Oktaが発表した2026年度第1四半期決算の内容を詳しく解説。売上高の増加や営業利益率の向上等について考察します。

インターネット上のアイデンティティ関連技術の標準化を行っているOpenID Foundationは、エンタープライズ向けSaaSにおけるセキュアなアイデンティティ管理の相互運用性を実現する目的で「IPSIEワーキンググループ」（Intero...

Is Your Cybersecurity Spending Justified? With digital becoming more complex, organizations are continually urged to increase their cybersecurity spending. But the crucial question that arises is –…

アイディルートコンサルティングがOkta社とパートナー契約を締結。アイデンティティ管理の重要性が高まる中、両社の協力で企業のセキュリティ強化を目指す。

Keycloak is an open-source project for identity and access management (IAM). It provides user federation, strong authentication, user management,

Is Adaptable Security the Future of Cybersecurity in Dynamic Cloud Environments? The need for adaptive and responsive measures in cybersecurity becomes increasingly paramount. Within these shifting…

Companies are embracing multi-cloud strategies not just because they want to avoid vendor lock-in, but because different providers excel at other things.

PCI SSC’s new ‘Payment Page Security and Preventing E-Skimming' guides merchants and service providers on PCI DSS Requirements 6.4.3 and 11.6.1 to help secure e-commerce transactions.

OpenTextが提供するアイデンティティ管理「OpenText Identity Manager Advanced Edition」に深刻な脆弱性が明らかとなった。 ：Security NEXT

フォアー社がDIDやVCの発行管理ライブラリ「iDroit Dashboard」のAPIとSDKを一般公開しました。開発者にとっての便利な新機能が続々登場。

Are You Prepared for the Rising Trends in API Security Management? In the evolving landscape of cyber threats, staying informed about emerging trends in Application Programming Interface (API)…

ニュース 2025年9月26日4分 アイデンティティ管理ソリューションセキュリティセキュリティソフトウェア このプラットフォームのライフサイクル管理、クロスアプリアクセス、検証可能な認証情報は、AIエージェントが企業システム全体で高い権限を持つようになる中で、攻撃対象領域を減らし、コンプライアンスを確保することを目的としています。 アイデンティティ管理ベンダーのOktaは木曜日、「Identity Security Fabric」を発表しました。これは、AIエージェントを保護し、企業が現在ユーザー、アプリケーション、AIシステムを管理するために使用しているパッチワーク的なポイントセキュリティソリューションに代わるものです。 「このファブリックの一部として、組織は改ざん防止のデジタル認証情報を発行・検証できるようになり、信頼の確立や増加するAIを利用した詐欺への対策に役立ちます」とOktaは声明で述べています。 ラスベガスで開催されたOktaの年次カンファレンスでの発表は、高い権限で動作しながらも適切な監督がなされていないAIシステムの管理に苦慮する組織が増えている中で行われました。 調査会社ガートナーは予測しています。2027年までに、アイデンティティファブリックの耐性原則が新たな攻撃の85％を防ぎ、侵害による経済的損失を80％削減するとしています。 Oktaの調査によると、すでに91％の組織がAIエージェントを利用している一方で、これら非人間型アイデンティティの管理戦略を策定しているのはわずか10％でした。セキュリティリスクの証拠として、同社は「AI採用ボットが、ハッカーが『123456』というパスワードを試したことで数百万件の応募者データを流出させた」事件を挙げています。 「現代の企業には、サイロを統合し攻撃対象領域を減らすアイデンティティセキュリティファブリックが必要です」とOktaのデザイン＆リサーチ担当シニアバイスプレジデント、クリステン・スワンソン氏は声明で述べています。現在の断片化したセキュリティアーキテクチャでは「もはやAI主導の脅威に対応できません」と彼女は述べました。 アイデンティティファブリックのコンセプトは、従来は別々だったユーザー管理、アプリケーションセキュリティ、AI監督といったセキュリティ機能を統合し、単一のプラットフォームにまとめたものです。このアプローチは、AIエージェントが従来の人間ユーザーと並行して常時高い権限で動作し、複雑さが増す企業に対応するために登場しました。 ファブリックを構成する3つの主要コンポーネント このプラットフォームは3つの主要要素で構成されており、最初の重要な要素はAIエージェントのライフサイクル管理です。Oktaはこれを「Okta for AI Agents」と呼び、2027会計年度第1四半期に早期アクセスを予定しています。この要素は、企業ネットワーク内の既存AIエージェントを発見し、適切なアイデンティティ認証情報を確立し、アクセス制御を強制し、活動を監視します。 「AIは、組織が適応できるよりも速く職場を変化させています」とスワンソン氏は付け加えました。「構築や展開、管理が不十分なエージェントが、従来のパッチワーク的なアイデンティティソリューションのリスクを露呈し始めています。」 このシステムは「最小権限の原則を適用するためにセキュリティポリシーを強制し、AIエージェントに必要な時にのみ必要なアクセス権を与えます」と同社は声明で述べています。 2つ目のコンポーネントはCross App Accessで、AIエージェントと企業アプリケーション間の通信を保護するために設計されたOAuthの拡張です。このプロトコルは、Amazon Web Services、Google Cloud、Salesforce、Box、Automation Anywhereなど主要テクノロジーベンダーの支持を得ています。 このプロトコルにより、セキュリティ管理が個々のアプリケーションから中央集権型のアイデンティティシステムに移行し、セキュリティチームは技術スタック全体でAIエージェントの行動を監視できるようになります。Cross App Accessは、エンタープライズ顧客向けにOktaプラットフォーム内で早期アクセスが提供される予定です。 現在のAI導入では、APIキーのような静的な認証情報に依存することが多く、これが侵害された場合に持続的な脆弱性を生み出します。人間のユーザーとは異なり、AIエージェントは通常、継続的に動作し、複数のシステムで高い権限を必要とする場合が多いため、セキュリティ侵害時の被害が拡大します。 デジタル認証情報がプラットフォームを完成させる 3つ目のファブリックコンポーネントは、2027会計年度にリリース予定のOkta Verifiable Digital Credentials（VDC）プラットフォームによるデジタル認証情報機能です。 このシステムにより、組織は政府発行ID、雇用記録、専門資格などの暗号的に安全なバージョンを発行できるようになります。 「最大限の制御と将来の相互運用性のためにオープンスタンダードに基づいて構築されたVDCは、AIエージェントの世界で信頼を確立し、誰かが誰であるか、何をしたか、何を許可されているかを証明するのに役立つ、安全でプライバシーを保護する認証情報を実現します」と同社は述べています。 Oktaは、まずモバイル運転免許証のサポートから開始し、今後さらに多様なIDタイプに拡大する予定です。 アイデンティティセキュリティ課題への注目は、ラスベガスでのOktaの発表だけにとどまりません。データ保護企業Rubrikも、Okta環境向けの自動バックアップとリカバリーを提供する「Rubrik Okta Recovery」を発表し、アイデンティティインフラの脆弱性に対する業界全体の認識の高まりを示しました。Oktaは、ファブリックアプローチが「AIエージェントが機械のスピードで高い権限と短命なライフサイクルで動作し、AIによるディープフェイクが正規ユーザーと悪意あるなりすましの境界を曖昧にする」課題に対応すると説明しています。 ニュースレターを購読する 編集部からあなたの受信箱へ 下にメールアドレスを入力して始めましょう。 翻訳元:

Starting in 2026 and in select countries first, Android apps must be registered to a verified developer in order to be installed.

Okta Japanは4月11日、AIエージェントや非人間アイデンティティを人間のアイデンティティと同じレベルの可視性、制御、ガバナンス、自動化で保護できるOkta Platformの新機能を発表した。

Okta Japanが2025年7月に「Identity Summit Tokyo」を開催。アイデンティティ管理の最新トレンドや戦略が共有される注目のイベントです。

130社以上が、多要素認証システムを偽装した大規模なフィッシングキャンペーンに巻き込まれた。 TwilioとCloudflareの従業員を標的とした攻撃は、130以上の組織で9,931件のアカウントが侵害された大規模なフィッシングキャンペーンに関連している。このキャンペーンは、アイデンティティおよびアクセス管理企業Oktaの悪用に焦点を当てており、研究者によって脅威アクターは「0ktapus」と名付けられた。 「脅威アクターの主な目的は、標的組織のユーザーからOktaの認証情報と多要素認証（MFA）コードを入手することでした」とGroup-IBの研究者は最近のレポートで述べている。「これらのユーザーは、自分たちの組織のOkta認証ページを模倣したフィッシングサイトへのリンクが含まれたテキストメッセージを受け取りました。」 被害を受けたのは米国拠点の114社で、さらに68か国にわたる追加の被害者も確認されている。 Group-IBのシニア脅威インテリジェンスアナリスト、ロベルト・マルティネス氏は、攻撃の規模はまだ不明だと述べている。「0ktapusキャンペーンは非常に成功しており、その全容が明らかになるには時間がかかるかもしれません」と彼は語った。 0ktapusハッカーの狙い 0ktapusの攻撃者は、標的となる電話番号へのアクセスを得るため、通信会社を最初に狙ったと考えられている。 脅威アクターがMFA関連攻撃に使用された電話番号リストをどのように入手したかは正確には分かっていないが、研究者が推測する一つの説は、0ktapusの攻撃者が通信会社を標的にキャンペーンを開始したというものだ。 「Group-IBが分析した侵害データによると、脅威アクターはモバイルオペレーターや通信会社を標的に攻撃を開始し、最初の攻撃でこれらの番号を収集した可能性があります」と研究者は記している。 次に、攻撃者はターゲットにテキストメッセージでフィッシングリンクを送信した。これらのリンクは、ターゲットの雇用主が使用するOkta認証ページを模倣したウェブページに誘導した。被害者は、Okta認証情報に加え、従業員がログインを保護するために使用する多要素認証（MFA）コードの入力を求められた。 付随する技術ブログで、Group-IBの研究者は、主にSaaS企業の初期侵害が多面的な攻撃の第一段階であったと説明している。0ktapusの最終的な目標は、企業のメーリングリストや顧客向けシステムにアクセスし、サプライチェーン攻撃を容易にすることだった。 関連する可能性のある事件として、Group-IBが先週末にレポートを公開してから数時間以内に、DoorDash社が0ktapus型攻撃の特徴を持つ攻撃の標的となったことを明らかにした。 被害範囲：MFA攻撃 ブログ投稿でDoorDashは、「不正な第三者がベンダー従業員の盗まれた認証情報を使用して、当社の内部ツールの一部にアクセスした」と明かした。投稿によると、攻撃者は顧客や配達員の名前、電話番号、メールアドレス、配達先住所などの個人情報を盗み出した。 Group-IBの報告によれば、攻撃者はキャンペーンの過程で5,441件のMFAコードを侵害した。 「MFAのようなセキュリティ対策は安全に見えるかもしれませんが…攻撃者は比較的単純なツールでそれを突破できることが明らかです」と研究者は記している。 「これは、攻撃者がいかに簡単に、いわゆる安全とされる多要素認証を回避できるかを示す、また一つのフィッシング攻撃です」とKnowBe4のデータ駆動型防御エバンジェリスト、ロジャー・グライムズ氏はメールでの声明で述べている。「簡単にフィッシングされるパスワードから、簡単にフィッシングされるMFAにユーザーを移行させても意味がありません。多大な労力、リソース、時間、お金をかけても、何の利益も得られないのです。」 0ktapus型キャンペーンを防ぐため、研究者はURLやパスワードの衛生管理、MFAにはFIDO2準拠のセキュリティキーの使用を推奨している。 「どのようなMFAを使う場合でも」とグライムズ氏は助言する。「ユーザーには、そのMFA形式に対して行われる一般的な攻撃の種類、それらの攻撃の見分け方、対応方法を教えるべきです。パスワードを選ぶ際にはユーザーに注意を促しますが、より安全とされるMFAを使わせる際には、それをしないのです。」 翻訳元: