ROUTE06 で Okta を導入しました

こんにちは。情シスの @kaze3desu です。
このたびROUTE06では、ゼロトラストセキュリティを実現するために、IdPとしてOktaを導入しました。
Oktaの導入を検討している方向けに、ポイントをまとめようと思います。

Oktaとは

Oktaは、クラウドベースのアイデンティティプロバイダー(IdP)で、企業や組織がアイデンティティとアクセス管理を行うためのプラットフォームです。
その高い機能性、セキュリティ、そして世界中の企業に利用されている実績から、Oktaはアイデンティティとアクセス管理の分野でグローバルスタンダードとして認識されています。

なぜOktaを選んだのか?

以下の理由で、当社にとってOktaが最適であると判断しました。

  • 創業時からフルリモートワーク前提の会社である
  • 取引先は大企業中心で高いセキュリティレベルが求められる
  • 将来的な負債になる恐れのある製品は選定せず、グローバル標準(デファクトスタンダード)を選定する
  • クラウドサービスであること(社内にローカルサーバーを持たない)
  • デバイス構成が Mac 100% と iPhone 100% で、それらを Jamf Pro と Jamf Protect で管理している

Oktaの導入効果

Oktaを導入した事で、以下のような効果がありました。

1. シングルサインオン(SSO)により、連携しているサービスの認証情報を管理する必要がなくなり、セキュアな環境を実現

Oktaと連携しているサービスは、Oktaにサインイン済みであれば、連携先サービスにもSSOでサインインが可能です。
これにより、ユーザーはパスワード管理の負担が軽減され、ログインにかかる時間も短縮されます。
管理面では、パスワードの使い回しや簡単なパスワードの設定を防ぐことができ、全体的なセキュリティが向上します。さらに、システム全体の認証管理が簡素化されることで、管理コストやサポート負担も軽減されます。加えて、ユーザーのログイン活動がOktaに記録されるため、監査やトラブルシューティングが容易になります。

また、いくつかのSaaSではプライベート環境と仕事環境の切り分けが可能になり、労務管理とセキュリティの観点での問題が解決されました。

👉 あわせて読みたい: ROUTE06 で Okta と GitHub Enterprise Cloud を SAML連携 させた方法

2. ユーザープロビジョニングにより、連携先サービスのアカウントの発行・停止が自動化される

Oktaアカウントのステータスと連動して、連携先サービスのアカウントを有効化・無効化することができます。
これにより、ユーザーはアカウントを受け取ってすぐに必要なサービスへアクセスできるようになります。具体的には、入社時に複数のサービスの初期パスワードを渡され、各サービスへサインインしてパスワードを設定する必要がなくなります。 管理面では、アカウントの発行・削除が自動化され、手作業による管理の手間を大幅に削減できます。

3. 高度なアカウントセキュリティを実現

Oktaでは、アダプティブMFAやセキュリティポリシーの設定を組み合わせることで、たとえパスワードが漏洩しても不正アクセスを防ぐ仕組みを構築することが可能です。
これにより、不正アクセス元のIPアドレスやデバイスが普段利用している認証済みデバイスと異なる場合、追加の本人確認を実施したり、アクセスをブロックすることができます。
逆に、認証済みの環境からのアクセスであれば、認証の回数を減らして利便性を向上させることも可能です。
これにより、セキュリティと利便性のバランスを適切に保つことができます。

4. ゼロトラストセキュリティモデルを構築するための認証基盤となる

デバイストラストやゼロトラストネットワークアクセスを実現する上で、各種認証にOktaを利用します。
Oktaを導入したことで、ゼロトラストセキュリティの構築に必要な要素を補完することができました。

Oktaの理想と現実

かつての私にとって、「ゼロトラスト」や「Okta」は輝かしい憧れのワードでした。
実際にOktaを導入してみてわかったのは、Oktaの導入はゼロトラストを実現するための一歩に過ぎないということです。
正直なところ、Oktaを導入するだけで社内環境が劇的に良くなると信じていたのも事実です。

Oktaと各サービスの連携状況

現実的な問題として、業務で利用するサービスが全てOktaと連携できるわけではありません。
以下が、2024年9月時点の連携状況です。

  • SAML連携(SCIM含む)しているSaaS: 19個
  • OIDC連携しているSaaS: 2個
  • Oktaと連携していない・できないSaaS: 24個

Oktaについて社内アンケートを実施した結果

ROUTE06では、元々パスワード管理ツールである1Passwordの利用が徹底されており、一定のセキュリティと利便性が確保されていました。
Oktaと1Passwordを連携させた結果、1日に1回Oktaへのサインインと1Passwordのロック解除にOktaの認証が必要という仕様になりました。

その後、Oktaの導入効果を測るための社内アンケートでは、

5割のユーザーがOkta導入前後でログイン作業にかかる時間に変化がない、3割のユーザーが悪化したと回答しました。

しかし別の質問では、7割のユーザーがOktaの導入によりセキュリティに対する不安が減少したと回答してくれたのは救いです。

1Passwordはパスワード管理ツールという性質上、特にセキュリティに配慮しなければならないSaaSです。
Oktaと連携したことで、アカウントの管理が自動化され、複雑な認証情報(ユーザ名・パスワード・シークレットキー・MFA)とそれに伴うトラブルはなくなりましたが、ユーザー目線では若干不便になってしまったようです。

セキュリティと利便性は相反するものですが、ユーザー体験を大切にしながら、セキュリティも担保された「ちょうどいい」バランスを探していきたいと思っています。

ROUTE06のゼロトラストセキュリティモデルについて

2024年8月に開催された、Jamf Nation Live Tokyo 2024 にて、ゲストスピーカーとして登壇しました。
その中で、OktaとJamf製品で実現した当社のゼロトラストセキュリティモデルについて発表しています。
下記URLより、登壇資料のPDFがダウンロード可能です。

最後に

ROUTE06では、今後もフルリモートワークと相性の良い、ゼロトラストセキュリティモデルの実現に向けた歩みを進めていきます。
この記事が皆さんにとって、何かしらの参考になれば幸いです。