はじめに
こんにちは、ネクストモードのゆきなわです。
Okta Identity Governance (OIG) を活用したアクセス管理では、定期的なアクセス棚卸しとして Access Certifications(アクセス認定キャンペーン)が広く利用されています。しかし、セキュリティインシデントが発生した場面では、対象ユーザーのアクセス状況・権限を直ちに確認し、必要に応じてアクセスを取り消す仕組みが求められます。
こうしたニーズに応えるのが、2026年1月に一般提供となった新機能 Security Access Reviews(セキュリティアクセスレビュー)です。本記事では、セキュリティアクセスレビューの概要、どのようなセキュリティイベントをトリガーにすべきか、また、Admin Console からの基本的な設定から実行方法までを一通りご紹介します。
セキュリティアクセスレビューの概要
セキュリティアクセスレビューとは
セキュリティアクセスレビューは、セキュリティイベントに応じて特定ユーザーのリソースアクセスをオンデマンドでレビューする機能です。Okta Admin Console から手動で開始することも、API 経由で自動的にトリガーすることもできます。
類似の機能としてアクセス認定キャンペーン (Access Certification Campaign) がありますが、両者は目的と運用スタイルが異なります。アクセス認定キャンペーンは四半期ごとや年次といったスケジュールに基づく広範なコンプライアンス監査を目的としています。一方、セキュリティアクセスレビューはイベントドリブンで、特定ユーザーに対するインシデント発生時やリスク検知時に即座に対応するためのものです。定期的な棚卸しはアクセス認定キャンペーン、緊急対応にはセキュリティアクセスレビューという使い分けが基本になります。
アクセス認定キャンペーンに関する詳細については、以下の記事をご参照ください。
レビューに含まれる情報と優先順位付け
レビューが開始されると、その時点でユーザーに割り当てられている全リソース(アプリ、グループ、エンタイトルメント)のスナップショットが取得されます。なお、Okta Workflows アプリはレビュー対象から除外されます。
セキュリティアクセスレビューは各リソースに対して重大度レベルと異常の詳細を提供し、レビュアーが注力すべきポイントを明示します。具体的には以下のような情報が含まれます。
- 職務分離 (Separation of Duties) ルールとの競合
- 最近のセキュリティイベントのコンテキスト
- リソースへのアクセスを付与しているグループの情報
- Crown Jewel(クラウンジュエル)や Privileged(特権)などのラベルに基づくリスク計算と優先度
さらに、org 内で重大度が高い上位5つの異常については、AI 生成による要約も提供されます。これらにより、レビュアーはユーザーが持つ異常なアクセスの全体像を素早く把握し、どのリソースから対処すべきか判断ができます。
レビュアーが実行できるアクション
レビュアーは、アクティブなレビューについて以下のアクションを実行できます(下図)。
- リソース、エンタイトルメント、グループ単位でのアクセス取り消し
- 同一レビュー内で取り消したアクセスの復元
- レビューの手動クローズ
レビューは設定した終了日に自動で閉じることも、レビュアーが手動で閉じることもできます。レビューが終了すると、これらのアクションは実行できなくなります。
利用ケース ─ どのようなイベントをトリガーにするか
セキュリティアクセスレビューは手動でも自動でも開始できますが、効果を最大化するにはセキュリティイベントと連動させた自動トリガーが有効です。ここでは代表的な 4 つのトリガーパターンを紹介します。
Identity Threat Protection (ITP) 連携
Okta Identity Threat Protection (ITP) を利用している場合、エンティティリスクポリシールールによる委任フロー (Delegated Flow) 経由でセキュリティアクセスレビューを自動トリガーできます。ITP の詳細については下記公式ドキュメントをご参照ください。
たとえば、ユーザーリスクスコアの上昇、不審なログイン活動(通常と異なる場所やデバイスからのアクセス)、セッションハイジャックの検知といったリスクイベントが発生した際に、対象ユーザーのアクセスレビューを即座に起動する構成が可能です。ITP は脅威の検知からレビュー開始までを自動化できるため、最もプロアクティブなトリガー方式と言えます。
Identity Security Posture Management (ISPM) 連携
Okta Identity Security Posture Management (ISPM) を利用している場合、Okta Workflows の Webhook を使い、ISPM が検出した問題に基づいてレビューを自動起動できます。典型的な検出例は以下のとおりです。
- SSO バイパスの検出(フェデレーションされていないアカウントの利用)
- 過剰権限アカウントや特権アカウントの発見
- 放置アカウント、孤立アカウントの検出
- 古いパスワードのサービスアカウントの発見
ISPM は ID のポスチャー(態勢)を継続的に分析し、構成上の問題を検出する製品です。セキュリティアクセスレビューと組み合わせることで、検出した問題に対するレビューと是正のワークフローをシームレスに構成できます。ISPM の詳細については下記公式ドキュメントをご参照ください。
System Log イベントをトリガーにするパターン
ITP や ISPM を導入していない場合でも、Okta Workflows で System Log の特定イベントを監視し、API 経由でレビューを起動する構成が可能です。トリガー条件として有効なイベントの例を以下に示します。
- 管理者権限の付与や変更
- MFA ファクターのリセットや登録変更
- 大量のアプリ割り当て変更
- 他者によるパスワードリセット
このパターンは追加ライセンスなしで実現できるため、OIG と Okta Workflows の基本構成で始められる点がメリットです。
手動トリガー(インシデント対応)
Admin Console からオンデマンドでレビューを開始するケースも重要です。重大なセキュリティインシデントが発生した場合や、内部通報・監査指摘への対応など、自動化されたフローでは対応しきれない場面では、管理者が状況を判断した上で手動でレビューを起動します。
使い分けの指針
それぞれのトリガー方式と利用シーンの対応を以下の表に整理します。
| シナリオ | 推奨トリガー方式 | 連携製品 |
|---|---|---|
| リスク検知への即時対応 | 自動 (API / Workflows 委任フロー) | ITP |
| ポスチャー問題の検出・是正 | 自動 (Webhook) | ISPM |
| 特定 System Log イベントへの対応 | 自動 (Workflows → API) | Workflows |
| 重大インシデント発生時 | 手動 (Admin Console) | ─ |
| 定期的なアクセス棚卸し | アクセス認定キャンペーンを利用 | OIG |
設定方法
前提条件
セキュリティアクセスレビューを利用するには、Okta Identity Governance (OIG) のライセンスが必要です。また、レビューを開始できるのはスーパー管理者または以下の権限を持つカスタムロールの管理者に限られます。
- セキュリティアクセスレビューを管理 (okta.governance.securityAccessReviews.admin.manage)
- ユーザーとその詳細情報を表示
AI 要約の設定確認
セキュリティアクセスレビューでは、レビュアー向けに AI(大規模言語モデル; LLM)による要約が提供されます。この機能はデフォルトで有効ですが、無効になっている場合はレビューで AI 要約を利用できません。事前に [IDガバナンス] > [設定] 画面の Governance AI タブから、Enable users to generate AI summaries が有効であることを確認してください(下図)。
Admin Console からセキュリティアクセスレビューを開始する
Admin Console から手動でレビューを開始する手順を示します。Okta Admin Console にログインし、左メニューより [IDガバナンス] > [アクセス認定] を開き、Security access reviews タブを選択後、Create review ボタンを押下してください(下図)。
レビューの作成は以下のステップで進めます。
- レビュー名 (Review name) を入力する
- レビュー対象のユーザーを選択する(1ユーザーのみ可)
- レビュアーを割り当てる(複数のレビュアーを指定可能)
- レビューの終了日 (End date) を設定する
- Launch review ボタンを押下しレビューを開始する
レビュアーには複数のユーザーを割り当てることができます。アプリのセキュリティ担当がそれぞれ異なる場合など、対象リソースに応じて適切なレビュアーを配置することで、より精度の高いレビューが期待できます。
レビュアーとしてレビューを実施する
レビューが開始されると、割り当てられたレビュアーにメール通知が送信されます。レビュアーはメール内のリンク、または専用の Okta Security Access Reviews アプリからレビューにアクセスできます。
Okta Security Access Reviews アプリ
メール通知の例
レビューの実施は以下の流れで進めます。
- 必要に応じて、Generate summary ボタンを押下(下図1)して AI 要約を生成し、ユーザーのアクセスに関する全体のリスクレベル概要を把握する
※2026年3月現在、要約は英語のみの提供となります。 - ユーザー詳細を確認する。ユーザーの管理者ロールと最終ログイン情報を把握する
- リソースの優先度を確認する
- 各リソースの詳細を確認する。優先度、アクセス詳細、エンタイトルメント、グループを精査する。Crown Jewel や Privileged などのラベルが付与されたリソースには特に注意する。Generate summary ボタンの押下により、リソース個別のサマリの生成が可能です
- リソースごとにアクセスの取り消しまたは維持を判断する。必要に応じて、Actions ボタンからエンタイトルメント単位やグループ単位での細かな取り消し (Revoke access) を実行する
なお、セキュリティアクセスレビューを管理する権限を持つスーパー管理者またはカスタム管理者であるレビュアーは、セキュリティアクセスレビュータブからすべてのアクティブなレビューを表示し、アクションを実行できます。この権限を持たないレビュアーは、自分に割り当てられたレビューのみ Okta セキュリティアクセスレビューアプリから操作する形になります。
(発展)API を使った自動トリガーの構成例
手動での開始に加え、Okta Workflows で委任フロー (Delegated Flow) を構成することで、セキュリティイベントに応じて API 経由でレビューを自動起動できます。
基本的な流れは以下のとおりです。
- Okta Workflows で委任フローを作成する
- トリガーとなるセキュリティイベント(ITP のリスク検知、System Log の特定イベントなど)をフローの起点に設定する
- フロー内で OIG の Security Access Review API を呼び出し、対象ユーザーのレビューを作成する
- レビュアーの割り当てや終了日は API のパラメータで指定する
詳細な API 仕様と実装手順は、Okta Developer ドキュメントの Launch a security access review ガイドをご参照ください。
まとめ
本記事では、Okta Identity Governance の Security Access Review(セキュリティアクセスレビュー)について、概要から利用ケース、設定方法までをご紹介しました。
セキュリティアクセスレビューは、インシデント対応ワークフローの一環としてユーザーのアクセス異常を調査し、迅速に是正できる機能です。リソースごとの優先順位付けや AI によるサマリにより、レビュアーは限られた時間の中で最もリスクの高い問題にフォーカスできます。
また、Identity Threat Protection (ITP) や Identity Security Posture Management (ISPM) と組み合わせることで、脅威の検知からアクセスレビュー、是正までの一連の流れを自動化できます。定期棚卸し向けのアクセス認定キャンペーンと併用すれば、スケジュールベースの予防的管理とイベントドリブンの事後対応を組み合わせた包括的なアクセス管理が実現します。
セキュリティアクセスレビューの導入により、セキュリティインシデント発生時の対応がより迅速かつ確実になります。OIG をご利用中の方は、ぜひ活用をご検討ください。
Okta についてのお問い合わせ
Okta Identity Governance の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。
