存されません 22

間セキュリティ管理テナントデータのセキュリティ暗号化アーキテクチャーのほか Okta は顧客のデータを保護するために以下のセキュリティコントロールを実装していますテナントデータの分離 Oktaは暗号化を利用して顧客データを分離していますデータストレージには対象暗号を用いて転送データには非対称暗号そしてキーストレージには分離されたデータベースと KMSを使用して論理的なデータ分割を行っています機密性の高いデータの暗号化下流のアプリケーションへのプロビジョニングを実施するため個人を特定できる機密性の高いデータをユニバーサルディレクトリ内に保存するケースがあります Oktaの管理者はユニバーサルディレクトリを通じて暗号化したい特定の属性を選択することができますこのデータはテナント専用の対称鍵で暗号化され Oktaの管理コンソールでは検索できませんこのようにデータの暗号化に加えて Oktaではアクセス時にテナントのデータを隔離するセキュリティフレームワークを使用していますパスワードの暗号化 Oktaはユーザのパスワードを保護するために特別な制御を行っていますユーザは次の2つの方法のいずれかでパスワードによる認証を行うことができます Okta のローカルパスワード委任認証ユーザが Oktaのローカルパスワードで認証する場合は認証情報はOktaクラウドに保存されています Oktaはパスワードを保護するために多いラウンド数でソルトを付与した bcryptを使用していますレインボーテーブル攻撃やブルートフォース攻撃を受けやすいスピードを重視した他のハッシュアルゴリズムとは異なり bcryptは適応型関数であるため計算能力の向上に応じてハッシュ関数を高め低速にすることができますつまり bcryptはムーアの法則に簡単に対応することができるのです暗号強度はラウンド数 / 反復回数を増やすことで向上します MD5 一般的なハッシュアルゴリズムの暗号強度時RIPMD-160 SHA-256 SHA-512 SHA-3 WHIRLPOOL SCRIPT BCRYPT 23

セキュリティ管理ユーザがActiveDirectory や LDAP サーバの認証情報を使ってOkta を認証する場合認証情報は顧客のディレクトリ内に保持されていますこの認証モデルは委任認証と呼ばれますユーザがサインインページでActiveDirectory または LDAP サーバの認証情報を入力すると Okta は認証をActiveDirectory またはLDAP に委任して検証します委任認証が設定されると Okta のパスワードポリシーではなく ActiveDirectory またはLDAP からのパスワードポリシーが適用されることになりますユーザ TLS/HTTPS 認証成功 LDAP/ AD エージェント LDAP バインド認証成功 LDAP/ ActiveDirectory サーバ Okta はエージェントを介してディレクトリに認証を委任自社のサーバが認証を実施クラウド自社内外部ディレクトリに対する委任認証の方法 Okta はログインをさらに強化するために多要素認証 (MFA) の設定と実施を推奨しておりさまざまな MFA 要素と適応型ポリシーをサポートしています Okta が提供する MFA 機能についてはサービスリソースのセクションで詳細情報を掲載していますテナントネットワークの分離とセキュリティ Okta はお客様のトラフィックを保護するために以下のような制御を行っていますネットワークの分離アクセスや管理作業のための専用のサブドメインが付与されますアクセスサブドメイン https://{ 顧客名 }.okta.com システム管理サブドメイン https://{ 顧客名 }-admin.okta.com 独立したサブドメインを使用することで以下のことが可能になりますログインページやエラーページのカスタマイズができるため一貫したルックアンドフィールを与えられるとともにフィッシング攻撃の軽減が可能ですネットワークルール ( ホワイトリスト / ブラックリスト ) CORS/ リダイレクトルール SSO アサーションの発行者およびレー 24

セキュリティ管理ト制限の分離が可能ですクッキーの一意性を実現し各テナントのサブドメインにそのサブドメインへのアクセスを制限する一意のクッキーを発行することができますカスタムドメインと証明書さらに Okta ではお客様の契約内容に応じて独自の URL ドメイン電子メール送信者 HTTPS 証明書の導入が可能ですこれらの機能を利用すればドメイン名を完全に分離できるほか任意の認証局が発行した証明書の使用も可能になりますセッションコンテキストの検証 Oktaはユーザのコンテキストに基づいてリクエストを検証するロジックを実装していますコンテキストとは 2 種類の一意の識別子およびセッションクッキーの機能を指しますこれによりクッキーによるセッションハイジャックやリプレイ攻撃を防ぐことができますテナントパフォーマンスの分離テナントのパフォーマンス問題を解決するため Oktaではレートリミットを実装しています各テナントにはお客様の使用量を十分に満たすAPI コールのレート制限が設けられています API 制限は1 分ごとにリセットされますテナントがAPI 制限に達すると Okta はレート制限がリセットされるまで ( 最大 1 分 ) HTTP エラー 429-Too Many Requests を返します Oktaには APIエンドポイントごとに異なる API 制限が設けられているためある APIが制限に達してもサービス内の他の機能が損なわれることはありませんさらに Okta のサポートにリクエストすることで一時的にAPI 制限を引き上げることも可能ですレート制限に関する文書や手順へのリンクはサービスリソースの項目に記載していますテナント機能の分離 Oktaはビジネスニーズの異なるさまざまなお客様にサービスをご提供していますそのため個々のお客様がセキュリティ要件や期待するビジネス上の価値に基づいて機能が利用できなければなりません Oktaはお客様それぞれが最適な時期に機能を利用できるようにするためにテナント機能の分離を行っていますテナント機能の分離によりお客様はテナント内で各機能を有効化することができます Okta には 3 種類の機能フラグが備わっていますベータフラグはOkta Preview([orgname].oktapreview.com) でのみ利用可能ですベータフラグの付いた機能が利用できるのは Okta ベータプログラムに加入しているお客様が対象ですアーリーアクセスフラグ(EAフラグ) は Oktaプレビューと本番環境の両方で利用できます EAフラグの付いた機能はサポート経由またはFeature Manager を使用して有効化することができます一般提供フラグ(GAフラグ) は Oktaのプレビュー環境と本番環境の両方で利用可能でデフォルトで有効化されていますお客様のテナントに関する質問や特定のフラグの有効化に関するご要望はサポート担当者にお問い合わせください 25

セキュリティ管理 Web アプリケーションのセキュリティ対策 Okta はソフトウェアのライフサイクル全体実行時の運用およびモニタリングを制御するセキュリティ管理を実装していますユーザ DDoS 防御とサービスレベルのブラックリスト化 <code> アプリケーション XSS XSRF およびインジェクション攻撃の防御 XSS XSRF インジェクション攻撃に対するコードの開発とテストネットワークセキュリティデータネットワークセキュリティデータベースの堅牢化と内部統制 Okta セキュリティチーム Okta セキュリティチームは開発ライフサイクルとインフラを監視し最新の状態でセキュリティ対策を行います Okta のセキュリティ責任共有モデルコードソフトウェアの設計開発テスト実装時に Okta がどのような Web アプリケーションのセキュリティの実装をするかについてはソフトウェア開発におけるセキュリティセクションをご覧ください Okta へのアクセス Okta は IP ブラックリストやその他のセキュリティ制御を実装しグローバルレベルで DDoS 攻撃のリスクを軽減していますまた Okta ではお客様独自の IP ブラックリストルールも実施することができます実行中のアプリケーションとデータベースの制御 Oktaはクロスサイトスクリプティング ( XSS) クロスサイトリクエストフォージェリ ( XSRF) インジェクション攻撃などアプリケーション攻撃のリスクを軽減するため実行中におけるアプリケーションレベルでの制御を行います具体的にはクロスオリジンリソース共有 (CORS) やトラステッドオリジンセッションコンテキストなどの検証を実施しています XSSのリスクを軽減するため Oktaはユーザからの入力が適切なデータ型フォーマットに準拠しているか ( 例 : 日付の場合日付フォーマットに準拠しているか ) スクリプト可能な HTMLタグを含まれていないかレンダリング前に潜在的なタグが取り除かれているかを検証しますさらにすべての HTML 出力についてブラウザがスクリプトを処理しないようにエンコードされていますまた XSRFのリスクを軽減するため Oktaは最適かつ標準的な手法に基づいて POSTされたすべてのリクエストが Oktaに 26

セキュリティ管理よって生成されたページから来ているかどうかを検証しています具体的にはサーバが生成したセキュアートークンがページに埋め込まれそのページからの POSTのパラメータとして含まれる手法が採用されていますこのトークンはユーザのセッションに固有のものでありサーバだけが解読できる形にハッシュ化されていますサーバ側のインターセプターは受信した POSTにこのトークンが含まれていることが分かるリクエストパラメータがあるかどうかをチェックし投稿先のセッションと一致していることを確認しますさらにOktaはインジェクション攻撃のリスクを軽減させるためデータの入力の制限と検証および SQLクエリにバインド変数を使用してデータベースの正当性を保つフレームワークも実装されていますバインド変数とは実行時にアプリケーションから提供される値を挿入するための SQLコマンド内のプレースホルダーですパラメータやパラメータマーカーを使用して値を保持するため値を文字列に連結してからクエリの一部として実行するよりもデータベースを安全に守ることができます Oktaのセキュリティ担当者 Oktaのセキュリティ担当者は開発ライフサイクルとインフラを積極的に監視しセキュリティ管理を最新の状態に保ちます各段階でのセキュリティ担当者の作業についてはソフトウェア開発におけるセキュリティとセキュリティとペネトレーションテストの項目で解説していますサービスレベルの可用性とパフォーマンスの監視 Okta は信頼性と透明性を重視していますそのためインフラレベルでの監視に加えて Okta Trust Site(trust.okta. com) による透明性の高い監視報告インシデント対応システムを実装しています Okta Trust Site Okta Trust Site では Oktaおよびサードパーティのサービスの可用性に関するリアルタイムの情報を公開しておりインシデント発生時には更新情報を提供していますステータス情報は見やすいダッシュボードデザインで提供されておりインシデントのカテゴリーが明確であることに加えてインシデントの詳細情報が発生時に更新され根本原因を分析したレポートにも素早くたどり着くことができます 27

セキュリティ管理セキュリティとペネトレーションテストセキュリティ戦略の一環として Okta は 4 つの異なるセキュリティおよびペネトレーションテストプログラムをサポートしています内部セキュリティとペネトレーションテストテスト第三者によるセキュリティとペネトレーションテスト 4 お客様によるペネトレーションテストバグバウンティプログラム Okta のセキュリティとペネトレーションテストプログラム Okta のセキュリティとペネトレーションテストプログラム社内のセキュリティとペネトレーションテスト Okta のセキュリティチーム Red Team が最新の脅威に対するセキュリティを継続的かつ定期的にテストしています第三者によるセキュリティとペネトレーションテスト第三者のセキュリティ調査会社に依頼し少なくとも年に一度 Okta サービスのグレーボックスペネトレーションテストを実施しますこのテストでは調査会社が Okta のソースコードや専用の Okta インスタンスに完全にアクセスしテスト分析や脆弱性攻撃の作成を行うように構成されていますバグバウンティプログラム( 公的なバグ報奨金制度 ) Okta は主要なパブリックプラットフォームで継続的に公的なバグ報奨金制度 ( バグバウンティプログラム ) を実施していますバグバウンティプログラムでは Oktaに対する外部からのペネトレーションテストが行われセキュリティの脆弱性がトリアージされ検証されます脆弱性を発見した場合プログラムの参加者はその重大性に比例した報酬を受け取ることができますプログラムの詳細には以下のURLから確認することができます https://www.okta.com/bugbounty お客様によるペネトレーションテストお客様は Okta と連携することでプレビューインスタンス上で独自のペネトレーションテストを実施することができますこれらのプログラムは相互に補完し合い Okta はセキュリティテストのあり方を改善し続けます 28

セキュリティ管理 Okta ThreatInsight 前述のとおり OktaはDDoS 攻撃のリスクを軽減するために IPブラックリストやその他のセキュリティ管理を実装していますその1つが Okta ThreatInsightです Okta ThreatInsightは 1つ以上の組織でアカウントロックアウト攻撃ブルートフォース攻撃パスワードスプレー攻撃を引き起こした IPアドレスを集約しますこれにより Okta が悪意のある IPアドレスとして特定したもの以外の疑わしいとは思われるものの継続的に悪意のある活動をしていない IPアドレスからのアクセスを監査ブロックすることができます Okta ThreatInsightによって特定された IPからのログイン試行に対して管理者は何もしないアクセスを完全にブロックする IPアドレスの監査を行うを選択できますさらに Okta ThreatInsightはすべてのログインイベントの前に事前認証を行うためアカウントロックアウトの問題にも対応することができますアカウントロックアウトされる IP の例以下に関与のある IP 金銭的な動機による攻撃フィッシング攻撃インテリジェンスの取り込みと脅威の発生源の特定海外からの攻撃クレデンシャルスタッフィング攻撃ブルートフォース攻撃 Identity Cloud ThreatInsight ソーシャルエンジニアリング攻撃スクリプトキディパスワードスプレー攻撃 Okta ThreatInsight はサービスレベルで認証前に評価されます 29

コンプライアンス Compliance Okta のおかげでお客様のアイデンティティ管理維持をする必要がなくなり HIPAA への準拠が可能になりました Rishu Tandon, Chief Technology Officer heal 社 CTO リッシュタンドン氏 https://www.okta.com/customers/heal/ 30

コンプライアンスイントロダクションアイデンティティは業務の遂行に必要不可欠な要素であり Okta はアプリケーションやデータへのアクセス管理保護に大きな責任を負っていますその責任を果たすために私たちは以下の 2 点を順守しています最も認知度の高い認証や規制への準拠を保証するお客様それぞれの業界におけるセキュリティ認証や規制への対応をサポートする Oktaが取得している認証 Okta のコンプライアンスプログラムは業界標準の認証や認可に基づいて構築されています最新のプログラムリストは以下の URLから確認できます https://trust.okta.com/compliance ISO 27001 : 2013 Okta は 2015 年 10 月から ISO 27001 : 2013 認証 ISO 27018 : 2019 準拠 2020 年 7 月から ISO 27017:2015 準拠を取得しており情報技術システムを安全に管理する専門性を証明しています SOC 2 Type II 認証 Oktaは2012 年から毎年 AICPA SOC 2 Type IIの認証を受けており Oktaのサービスと会社の運用およびセキュリティプロセスの監査に成功していますお客様である Oktaの管理者は support.okta.com でSOC 2 Type II 監査報告書をご覧いただけます Cloud Security Alliance Security, Trust, & Assurance Registry (CSA STAR) クラウド上の機密データを保護する Oktaは 2017 年 6 月から認定されている Cloud Security Alliance (CSA) Security, Trust, & Assurance Registry (STAR) Level 2 Attestationによってさらに検証されています FedRAMP-Authority to Operate (ATO) Okta は 2017 年 4 月から FedRAMP(Federal Risk and Authorization Management Program ) の準運用認定機関 ( ATO) で正式に認可されています FIPS Validated 140-2 Okta Verify は 2018 年 12 月以降 NISTの要件に基づき FIPS 140-2 Validated であり FedRAMP の使用と EPCS(Electronic Prescription of Controlled Substances) システムのために FIPS Validated MFAを必要とするHealthcare orgsに承認されています 31

コンプライアンス APEC PRP Okta のアジア太平洋経済協力 (APEC)PRP(Privacy Recognition for Processors) 認証は 2020 年 7 月から有効でアジアオーストラリアアメリカのデータ管理者のために国境を越えたデータ転送をサポートする能力を実証した少数の組織の中にOktaが入れられています Okta のコンプライアンスへの対応上記の認証に加えて Okta Identity Cloud は以下の規制や認証の順守をサポートしています HIPAA Okta の HIPAA Compliant Service インスタンスは規制が厳しくセキュリティ意識の高いヘルスケア業界のお客様にご利用いただいています PCI-DSS 3.2 OktaはPCI Attestation of Complianceを取得しており Okta MFA は現行のPCI-DSS 要件に準拠した多要素ソリューションとして認定されていますこれによりお客様は OktaをPCIコンプライアンスのサポートシステムとして使用することができます SOX 法対応 Oktaのツールは SOX 管理が確実に行われ監査のための証跡管理が行えます Oktaにより IT 部門はすべてのアプリケーションのプロビジョニングとデプロビジョニングを単一の場所で行うことができますまたパスワードの複雑さを要求したりシングルサインオンを提供することで下流の監査を効率化することができます GDPR Okta のアイデンティティアクセス管理は GDPR を順守のための強固な基盤を提供しリスクの軽減に貢献します Okta の GDPR に準拠したデータ保護規則 (DPA) の詳細は以下のサイトでご覧いただけます https://www.okta.com/gdpr NYDFS Okta のアイデンティティアクセス管理は常に進化し続けるニューヨーク金融サービス局のセキュリティ規制で規定されているアクセス要件への対応に役立っています 32

資料 Resources Oktaの優れたサポートには本当に感心していますリクエストに対する返信は 1~2 時間以内に必ず返ってきますまた難しい問題であってもエンジニアはその問題を自分事として受け止め解決にあたってくれますこれは私たちにとって非常に重要な要素ですアフターフォローも申し分ありません Grant Holton Picard, Entaerprise Architect OXFAM 社エンタープライズアーキテクトグラントホルトンピカール氏 https://www.okta.com/customers/oxfam/ 33

資料セキュリティに関するドキュメント最も認知度の高い認証や規制への準拠 https://help.okta.com/en/prod/content/topics/security/security_at_okta.htm ソリューションの概要データ侵害を防ぐために https://www.okta.com/resources/whitepaper/protect-against-data-breaches セキュアでシームレスなカスタマーエクスペリエンスの実現 https://www.okta.com/resources/whitepaper/secure-customer-experience/ サプライヤーとパートナーのための AWS へのセキュアなアクセス https://www.okta.com/resources/whitepaper/solution-brief-secure-access-to-aws-for-suppliers-andpartners/ IT の煩雑さの軽減アイデンティティライフサイクルの自動化による IT 運用の効率化 https://www.okta.com/resources/whitepaper/okta-solution-briefs-reduce-it-friction/ エンタープライズ IT のモダン化 https://www.okta.com/resources/whitepaper/modernize-enterprise-it/ クラウドおよびモバイル IT によるインフラの構築 https://www.okta.com/resources/whitepaper/solution-brief-build-100-cloud-mobile-infrastructure/ M&A のためのアジリティの向上 https://www.okta.com/resources/whitepaper/increasing-ma-agility/ Okta のセキュリティと可用性 Okta でゼロトラストを実現どこからでも安全にアクセスできる最新のアプローチ https://www.okta.com/resources/whitepaper/zero-trust-with-okta-modern-approach-tosecure-access クラウドサービスはすべて同じではないー Okta の高可用性アーキテクチャ https://www.okta.com/resources/whitepaper/not-all-cloud-services-are-built-alike Okta の 500 億ユーザまでの拡張性 https://www.okta.com/resources/whitepaper/scaling-okta-to-50-billion-users プライバシーポリシー https://customer.okta.com/privacy 34

資料ユニバーサルディレクトリとライフサイクルマネジメントライフサイクルマネジメントのビジョンと概要 https://www.okta.com/resources/whitepaper/okta-lifecycle-management-vision-and-overview/ ディレクトリの統合アーキテクチャの概要 https://www.okta.com/resources/whitepaper/ad-architecture/ HR ドリブンな IT プロビジョニング https://www.okta.com/resources/whitepaper/olm-technical-whitepaper-hr-driven-it-provisioning アイデンティティオーケストレーションによるサービスデリバリーと自動化の実現 https://www.okta.com/resources/whitepaper/how-identity-orchestration-transforms-servicedelivery-and-automation/ 多要素認証 ( MFA) ユーザ名とパスワードからの脱却 -Okta Adaptive MFA White Paper https://www.okta.com/resources/whitepaper/adaptive-mfa/ 境界の外で働くためのセキュリティ https://www.okta.com/resources/whitepaper/security-built-to-work-outside-the-perimeter MFA への切り替えを行う前に考慮すべき 7 つのこと https://www.okta.com/resources/whitepaper/7-things-to-consider-mfa 多要素認証導入ガイド https://www.okta.com/resources/whitepaper/multi-factor-authentication-deployment-guide 多要素認証による VPN の保護 https://www.okta.com/resources/whitepaper/securing-vpn-with-multi-factor-authentication シングルサインオン ( SSO) と統合 Okta はどのようにアプリケーションを統合するか - アーキテクチャの概要 https://www.okta.com/resources/whitepaper/how-okta-integrates-applications-architectural-overview ユーザアイデンティティとアクセス管理政府の IT 近代化への架け橋 https://www.okta.com/resources/whitepaper/user-identity-and-access-management-government-it-modernization/ マイクロソフトのお客様が Okta のアイデンティティを選ぶ 6 つの理由 https://www.okta.com/resources/whitepaper/six-reasons-microsoft-customers-choose-okta-for-identity 35

資料セキュリティインシデントレスポンスの自動化 https://www.okta.com/resources/whitepaper/okta-security-infrastructure-to-automate-incident-response クレデンシャルフィッシングに関する 4 つの神話 https://www.okta.com/resources/whitepaper/four-myths-about-credential-phishing-you-cant-ignore コンプライアンスと規制 NNYDFS のサイバーセキュリティ規制について金融機関が知っておくべきこと https://www.okta.com/resources/whitepaper/need-to-know-nydfs 最新の NIST ガイドラインへの対応 https://www.okta.com/resources/whitepaper/meeting-the-latest-nist-guidelines-with-okta アイデンティティ & アクセス管理で NYDFS の要件を満たすには https://www.okta.com/resources/whitepaper/how-to-meet-nydfs-mandates-with-iam GDPR への準備するときに知っておくべきこと https://www.okta.com/resources/whitepaper/preparing-for-gdpr 出版物刊行物 API セキュリティ開発者チームによる API の構築とセキュリティ確保のためのガイド https://developer.okta.com/books/api-security/ OAuth 2.0 Simplified OAuth 2.0 サーバ構築のためのガイド https://www.amazon.com/dp/1387130102/ref=cm_sw_r_cp_ep_dp_wosgbbeg187v4 https://www.oauth.com サードパーティについて AWS セキュリティ入門 https://d1.awsstatic.com/whitepapers/security/intro_to_aws_security.pdf AWS データセンターの制御とグローバルインフラ https://aws.amazon.com/compliance/data-center/controls/ https://aws.amazon.com/about-aws/global-infrastructure/ AWS KMS ホワイトペーパー Okta が採用している暗号化セキュリティ詳細 https://d0.awsstatic.com/whitepapers/kms-cryptographic-details.pdf AWS Artifact: AWS のコンプライアンス (SOC 2 レポート ) のための資料 https://aws.amazon.com/artifact 36

おわりにおわりに Conclusion アイデンティティには最高レベルの機密性や完全性可用性が求められおり最新のテクノロジーサービスにおいても必要不可欠な要素となっていますさらに現在の環境では誰もがあらゆる技術に安全に接続する必要があるため多層的で継続的に進化するセキュリティモデルにおけるアイデンティティの役割がますます重要になっていますお客様の成功こそがOkta のビジネスにおける核心ですそのために Okta は脅威となる人物の一歩先を行くためのたゆまぬ努力を続け常にセキュリティ機能の向上を目指していますこのホワイトペーパーはセキュリティ責任共有モデルや Okta が提供するコントロールについての見解を示すとともにお客様のセキュリティ責任についての認識を高めるものです当社はお客様のパートナーであることを誇りに思うとともにこの専門知識が価値あるものになることを心から願っています Okta CSO デビッドブラッドベリー 37