【Oktane22】Workforce Identity Cloud Product Roadmap

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

サンフランシスコで開催されたOktaのイベント、Oktane22（2022/11/8~2022/11/10）に参加しました

今回は最終日の３日目に開催された「Workforce Identity Cloud Product Roadmap」についてお届けします

非常にボリュームが多いRoadmapでしたので、個人的に注目すべきポイントをピックアップしてみました
セッションの動画はこちらから視聴可能ですので、全体が気になる方はチェックしてみてください

境界のない世界に向けて（boundaryless world）

プロダクトマネジメントディレクターのJack Hirschにより始まったプレゼンですが、早速「boundaryless world」というキーワードが登場し、その世界の実現に向け来年以降も投資を行なっていくとのことです

Identity全体をカバーし、そのセキュリティを強化する「Workforce Identity Cloud」の領域は以下の通りになります

この後それぞれのロードマップが発表されますが、主要なトピックをピックアップしていきます

Identity Management

Identity Managementで注目すべきポイントは、IAM(Identity and Access Management)に加え、IGA(Identity Governance and Administration)とPAM(Privileged Access Manager)の機能が拡張されることではないでしょうか

その模様は前日のWorkforce Identity Cloudの基調講演からもみて取れます

まずはじめにガートナーの調査によると、2025年には70%のアクセス管理、ガバナンス、特権管理がシングルプラットフォームで提供されるとの見通しとID管理の全体像を伝えています

現状では、IdentityについてID管理やガバナンス等がサイロ化されたシステムで構成されており、その結果セキュリティリスクや従業員のフラストレーションにつながっていることが問題視されています

IAMの全体像として、IdM（IDマネジメント）、 IGA（ガバナンス）、 PAM（特権アクセス）の3つ境界が重なりつつあり、1つのプラットフォームで提供されつつあるとのこと
その結果、冒頭にもあった2025年にIDマネジメント全体の70%がシングルプラットフォームで提供されている未来に繋がっています
そうした未来実現に向け、もちろんOktaは業界のリーダーとして対応していきます！

IGA(Identity Governance and Administration)

続いてはガバナンスの肝となるIGAのロードマップについてです

世の中のIGAの実装のうち50%は失敗しており、その理由としては重要とは認識しつつもID管理は複雑で難しいからだと述べています
Oktaは、この複雑さや難しさを今後のアップデートで対応していき、IGA導入成功を顧客に提供していくとのことです

そんな気になるIGAのロードマップですが、Access request、Access Certificate、Entitlement lifecycleの3つに分けて2023年度にリリースしていくとのことです

3つ目のエンタイトルメント管理とは、各アプリケーションに対してアクセス要求や割り当て削除などを、効率的かつ適切に権限を管理する機能となります

新機能のリリース予定は以下の通りです

• ロールやライセンスを細かく管理できるようになる（2023年Q2ベータ提供）
  • 例：ポリシーにより自動的にadmin権限を与えたりする
• Access requestをWorkflowsと連携可能 （2023年Q1EA）

PAM(Privileged Access Manager)

IGAの次は、もう一つの目玉であるPAMです
PAMとは特権アクセス管理とも呼ばれ、システムの設定変更が可能となるadmin権限のような特権アクセスを管理する機能となります

最小権限のアクセス管理設定、可視化とコンプライアンス制御、強力な保護といった3つのステップを、今年度末から提供が開始されていくとのことでした（案外さらっとでした・・）

Access Management

続けてJackが戻ってきてアクセスマネジメントのロードマップについて語っていきます

82%のアプリ攻撃はログイン情報の漏洩が原因であり、パスワードのみの設定では不十分となります
Oktaはパスワードレス実現に向け、Okta FastPassを提供してきましたが、そのアップデートとなります

Okta FastPassのフィッシング対策強化に向け、Advanced phishingの機能を提供予定です
実はEA済で、GAは2023Q1です
アドバンスドフィッシングレジスタンスは、正しいサーバーからのリクエストかを見極める等、複数の条件によりフィッシングの判定を行うとのことです

続けての機能は、未管理デバイスのセキュリティチェック強化になります
デバイスの状態をチェックし、例えばOSのバージョンが古かったらアクセス拒否させる等の動作を実装可能です
こちらの機能はすでにリリース済みですので、別途ブログでご紹介できたらと思います

次はDesktop MFAの機能です
デスクトップにログインする際にOkta VerifyをMFAとして使うことが可能となります
初期実装ではスクリーンロック解除時にOktaと連携が可能となり、次フェーズにてOSログイン時にもMFAとしてOktaが利用できるようになるとのことです

続いて、Okta Identity Engine（OIE）についてのアップデートの発表がありました
OIEはすでに4,000ユーザー以上に使われているプラットフォームで、アプリレベルでポリシーを設定でき、Okta FastPassができるOktaの新しいプラットフォームです

新規ユーザーはOIEプラットフォーム上でテナントが作られていますが、以前より利用していたユーザーはClassic engineを利用しています
今回、現在Classic engineを使っているユーザーがセルフサービスでOIEにアップグレード可能となるSelf-service OIE upgradesが発表されました (H1 2023)
弊社でも本番環境はClassic engineを使っているのでセルフサービスがGAとなったらすぐに試してみようと思います

環境をよりセキュアに使えるように7つの新しいインタラクティブなレポートである、Actionable security reportsを2023年に使用できるようになるとのことでした

セキュリティレポート機能の充実と合わせて、リアルタイムイベントをSIEMやSOERに流し込むことができるLog Streamingのリリースが発表されました (GA Q1 2023)
2023年のQ1にはまずSplunk、AWS EventbridgeにLogを流すことができるようになり、API上限なく、ハイスループットで流すことができるそうです
来年には更にログのストリーミング先の選択肢を増やすことを予定しているとのことでした

the Okta platform

最後にSenior Director Product ManagementのDavid Shackelfordが登場し、Okta platform全体についてのRoadmapを紹介しました

Okta platformについてはIntegrations（連携）、Extensibility（拡張性）、Global Scale（規模）の３つの観点で紹介されました

私が特に注目したのはすでに利用可能となっているAWS CLI SSOの機能です
もともとOkta経由でのAWS CLI SSOはサードパーティ製のツールでしか出来ませんでしたがOkta純正ツールが登場しました
https://github.com/okta/okta-aws-cli

参考：今までのAWS CLI SSO

最後に日本におけるOktaの展開についての紹介がありました
日本リージョンは2022年3月に稼働開始し、日本企業への対応も手厚くなってきた印象です

そして、ついに待ちに待った管理画面の日本語対応のEAの発表です（EA H1 2023年）
今までユーザーダッシュボードは日本語化されてましたが、管理画面は英語のままでした
日本語が一番最初にローカライズの対象となっているのも日本市場の注目の高さが伺えますね

管理画面だけでなく、主要なOINアプリの日本語化も進めているそうです

さいごに

今後のロードマップの印象としてはIAMだけでなく、IGAとPAMの領域にも広げてIdentityを包含したソリューションに成長させていきつつ、これまでのベスト・オブブリードとしてのスタンスは変わらずインテグレーションを深めていくという印象でした

また、全体的にセキュリティに関するアップデートも多く、これからのゼロトラストにより合わせたサービスへの進化を期待させられました

冒頭にもお伝えしましたが、全てを書くと収まり切らないのでもっと深く知りたい方はお問い合わせいただくか、録画をご覧ください