コンテンツまでスキップ

【Oktane23】連邦政府などの官業を取り扱うPublic Sector Breakoutに初めて潜入してみた【Oktaneに行ってみよう】

はじめに


こんにちはこんばんは、ネクストモードのSaaS事業部hagiです!

滞在3日目でカリフォルニアの気候と街にただよう不思議な香りにだんだん馴染んできました。
仲間内で日本語を話して正気を保っていますが、頭の中の言語生成脳はだんだんルー語になっています。

今後行かれる方のために、イベント概要をお知らせしていなかったので書き残しておきます。

Oktaneには数多くのセッションが準備されていて、全容を数えると今年は純粋な登録件数を数えると全部で121セッションあります。
※Partner Summitで地続きのセッションや、セッション外のイベントも別々にカウントされているため一概には言えません

  • Tue, Oct 03 (29)
  • Wed, Oct 04 (40)
  • Thu, Oct 05 (52)

と、言われても、ピンと来ないと思います。カテゴライズすると、下記の並びがあります。
下記からピンとくるものはありますか?

  • Breakout
  • Certification Challenge
  • Evening Events
  • General Conference
  • Keynote
  • Lab
  • Partner Summit
  • Public Sector Breakout

 

Keynoteは大勢の中で「フゥー!」とか言いたい人には楽しいですが(楽しい)、Oktaneのテンションが終始それ、という訳では無いようです。

上のPublic Sector Breakoutがあからさまに太字で気になりましたか?奇遇ですね!私も気になります!早速当日開催分の関連セッションを確認してみましょう。

(機械翻訳)

Securing the nation's supply chains with modern identity and access

米海軍のサプライチェーンを思い浮かべてみよう。すぐに何が思い浮かぶだろうか。海軍の任務に欠かせない近代的な軍艦や兵器システムかもしれない。しかし、これらのミッション・テクノロジーや能力を設計、構築、提供する防衛産業基盤の何千人もの人々はどうでしょうか。その多くは、機密情報の保護がかつてないほど重要な時期に、機密情報にアクセスする必要があります。本セッションでは、国防総省のサプライチェーンにおけるセキュリティ維持の課題と、HIIとManTechが、ゼロトラストの採用を加速し、CMMCコンプライアンスを維持し、外部攻撃面を硬化させるために、特にIAMを中心としたサイバー・ベストプラクティスをどのように近代化しているかを探ります。

Ron Davis: Chief Information Security Officer, Huntington Ingalls Industries (HII)
Mike Uster: Chief Information Officer & Chief Technology Officer, ManTech

Air Force: Modern Identity for modern manpower

米空軍の使命は、飛んで、戦って、勝つこと: いつでも、どこでも、航空戦力。任務の成功には、従事するすべての人が重要な役割を果たしています。空軍の人材派遣機関であるAF/A1がどのようにサイバー態勢を強化し、最新のアイデンティティを通じて空軍兵士、その家族、退役軍人、新兵のデジタル体験を向上させているかをご覧ください。

Rebecca Nielsen: Specialist Leader, Deloitte
Jason Howe: CIO & Deputy Director, Plans & Integration, U.S. Air Force A1

Double vision: Look deep inside the Login.gov+Okta partnership

政府におけるモダン・アイデンティティのビジョンは?つのIDプロバイダーがあると思いますか?もしそうでないなら、そうすべきかもしれない。全米の政府機関では、公共向けのオンラインサービスを劇的に改善しています。Login.govとOktaは共に、モダンアイデンティティの未来を今、提供しています。Login.govとOktaの連携により、最新のアイデンティティ保証、強力な認証、簡素化された登録などの組み合わせが、政府機関が優れたオンライン体験を提供し、アメリカ国民の信頼を回復するためにどのように役立っているかをご覧ください。

Brandon Iske: Principal Solutions Architect, Okta
Chanan Delivuk: Partner Success Lead, GSA/TTS/Login.gov
Rob Sherry: Area Sales Director - Federal Financials, Okta

規模が凄そうということ以外、文面から全く内容が理解できないので参加してみました。
※参加者は欧米の方ばかりでよそ者が聞いてはいけない気がしたのでなんとなく気配を消して参加しました。(明確に私の思い込みです)

 

セッション


先程の3つすべてに参加していますが、内容がアレだったため事情により「Securing the nation's supply chains with modern identity and access」をレポートします。

  • 資料
    • 全セッションなし
  • 概要

上記トップページが早速物騒ですが、CISOから軍事機密ではなくサプライチェーンの安全確保のお話を書き起こしていきます。

 

序章


  • Ron Davisの経歴
    • 17年間製造業
    • 14000人以上の従業員を管理
  • HIIは防衛請負業者
    • 空母や戦艦を主に製造
    • 付随するあらゆるタイプの兵器も製造
  • 私たちが求めているのは、インフラとアーキテクチャとアプリケーションの調和
  • Oktaと一緒に旅を始めた時、最初に取り組んだのはMFAだった
    • MFAの意味や重要性を理事会で説いた
  • サプライヤーが4000社いて契約を取り交わしている

 

事件


  • 一度、実際に侵害された事件があった
    • アクターはポータルを乗っ取り他のサプライヤーのネットワークに横移動してHIIへつながる経路を探そうとした
    • ポータルに侵入した行為者を検知することができたので、それをシャットダウンし、すべてを一掃することができた
  • IDを適切に活用することで、そのようなことを防ぐことができる
  • 所感では、当時はIDの活用があまり強力でなかったためにアクターがポータルに侵入できたと思う
  • サプライチェーンから狙われる

 

対応


  • ドメインコントローラーが実装されているアーキテクチャの場合、重要なアイデンティティが漏洩した場合、ルート権限を与えたのと同等の脅威になる
    • 論理境界を作って横移動を防ぐアプローチが必要
  • スロー・アンド・ステディ・イズ・ザ・グレード(急がば回れ)戦略
    • 動きが遅いのは、組織が大きいから
  • 徐々にLCMを入れて異なるアカウントへのプロビジョニングを導入した
  • IDディレクトリ構造を見直し、単一のユニバーサルアカウントに統合した

 

その先へ


  • ゼロ・トラストといえば、2019年当時はデータに関するものだったが、データの部分に目を向けると、データとアイデンティティを保護するようなモデルになっている
  • 我々はアイデンティティを多次元的なファイアウォールとして捉えている。そしてユーザーの状況を随時可視化できるようにする
  • リスクの責任範囲を人的なものから移したい。そしてインシデントが起きてもIDは大丈夫だと言いたい
  • 従業員の体験に記憶させるのはいいことだよ
    • 労働力のためのデジタル摩擦を減らす
    • 同時に、デバイスのポスチャーを評価し、それを実際に統合して強度を向上させる
  • クローム・ブラウザのエクスペリエンスを提供し、リモート・ブラウザの分離を入れている

 

質疑


  • 疑わしいユーザーや悪意のあるユーザーを特定した場合の典型的なワークアラウンドはありますか?
    • そのセッションを無効にして、強制的にログアウトさせる
  • 管理者は組織セキュリティの基準を守ってくれるという、ある程度の信頼を上層に与えなければなりません。そのためのプロセスは?毎年、その基準を見直すプロセスがあるわけですが、そのプロセスはどうなっていますか?
    • 実際に活用し、フィードバックを受けて改善することを繰り返す。エンドポイント、マルウェアの検出など、セキュリティ機能がしっかりしているかどうかなど。
  • アイデンティティ戦略みたいなものはあるんですか?中小企業、サプライヤー、大企業のサプライヤー、派遣社員に対して、どのようなアプローチをとるのか。ビジネス・レベルでどのように集まり、どのような決定を下すのですか?
    • 初期構想では種類別にポリシーを分けました。つまり、ペルソナを分ける。そして、従業員をマトリクスにかけます。
      • このペルソナは、内部または外部で働く労働者のタイプそれぞれ12種類のペルソナがあります。その12種類のペルソナのグループに基づいてアクセスをプロビジョニングした。
    • これがうまくいかなかったため、属性ベースのアクセスコントロールを採用した。
  • LCMの運用はセンターコントロールしているのか、委任していますか?
    • 人事がソースとなった一体のシステムであり、そこからコントロールする。そうすればITチームも迷うことがなくなる。
      • ビジネスはコラボレーションである。HRチームだけでなく、彼らもカクテルする。

 

おわりに


脅威検知時の"そのセッションを無効にして、強制的にログアウトさせる"あたりは今回のアップデート「Identity Threat Protection」「Universal Logout」で自動化が見込めそうですね!(まるで事前に知っていたかのような伏線)

 

余談ですが、公共セクションの方々はPCをお持ちでない方がほとんどでした。(目立たないようにするはずだったのにPC目立った)

今度のセッションはもっと擬態できるよう頑張ります。