コンテンツまでスキップ

【Oktane24】Revolutionizing provisioning: Identity automation for nonstandard apps with Cerby

Picture of hagi

こんにちは、 ネクストモード株式会社hagiです。

Okta社が主催する米国の年次イベント「Oktane」が今年も一瞬で通り過ぎて行きました。もう、あっという間に。

そして、今年も1日24時間という、特有の時間制限に収まらなかった記事をチョコチョコとアップしていきたいと思います。

もう意味ない?そんなことないです!得られた体験を大事にしたいので、心を込めて書き留めていくのです!(自問)

 

Description

Discover how Cerby enabled ClickUp to streamline lifecycle management and strengthen security for apps lacking APIs or SCIM support. By integrating Okta with Cerby, ClickUp extended identity-powered security across every app, from legacy to modern SaaS. You’ll learn practical strategies from ClickUp’s journey, including how identity automation led to significant cost savings, reduced manual effort, all while eliminating audit findings and enhancing overall security.
Matthew Chiodi: Chief Trust Officer
Alex Raducanu: Sr. Systems Engineer

 

こちらはスポンサー企業であるCerby社のセッションです。

Cerbyは、2023年のOktaneもスポンサードしていた企業で、去年はEmergingランクのスポンサーでしたが、今年は一気にGoldにグレードアップしています。
今でも気になっている企業の一つです。
Goldスポンサーは、他にもそうそうたる企業が並んでいます。
スポンサーレベルのパワーバランスを説明するのは野暮なので公式を確認してください。

 

過去を遡るとMicrosoft for Startupsに関わった経緯もあるようで、方方と仲良いみたいです。
製品の詳細は後述します。

初見の方は、Cerbyの名前のルーツであるケルベロスのかわいいロゴだけでも覚えて帰ってください。
また、本編には人為的なミスにより多数の後頭部が映されることがありますが、臨場感を共有したいのであえて現場の写真を載せます。クリアな映像はセッションオンデマンドからご確認いただけます。

Cerby – Apps on Google Play

 

本編

  • ベライゾンの最新データ漏えい報告書によると、漏洩の68%が人的要因によるもので、Cerbyはその人為的要素を劇的に減らす方法である
  • Oktaは素晴らしい製品です。(もしそうでなければ我々はここにいないよ)
  • ただし アプリケーションがその接続基準を満たしていれば。
    • MFAに対応したアプリケーションであれば、それだけで情報漏洩の99%を防ぐことができる
    • OktaでFastPassなどを使ってパスワードレス・シングルサインオンが実現できる
    • ただし未だにアプリケーションへの普及率が低いことが課題(SAMLは2002年11月に登場してから22年も経過している)


  •  上位10,000のエンタープライズ向けアプリケーションを調べたところ、
    • 47のアプリケーションが二要素認証をネイティブにサポートしていない
    • 54%のアプリケーションがSAML/OIDCをサポートしていない
    • 86%のアプリケーションが基本的なロールベースのアクセス制御しかサポートしていない
    • 93%のアプリケーションがSCIMをサポートしていない
    • 94%のアプリケーションがセキュリティに特化したAPIを提供していない
  • これらのセキュリティから分断されたアプリケーションたちが、人的要因によるセキュリティ侵害リスクを高めている(情シスは悪くない!)

 

  • アイデンティティのラストワンマイルについて
  • アプリ愛好家のユーザーを示す典型的な例として一つ、"目新しい"アプリケーションの導入ケースを考えてみる
    • 私たちはこれをシャドーITと呼んでいます
    • 多くのCIOやCISOと話した結果、多くが通常のビジネスラインから分離して独自に導入することを決める。
    • そのため、一般的に多くの野良アプリがOktaから切り離された状態で蔓延することとなる
    • そして自由を得た従業員は、共有アカウントを設定し始めて、他のユーザーにも渡してしまう
    • MFAやパスキーは煩わしいか対応していない
    • IGAプラットフォームに載っていないため経緯も辿れない

 

  • (大事なことなので)侵害の68%は人為的なもの

 

  • ここでClickUp社のターン(カッコイイブレザー)
    • (絶対いい人)

 

  • 組織が成熟していった過程で、ユーザーライフサイクルの課題で疲弊した
  • 生産性コンサルタントとして有名なデビッド・アレンの言葉を引用。彼は「Getting Things Done」という本を書いていて、その中でこう言っている
    • 「反復的なタスクを自動化しなさい」
  • ただし多くのアプリケーションがプロビジョニングに対応していない
  • 100人以上の従業員が使用しているSaaSがいくつもあるが、SCIMはサポートしていないし、APIもサポートしていない
  • 金曜日の深夜に重役の緊急解雇の連絡を受けて手動ででプロビジョニングをしなければならなくなった人はどれくらいいるだろうか(部屋にいる過半数の情シスが挙手)

 

  • 3つの重要な領域
  • 「オフハンド」と呼ばれる、フェデレートされていないアプリケーションに対するポスチャ管理タスク
  • セッションのタイムアウトが効かないようなアプリケーションの場合、それを即座にターミネートする必要がある
  • Universal LogoutパートナーであるCerbyは、これらのアプリケーションに対してセッション切断が可能
  • CerbyはSCIMをサポートしていなくても、API提供がなくても、あらゆる対応アプリケーションのライフサイクル管理を完全に行うことができる
  • つまりOktaですべての管理を一元化し、Cerbyがその橋渡しとなる

 

  • 認証に関しても、CerbyはOktaのようなエクスペリエンスを提供している
  • ユーザー名とパスワードベースのアプリケーションであれば、ポリシーと複雑さに応じて認証情報を自動的にローテーションし、強力なMFAを自動的に設定することができる
  • どうやるのか?
    • エージェント型AIを使って、アプリケーションカタログにまだ存在しない新しいアプリケーションを学習させる
    • 第二のステップとして、自動ドリフト検知機能によって、問題があった場合にAIモデルが自動的にそれを検知し、修正する
      • 人間によるサポートも少し必要で、モデルに情報を与え、再学習させる
  • (デモ)
    • Oktaによく似たUI
  • 既に1000を超えるアプリケーションが対応している
  • 毎週のように新しいアプリが対応している
  • まだ見たことがないアプリケーションもエージェント型AIを使うことで対応可能

 

おわりに

どうでしょう。内容はともかく、マットさんの流れるようなイケボがすごく気持ちよかった印象です。適度に笑いもかっさらっていました。(安心してください。ちゃんと英語圏の言語もネイティブに聞き取れています。今年もツールを使っているからな)

Oktane最終日だったのですが、この後ブースに急いで寄ってApple Business Managerにログインするデモを見せていただいた結果、IDaaSをRPAの腕力でねじ伏せる感じというか、MFA要素がいくつかリストされていてもその中の一つを選んで先に進み、SMS認証もなぜか受け取れていて、人間が触っているかのようにログイン完了できていました。

企業のID管理で悩ましい問題「うちの契約プラン、SAML対応してない」を救う救世主であることは間違いないです。

 
, ,