25/09/26 14:25

【Oktane25】セッションレポート:モダンSaaSセキュリティの最前線：エンタープライズ市場を制すための三位一体戦略

ますこー

はじめに

こんにちは、ネクストモード株式会社のますこです

ただいま、ラスベガスで開催されているOktaの年次カンファレンス「Oktane 2025」の会場にいます。最新技術の熱気に包まれたOktane！現地の興奮をそのまま速報します。

本記事は「Enterprise-ready: How builders, buyers, and identity platforms are securing modern SaaS」セッションのレポートです。

現代のSaaSがエンタープライズ要件を満たすために、ビルダー（SaaSベンダー）、バイヤー（企業）、アイデンティティプラットフォーム（Oktaなど）がどのように役割分担し進化しているかを、セッションの流れに沿って要点を整理します。

Oktaの視点、NTT DATAの視点、ServiceNowの視点、そして「責任共有」から「運命共同体」へのシフトがどのような考えに沿っているのかを解説します。

問題意識

AIの急速な普及とサプライチェーンの複雑化、クラウドによる境界の消失、そして「攻撃の主戦場がアイデンティティへ移った」現実を前提に、従来のセキュリティ運用が限界に達している。手動運用と時点評価に依存するレガシー型は「セキュリティ上の負債」、自動プロビジョニングと継続評価、そして人間と非人間（サービスアカウントやAIエージェント）を統合管理するモダン型が求められることに。

「責任共有」から「運命共同体」へ

従来は「ここから先はあなたの責任」という分業前提でしたが、今後は成果に対する共通の責務を負う「Shared Fate（運命共同体）」へ移行すると考える。企業はアイデンティティの役割を高め、先回りの統制を。SaaSベンダーは設計段階からアイデンティティ標準を組み込み、エコシステムを強化。セキュリティベンダーはAI時代の新アーキテクチャを提示するためには、この三位一体の前提で、はじめてエンタープライズ要件を満たせると考えます。

Oktaが提示するSaaSエコシステムの前進

1000002178 Oktaは、SaaSのエンタープライズ対応を加速する「ビルディングブロック」を提示。Auth0での実装支援やOkta Integration Networkによる顧客露出、パートナープログラムでのGTM支援、そして新しい標準（例：Cross-App Access）の共創を呼びかけました。セキュリティと相互運用性を底上げすることで、SaaS側の「差別化要素」になり得るという考え方です。

バイヤー視点：NTT DATA グローバルCISOのリアル

NTT DATAのグローバルCISOは、SaaS選定で重視する具体論を提示。リアルな内容で面白いです。

シンプルな価格と明確な価値
- 「驚きは不要。複雑な束ね売りは逆効果。価値の見える化が前提」
デフォルトで安全
- 「買ってすぐ安全に使える設計を。設定地獄はリソースを浪費」
繋がることが正義
- 「標準準拠とエコシステム連携で、導入と運用の摩擦を最小化」
エージェントAIは「事実上の内部脅威」
- ブラックボックス性と権限付与の組み合わせに注意。入力と出力、双方をアイデンティティとして扱い、可視化と統制を
1対多の統制を優先
- 同種の課題に横ぐしで効く可視化・管理の仕組みが重要
「コミュニティ任せ」は成功の置き換えにならない
- コード共有は有用だが、それ自体はカスタマーサクセスではない

1000002179 1000002181 1000002180

ビルダー視点：ServiceNowの実装原則とAI連携

ServiceNowは「Identity-first security」を掲げ、外部IDPとの連携を前提に、全ユーザー（従業員、顧客、AIなど）を統一可視化。SAMLやOIDCなどのオープン標準を重視し、AI領域でも新興プロトコルへの対応を進める方針です。

エージェントAIは新しいアイデンティティクラス
- 権限、データ保護、プロンプト保護、監査とガバナンスなど、多層のコントロールが必要
デモ：「エージェントAIのSSO」
- ServiceNowのAgentフレームワークと外部AI機能（例：AirbnbのAPI）間の連携で、Oktaを介したログインとトークン管理を中央集約
- 従来の「ハードコードされた秘密情報」「スケールしない手動配布」「責任の曖昧化」を解消し、監査可能性とライフサイクル管理を担保

1000002182