概要
エクサフォースはOktaに接続し、すべての検出および調査にアイデンティティコンテキストを付加します。プラットフォームはOktaのサインインアクティビティ、ポリシー判定、デバイスコンテキスト、ポスチャシグナルを取り込み、これらのデータをアプリケーション、クラウド、エンドポイントのアクティビティと相関します。これにより、「誰が・どこから・どの信頼レベルで・何を行ったか」を単一の画面で把握できます。
仕組み
エクサフォースのアプリケーションはAPIサービスインテグレーションとして提供されます。OAuth 2.0認可を使用してOkta APIに接続し、監査イベントログ、アプリケーション、セッション、設定ポリシーへ安全にアクセスします。
接続後、エクサフォースはこれらのデータを継続的に取り込み、企業全体にわたる豊富なアイデンティティコンテキストを構築します。プラットフォームはOktaのユーザーおよびグループ情報を、クラウドサービス、業務アプリケーション、エンドポイントなど他のツールのアクティビティと相関し、ユーザー行動をエンドツーエンドで追跡できるようにします。
また、エクサフォースの分析はOktaのテレメトリとThreat Insightsを組み合わせ、ノイズを抑えつつ高精度な検出を実現します。サインイン、認証要素チャレンジ、ポリシー判定、実行されたアクションの全履歴をタイムラインとして可視化し、ガイド付きの詳細な調査を可能にします。
コア機能
エクサフォースは、Oktaをエンタープライズのアイデンティティグラフの中核として活用します。Okta上のユーザーを他システムのアカウントに紐付け、デバイスおよびネットワークコンテキストと相関し、雇用ステータスやチーム所属といったビジネスメタデータを付加します。
プラットフォームは、不審なセッション生成、認証要素の不正利用、リスクの高い新規デバイス、急激な権限変更などを検出します。Okta Threat Insightsは、既知の不正IPアドレスや自動化パターンに関する最新シグナルで各検出結果を補強します。
アナリストは調査画面を離れることなく、アイデンティティ、アプリケーション、ネットワークの各ビューを横断して分析できます。
検出された攻撃の例
エクサフォースは、パスワード認証を通過したものの多要素認証で阻止された不正アクターを継続的に監視・検出します。急速なプッシュ通知、繰り返しの拒否操作、不一致なデバイス挙動を追跡することで、MFA疲労攻撃を特定します。
さらに、多数のログイン失敗を発生させるノイズの多いIPアドレスを相関分析することで、パスワードスプレー攻撃を検出し、該当ソースからの試行を自動的に抑制します。
これらの挙動が検出されると、対象のアイデンティティ、影響を受けるアプリケーション、関連する地理情報と紐付けた上で、適切な対応を推奨します。
対応アクション
セキュリティチームは、侵害が疑われる場合にユーザーまたはグループの多要素認証をリセットできます。パスワードのリセットやセッションの無効化により、アカウント乗っ取りを封じ込めることが可能です。
また、スプレー攻撃や自動化による不正利用に使用されるIPアドレスや範囲をブロックできます。オプションのレスポンス権限により、承認プロセスを伴うアクション実行が可能となり、統制と監査性を確保しながら迅速な対応を実現します。
継続的なポスチャとリスク評価
エクサフォースは、Oktaの設定および利用状況を継続的に評価し、潜在的なリスクや設定不備をインシデント化する前に特定します。
これには、管理者権限、多要素認証の強度、グループ整合性、APIトークン管理、ネットワーク露出などの評価が含まれます。これらの継続的なポスチャチェックにより、特権アカウントの弱いMFA設定や期限切れのAPIトークンなどが可視化されます。
これにより、セキュリティチームはOkta環境をプロアクティブに強化し、企業全体で強固なアイデンティティセキュリティを維持できます。
メリット
アイデンティティコンテキストにより、アラート理解までの時間を短縮し、誤検知を削減します。ツール間の相関により、ユーザー行動とリスクの全体像を把握できます。自動化により、検出から封じ込めまでの時間を短縮します。継続的なポスチャ評価により、ポリシーをベストプラクティスに整合させ、リスクを低減します。
