【Oktane25】セッションレポート：Oktaを活用したJust-in-Timeな特権アクセス管理の実現

従来のアクセス管理の課題

かつてのアクセス管理は、ユーザーがオフィスにいることが前提の物理的なセキュリティモデルでした。
しかし、クラウドコンピューティングの普及とリモートワークへの移行により、企業は分散した環境に迅速に適応する必要に迫られました。

この変化の中で、特に問題となったのがエンドポイント（PC）におけるローカル管理者権限です。
開発者ツールや特定のアプリケーションのインストール、さらにはタイムゾーンの変更といった日常的なタスクにさえ管理者権限が必要となる場合があります。

しかし、この恒久的な管理者権限は、一度侵害されると攻撃者に永続的な足場を与えてしまう重大なセキュリティリスクを抱えています。
実際に、サイバー攻撃の約82%が特権アクセスに関連しており、FBIがローカル管理者権限の無効化を勧告する事態にまで発展しているそうです。

かといって、IT部門が単純に全ユーザーから管理者権限を剥奪すれば、今度は「タイムゾーンが変更できない」といった些細な問い合わせが殺到し、業務効率の低下とIT部門の負担増大を招いてしまいます。

エージェントレスなJust-in-Timeアクセスの実現

この課題を解決するため、BOX社が取り入れたソリューションが「Just-in-Time（JIT）アクセス」のフレームワークです。
必要な時に、必要な時間だけ、必要な権限を付与するという考え方です。

重要なのは、この仕組みを「新たなエージェントを導入せずに」実現した点です。
多くの企業では、すでにセキュリティスタックに10〜15ものツールが導入されており、これ以上のエージェント追加は管理の複雑化やツール間の非互換性の問題を引き起こしかねません。

そこで、既存のOkta、MDM（Jamf Proに類似したKanjiというツール）、そしてJIRA（チケットシステム）を組み合わせることで、この課題を解決しました。

ソリューションのアーキテクチャ

ユーザーがJITアクセスを取得するまでの流れは以下のようになります。

1. アクセス申請: ユーザーはOktaのダッシュボードからアクセス権限をリクエストします。

2. 承認プロセス:

   • 短期間（1時間、1日）: 申請は自動的に承認されます。

   • 長期間（1週間）: マネージャーの承認が必要となります。

3. 権限付与: 承認されると、Okta Workflowsがトリガーされ、ユーザーを特定のOktaグループに追加します。

4. MDM連携: MDMツールがOktaグループの変更を検知し、対象ユーザーのエンドポイントに管理者権限を付与します。

5. チケット起票: 同時に、監査証跡としてJIRAにチケットが自動で作成・更新されます。

6. 権限剥奪: 指定した期間が終了すると、WorkflowsがユーザーをOktaグループから自動的に削除し、MDMを通じて管理者権限が剥奪され、一般ユーザーに戻ります。

この一連のプロセスはすべて自動化されており、ユーザーはシームレスに必要な権限を得て、IT部門は手動での対応から解放されます。

Okta Workflowsによる自動化

この仕組みの心臓部となるのがOkta Workflowsです。セッションでは、具体的なフローが紹介されました。

• トリガー: ユーザーによるアクセスリクエストがトリガーとなります。

• 条件分岐: 申請期間（1時間、1日、1週間）に応じて処理を分岐させます。

  

• 承認フロー: 1週間の申請の場合は、マネージャーの承認を求める委任フローを呼び出します。

• API連携: Oktaグループへのユーザー追加・削除、JIRAへのチケット作成・更新、Slackへの通知などをAPI経由で実行します。

• 待機: 「Wait For」機能を使い、指定された時間（1時間、1日、1週間）が経過するまで待機します。

これらのカードを組み合わせることで、複雑なプロビジョニングプロセスをノーコードで実現しています。

エンドユーザー体験

エンドユーザーにとって、このプロセスは非常にシンプルです。

1. Oktaダッシュボードの「Request access」ボタンをクリックします。

   

2. 対象のアプリケーション（MacBook Local Admin Request）を選択します。

   

3. 希望する期間（1時間、1日、1週間）と申請理由を入力し、「Submit」をクリックします。

   
   

4. 承認されると（1時間/1日の場合は即時）、Slackで通知が届き、管理者権限が利用可能になります。

   

指定時間が経過すると、権限はユーザーの操作なしに自動で元に戻るため、特別な操作は一切不要です。
わずか4ステップで、セルフサービスで安全に必要な権限を手に入れることができます。

導入のメリットと今後の展望

このJITアクセス管理の導入により、以下のような大きなメリットが得られました。

• ユーザー体験の向上: セルフサービスモデルにより、ユーザーはIT部門を介さずに必要な権限を迅速に取得でき、業務の停滞や摩擦を防ぎます。
• セキュリティ態勢の強化: Just-in-Timeでの権限付与により、恒久的な特権アクセスを排除し、攻撃対象領域（アタックサーフェス）を大幅に削減しました。

• 段階的な展開による将来計画の基盤構築: まず非開発者ユーザーに展開することで、将来的に開発チームへ大規模にサポートを拡大するための強固な基盤を築きました。

• IT部門の負荷軽減と監査対応: 手動での権限付与・剥奪作業から解放され、すべての申請・承認履歴がJIRAに自動記録されるため、監査にも容易に対応できます。

さらに、収集された申請理由のデータを分析することで、次のステップに進んでいます。
例えば、「特定のアプリケーションをアップデートしたい」という申請が多い場合、そのパッチ適用を自動化する仕組みを別途提供することで、そもそもユーザーが管理者権限を必要とする場面自体を減らす取り組みを進めているとのことです。

おわりに

このセッションは、ゼロトラストの原則である「最小権限の原則」を、PCという非常に身近な領域で、いかにユーザーの利便性を損なわずに実現するかという具体的な答えを示してくれる素晴らしい内容でした。

OIGのAccess RequestsとOkta Workflowsが強力に機能し、既存のIT資産を連携させて高度な自動化を実現できることを改めて実感しました。
普段ブログに記載しているOIGの実際の活用例を聞くことができ、弊社内も負けずに使いこなしていきたいです！