ハッカーLapsus$はOkta侵入前にSitelのパスワード一覧にアクセスしていた

TechCrunchが確認したまだ報じられていないコンピューター侵入の新たな詳細をつづっている文書によると、Lapsus$のハッカーは2022年1月に顧客サービス大手Sitel(サイテル)のネットワークに侵入し、その数日後に認証大手Okta(オクタ)の内部システムにアクセスするのに漏洩した認証情報を使用した。

ハッカー集団Lapsus$が約2カ月前にOktaの内部アプリとシステムにアクセスしていたことを明らかにするスクリーンショットを公開し、顧客は3月22日にOktaの1月のセキュリティ侵害を知った。Oktaはブログ投稿で侵害を認め、その後、同社の法人顧客のうち366社、つまり顧客ベースの約2.5%が侵害の影響を受けていることを認めた。

今回の文書は、Sitelの侵害に関するこれまでで最も詳細な説明で、これによりハッカーは後にOktaのネットワークにアクセスすることができた。

Oktaは、シングルサインオンプロバイダーとして、世界中の数千の組織や政府機関に利用されており、従業員はメールアカウントやアプリケーション、データベースなど、企業の内部システムに安全にアクセスできるようになっている。

独立系セキュリティ研究者のBill Demirkapi(ビル・デマーカピ)氏が入手し、TechCrunchと共有した文書には、ハッカーが最初にSitelのネットワークに侵入してから1週間以上経った1月25日に送られたSitelの顧客とのやり取りや、インシデント対応企業Mandiant(マンディアント)がまとめた3月17日付のSitel侵入に関する詳しいタイムライン(Oktaと共有されたもの)などが含まれている。

文書によると、Sitelは2021年に買収したOktaの顧客サービス会社Sykesが所有する古いネットワーク上のVPNゲートウェイでセキュリティインシデントを発見したという。VPN(仮想プライベートネットワーク)は、企業のネットワークにリモートアクセスするために悪用される可能性があるため、しばしば攻撃者のターゲットとなる。

タイムラインには、攻撃者がリモートアクセスサービスと一般公開されているハッキングツールを使用してSitelのネットワークを侵害して入り込み、Lapsus$がアクセスできた5日間にネットワークへの可視性を深めていった様子が詳細に記されている。Sitelは、自社のAzureクラウドインフラも侵害されたと述べた。

タイムラインによると、ハッカーは1月21日未明にSitelの内部ネットワーク上の「DomAdmins-LastPass.xlsx」と呼ばれるスプレッドシートにアクセスした。このファイル名からして、スプレッドシートにはSitel従業員のLastPassパスワードマネージャーからエクスポートされたドメイン管理者アカウントのパスワードが含まれていることがうかがえる。

約5時間後、ハッカーは新しいSykesユーザーアカウントを作成し、組織への幅広いアクセスを持つ「テナント管理者」と呼ばれるユーザーグループにそのアカウントを追加し、後に発見されてロックアウトされた場合にハッカーが使用できるSitelのネットワークへの「バックドア」アカウントを作成したと思われる。Oktaのタイムラインによると、Lapsus$のハッカーはほぼ同時期にOktaのネットワークに侵入していたようだ。

タイムラインでは、ハッカーが最後にSitelのネットワークにアクセスしたのは1月21日午後2時(協定世界時)で、パスワードのスプレッドシートにアクセスしてから約14時間後だった。Sitelは攻撃者を締め出そうと、全社的にパスワードのリセットを行った。

Oktaは3月17日付のMandiantの報告書を受け取った後、Sitelの侵害についてもっと早く顧客に警告しなかったことで批判にさらされている。同社の最高セキュリティ責任者David Bradbury(デイビッド・ブラッドベリー)氏は、同社が「その意味を理解するためにもっと迅速に行動すべきだった」と述べた。

本稿掲載前に連絡を取った際、Oktaはコメントできなかった。SitelとMandiantは記事の内容に異論はなかったが、コメントを控えた。

Oktaはここ数カ月でLapsus$ハッキング・恐喝グループに狙われたいくつかの有名企業の1社にすぎない。Lapsus$グループは、12月にブラジルの保健省を標的にしたサイバー攻撃で同国民のワクチン接種情報など50テラバイト分のデータを盗み出し、ハッキングシーンに初めて登場した。それ以来、このグループはポルトガル語圏の企業数社Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Oktaなどのテック大手を標的とし、Telegramチャンネルの数万人の購読者にアクセスや盗んだデータを売り込み、一方で被害者の盗んだファイルを公開しない代わりにしばしば変わった要求を突きつけてきた。

英国の警察は先週、事件に関連する7人を逮捕したと発表したが、いずれも16歳から21歳の若者だった。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

マイクロソフトにハッカーが不正侵入、BingとCortanaのソースコードを公開

Microsoft(マイクロソフト)は、ハッキンググループLapsus$による不正侵入を明らかにした。

Lapsus$がBing、Bing Maps、Cortanaのソースコードの一部を含むtorrent(トレント)ファイルを投稿した数時間後、Microsoftは米国時間3月22日のブログ投稿で、従業員1人のアカウントがハッキンググループによって侵害され、攻撃者がMicrosoftのシステムに「限定アクセス」して同社のソースコードを盗んだことを発表した。

Microsoftによると、顧客のコードやデータは漏洩していない。

「当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる不正活動を防止するために迅速に取り組みました」と同社は述べた。「Microsoftはセキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスク上昇につながることはありません。この不正行為者が侵入を公表したとき、当社のチームはすでに脅威情報に基づき、侵入されたアカウントを調査していました。今回の公開により当社の行動はエスカレートし、当社のチームは介入して操作の途中で中断させることができ、より大きな影響を抑えることができました」。

Microsoftは、アカウントがどのように侵害されたのか詳細を共有していないが、同社の脅威インテリジェンスセンター(MSTIC)が複数回の攻撃で確認したLapsus$グループの戦術、テクニック、手順についての概要を提供した。当初、Lapsus$の攻撃は南米と英国の組織を標的としていたが、その後世界の政府機関やテクノロジー、通信、メディア、小売、ヘルスケア分野の企業へとターゲットを拡大した。

Microsoftによると、同社がDEV-0537として追跡しているLapsus$は「純粋な強奪と破壊のモデル」で活動し、他のハッキンググループとは異なり「痕跡を隠さない」という。これは、このグループが標的型攻撃を実行するために、企業の内部関係者を公募しているためのようだ。Lapsus$は組織への最初のアクセスを得るために多くの方法を使用し、通常ユーザーのIDとアカウントを侵害することに重点を置いている。標的とする組織の従業員をリクルートするだけでなく、ダークウェブフォーラムから認証情報を購入したり、公開されている認証情報のリポジトリを検索したり、パスワードを盗み出すRedlineを展開するなどの方法を取っている。

Lapsus$はそうして漏洩した認証情報を使用して、仮想プライベートネットワーク、リモートデスクトップインフラ、Okta(オクタ)のようなID管理サービスなど、標的企業のインターネットに面したデバイスやシステムへアクセスする。このハッキンググループは1月にOktaへの侵入に成功している。Microsoftによると、Lapsus$は少なくとも1件の侵害において、組織へのログインに必要な多要素認証(MFA)コードにアクセスしようと、従業員の電話番号とテキストメッセージを制御するためにSIMスワップ攻撃を行った。

ネットワークにアクセスした後、Lapsus$はより高い権限や幅広いアクセス権を持つ従業員を見つけるために一般公開されているツールを使って組織のユーザーアカウントを探り、Jira、Slack、Microsoft Teamsなどの開発・コラボレーションプラットフォームを標的にし、さらに認証情報を盗み出す。また、ハッキンググループはMicrosoftへの攻撃と同様、GitLab、GitHub、Azure DevOpsのソースコードリポジトリへのアクセスを得るためにこれらの認証情報を使用する。

「DEV-0537が組織のヘルプデスクに電話をかけて、サポート担当者に特権アカウントの認証情報をリセットするよう説得しようとするケースもありました」とMicrosoftは付け加えた。「このグループは、事前に収集した情報(例えばプロフィール写真)を使用し、ネイティブの英語を話す人物にヘルプデスク担当者と会話させ、ソーシャルエンジニアリングの誘惑を強化しました」。

Lapsus$一味は、既知の仮想プライベートサーバ(VPS)プロバイダに専用インフラを設置し、消費者向け仮想プライベートネットワークサービスNordVPNを活用してデータを流出させる。ネットワーク検出ツールの起動を避けるために、ターゲットに地理的に近いローカルのVPNサーバーを使用することさえある。盗まれたデータは、将来の恐喝に使用されるか、一般公開される。

ハッキンググループLapsus$は、NVIDIA(エヌビディア)やSamsung(サムスン)を含む多くの有名企業を危険にさらし、ここ数週間でその名を知られるようになった。今週初めにはOktaの内部システムのスクリーンショットが投稿され、Oktaが最新の被害者であることが明らかになった。OktaはLapsus$がサードパーティのカスタマーサポートエンジニアを危険にさらしての情報漏洩であることを認め、1万5000の顧客の約2.5%に影響を与えたと説明した。

1月の5日間の間に発生したこの侵害について、Oktaが顧客に今まで通知しなかった理由は今のところ不明だ。

画像クレジット:Jaap Arriens / NurPhoto / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

Oktaのアクセス管理データからわかるクラウド利用のさらなる多様化

アクセス管理とアイデンティティ管理の大手Oktaが提供するクラウドアプリケーション / サービスの利用に関する2022年(2020年11月1日-2021年10月31日)の「Business at Work」リポート(第8巻)によると、ユーザーの多くは従来のように単一ベンダーに固執するのではなく、各種業務のための最良のサービスを選ぶようになっているという。

やはりMicrosoft Office 365は依然として最も人気のあるサービスで、2位はAWS、3位はGoogle Workspaceで、前年比38%増と急成長している。しかし興味深いことに、単一ベンダーに縛られないようにしたいという願いが表れておりOffice 365を利用している企業の38%がGoogle Workspaceも利用しており、45%がZoom、33%がSlackも利用している。

Microsoftには、Zoomのビデオ会議機能とSlackの内部コミュニケーション機能を担当するTeamsがあり、Google WorkspaceがOffice 365と直接ライバル関係にあることを考えると、たとえMicrosoftが同様のツールを提供していても、企業は納得のいく競合製品を選ぶだろうことということを示している(少なくともOktaのユーザーはそうするだろう)。

とはいえ、このレポートは、マルチクラウドの利用やベンダー主導からの脱却など、市場で以前から耳にしているトレンドを反映している。

このことは、急成長中のツール(Notion、TripActions、Postman、Keeper、Airtable、Fivetran、Gongなど)の多くがBusiness at Workレポートデビューを果たした理由を説明しているかもしれない。なお、Fivetranは9月に56億ドル(約6374億8000万円)の評価額で5億6500万ドル(約643億2000万円)を調達している。Gongは2021年6月、75億ドル(約8538億2000万円)の評価額で2億5000万ドル(約284億6000万円)を調達。Airtableは2021年3月に57億ドル(約6489億1000万円)の評価額で2億7000万ドル(約307億4000万円)を調達しており、これらの企業が(少なくともOktaの世界で)主流になりつつあると同時に、投資家の目にはその価値が急上昇していることを示している。これが偶然だとは考えにくい。

画像クレジット:Okta

AWSはクラウドインフラストラクチャ市場のトップだが、Oktaのデータでも同様で、ユーザーの32%がAWSを利用という数字はそのままAWSのマーケットシェアでもある。そもそもAWSは近年、毎年ほぼい3分の1というシェアを安定的に維持している。

クラウド市場のマルチクラウドへの移行を受けて、Oktaのユーザーも14%がマルチクラウド方式を実装している。14%は、市場全体の動向よりやや小さいかもしれないが、でも2017年の8%よりは大きい。しかし意外にも、単独で人気の高いインフラストラクチャベンダーであるAWSとGCPの組み合わせは2.6%と小さい。

クラウドはもちろん、米国だけの現象ではない。このレポートによると、ヨーロッパ、アジア、アフリカ、中東などそれぞれで、さまざまなクラウドアプリケーション / サービスが使われている。その中で断トツはGoogle Workspaceで、APAC市場では前年比で68%伸びている。そしてSlackとZoomは、EMEA市場でそれぞれ49%と45%ユーザーが増えた。

画像クレジット:Okta

このレポートの対象となっているOktaのユーザーはおよそ1万4000、彼らが上記期間に使ったクラウド / モバイル / ウェブアプリケーションは7000種だ。もちろんこれは、クラウド利用の全体の数字ではない。しかしそれでも、今日の企業とその社員たちのクラウド利用の実態が伺える。

OktaのCEOであるTodd McKinnon(トッド・マッキノン)氏によると、同社はこのレポートのための小さな専門チームを作ってデータの収集や整理を行っているという。

「5、6人ほどで、さらにデータウェアハウスの担当者2人がクエリと分析をやっている。私とコンテンツとPRの担当が、何がおもしろいか、口出しをすることもあります。そしてもちろん、ここに登場するユーザー企業はすべて私たちのパートナーであるため、彼らの話も聞きます。彼ら自身も、このデータに関心を持っています」。

画像クレジット:sorbetto/Getty Images

原文へ

(文:Ron Miller、翻訳:Hiroshi Iwatani)

契約マネジメントシステムのホームズクラウドがアイデンティティ管理のOktaと連携、シングルサインオン設定が数クリックで

Holmesは6月30日、Okta Japanが手がけるアイデンティティ管理・認証基盤プラットフォーム「Okta Identity Cloud」のアプリテンプレート群「Okta Integration Network」(OIN)において、契約マネジメントシステム「ホームズクラウド」が登録され、Okta Identity Cloudと連携したと発表した。

ホームズクラウド導入企業のIT管理者は、Okta Identity Cloudを利用することで、ホームズクラウドとのSAML認証方式を利用したシングルサインオン(SSO)の設定作業を数クリックで実施できるようになった。アプリをSSOに追加する作業時間のスピードと効率性の向上に加えて、利用者への迅速なアプリ展開と安全なアクセスの提供が可能となる。

ホームズクラウドは、契約書作成・レビュー・承認・締結・更新・管理といった契約にまつわる業務を集約し、契約業務の効率化を実現できるクラウド型の契約マネジメントシステム。また、Okta Identity Cloudは、クラウドあるいはオンプレミスを問わず、すべての人のアイデンティティとアクセスを安全に管理することを目指している。

Holmesは今回の連携に関して、今後も継続的にセキュリティ対策を実施し、法務領域のDXを推進すると述べている。

関連記事
アイデンティティ管理のOktaに特権アクセス管理とアイデンティティガバナンスのレポート機能が追加
クラウドアイデンティティ管理のOktaが同業のスタートアップAuth0を約7000億円で買収
リーガルテックのHolmesとクラウドサインが提携、シームレスな契約締結が可能になる
企業全体で契約ノウハウを蓄積・共有・活用する「Holmes Knowledge Cloud」がリリース
事業は全てが契約、契約をプロジェクト単位で管理し最適化する「Holmes Project Cloud」

カテゴリー:セキュリティ
タグ:holmesOkta(企業)日本(国・地域)

コード・フォー・ジャパンが日本初のシビックテック領域アクセラレータープログラム開始、Oktaが資金提供

コード・フォー・ジャパンが日本初のシビックテック領域アクセラレータープログラム開始、Oktaが資金提供コード・フォー・ジャパン(Code for Japan)は4月26日、日本初となるシビックテックの社会実装を支援する「Civictech Accelerator Program」(CAP。シビックテックアクセラレータープログラム)の開始を発表した。

また、同プログラム1社目のパートナー企業として、アイデンティティ管理サービスを手がけるOktaから3年間で24万ドル(約2600万円)の寄付が行われることが決定した。Oktaが米国時間4月8日、年次カンファレンス「Oktane21」においてアジア初のパートナーとして発表しており、地域社会への活動の一環とする非営利組織支援の取り組み「Okta for Good」から資金提供が行われる。

CAP第1期の応募は5月末まで行う。また、約6カ月を1タームとして定期的なメンタリングを中心とし、開発やサービスデザインに対するフィードバック、法務・財務などを含めた専門家とのミーティングセットなどで参加チームの社会実装・事業展開をバックアップする。

Code for Japanは、シビックテック(市民が主体となって自分たちの街の課題を技術で解決する)コミュニティ作り支援や、自治体への民間人材派遣などの事業に取り組む非営利団体。より良い未来に向けて、立場を超えてさまざまな人たちと「ともに考え、ともにつくる」ための活動を行っている。

Code for Japanは、今後も国内外の企業や公益財団などをパートナーとして迎え、シビックテック・アプローチで社会課題に取り組んでいるチームを支援し、より多様な社会課題に幅広い世代の仲間とともにより一層シビックテックコミュニティを拡げ、活動を続ける。また、CAPやシビックテックにおける各種取り組みについてパートナーシップを検討している企業・財団からの問い合わせを受け付けているという。

シビックテックアクセラレータープログラム(Civictech Accelerator Program)

Code for Japanによると、シビックテック領域の取り組みにおいて、これまで以下の活動を行いインキュベート機能(設立して間もないチームに技術・人材などを提供し、育成すること)をになってきたという。

コード・フォー・ジャパンが日本初のシビックテック領域アクセラレータープログラム開始、Oktaが資金提供

  • プロトタイプ開発を進めていく毎月開催の継続型ハッカソン「Social Hackday」(ソーシャルハックデー)
  • 技術系人材をコーディネートすることで非営利団体の取り組みにおいてIT活用を進める「Social Technology Officer」(ソーシャルテクノロジーオフィサー)
  • 学生のチーム開発支援プログラム「Civictech Challenge Cup U-22」(CCC U-22。シビックテックチャレンジカップ U-22)

ただ、これらで育ったプロトタイプやプロジェクトのアクセラレート機能(社会実装、持続可能なビジネスモデルの構築などの支援)がなかったため、サービスとして成立する開発や継続可能なプロジェクトが限られていたそうだ。そこで、アクセラレート部分が必要であると判断し、CAPを新たに設置した。

CAPでは、シビックテック活動やオープンソース・オープンデータの関連コミュニティから出てきたプロトタイプやプロジェクトの中で、以下3点に該当するチームに着目しているという。

  • 継続開発、プロダクトをブラッシュアップしていく意志がある
  • アクセラレーションプログラムに一定期間継続して参加できる
  • 社会実装や持続可能な開発、経済市場でのサービス展開を軌道に載せていくことを目指す

さらにこの中から、以下に該当する開発を行っているチームを選出し、専門知識・資金・人材のバックアップを行うとしている。

  • 時事問題を取り上げているもの
  • 地域間連携の可能性があるもの、他の地域にも展開することで利益享受者が増えるもの
  • 多言語対応などで他国のシビックテックコミュニティと協働できたり、他国に対しても利益を享受してもらえるよう展開可能なもの

Oktaと「Okta for Good」

Oktaは、あらゆる人のアイデンティティとアクセスを安全に管理するベンダーニュートラルなサービスプロバイダー。Oktaが提供するプラットフォーム「Okta Identity Cloud」により、クラウド、オンプレミスを問わず、適切な人に適切なテクノロジーを適切なタイミングで安全に利用できるようにするという。7000以上のアプリケーションとの事前連携が完了している「Okta Integration Network」を活用して、あらゆる人や組織にシンプルかつ安全なアクセスを提供し、顧客の潜在能力を発揮できるように支援するとしている。現在1万以上の顧客がOktaを活用しており、職場や顧客のアイデンティティを保護している。

Okta for Goodは、Oktaが製品・時間・資本の1%をソーシャルインパクトのために使うとした2016年から続く取り組み。より良いエコシステムを生み出すためのテクノロジーを開発し、従業員がチェンジメーカーとなっていくための支援、重要な課題に答える非営利組織の支援などに取り組んでいるという。今回、Okta for Goodが非営利組織を資金的に支援する取り組み「Nonprofit Technology Initiative」において、Code for Japanの取り組みがそのひとつとして採択された。

関連記事
アイデンティティ管理のOktaに特権アクセス管理とアイデンティティガバナンスのレポート機能が追加
アイデンティティ管理のOktaが新しい無料開発者プランを公開
クラウドアイデンティティ管理のOktaが同業のスタートアップAuth0を約7000億円で買収
コード・フォー・ジャパンが飲食店情報をオープン化する「OPEN EATS JAPAN」プロジェクトを開始
「東京都 新型コロナウイルス感染症 支援情報ナビ」のソースコードが公開

カテゴリー:パブリック / ダイバーシティ
タグ:アクセラレータープログラム(用語)Okta(企業)オープンソース / Open Source(用語)Code for Japan(組織)オープンデータ(用語)シビックテック / Civic Tech(用語)日本(国・地域)

アイデンティティ管理のOktaに特権アクセス管理とアイデンティティガバナンスのレポート機能が追加

アイデンティティ管理のOktaが米国時間4月7日、そのプラットフォームを2つの新しい方向へ拡張すると発表した。これまで同社は、アイデンティティアクセス管理プロダクトで知られており、企業に複数のクラウドプロダクトにシングルサインオンできる機能を提供していた。同社は、特権アクセスとアイデンティティガバナンスという2つの新しい領域に参入する。

特権アクセス(privileged access)は、必要に応じて特定の人たちに社内での管理者特権を与えるというもの。対象となるサービスは、会社のデータベースやサーバーなど、アクセスを厳しく制限したい機密性の高いシステムだ。

OktaのCEOであるTodd McKinnon(トッド・マッキノン)氏によると、同社はこれまで一般ユーザーがSalesforceやOffice 365やGmailなどにアクセスすることを、適切に制限してきた。これらのクラウドサービスの共通点は、いずれもウェブからアクセスすることだ。

アドミニストレーター、略称でアドミンとも呼ばれるシステム管理者は、一般ユーザーとは異なるプロトコル(アクセス手順)を使って特殊なアカウントにアクセスする。「アドミンのアカウントは安全なシェル(OSをはじめシステムのベース部分にアクセスするプログラム)みたいなもので、通常はコンピューターの端末ないし端末的なプログラムを使って、クラウドのサーバーや、SQLでログインするデータベース接続、Kubernetesのプロトコルで管理するコンテナなどにアクセスする」とマッキノン氏は説明する。

特権アクセスには、アクセスを一定時間内に制限する機能や、そのセッションをビデオに記録する機能がある。後者は防犯カメラのように、誰がいつ何にアクセスして何をしたかがわかる、いわゆる監査証跡を残す。マッキノン氏によると、この2つがあることによって、機密性の高いアカウントからシステムを保護できるという。

またマッキノン氏によると、Oktaは元々ユーザーを複数のグループに分けて、特定のグループだけに管理者特権を与えることができるため、今回の特権アクセスという機能は、それとあまり変わらないという。難題は、そういう特殊なプロトコルへのアクセスをどうやって与えるかだった。

一方、ガバナンスは、セキュリティの担当グループが詳細なレポートを作ってアイデンティティ関連の問題を見つけられるようにする。マッキノン氏によれば「ガバナンス機能は例外報告(発生した例外的事象の記録)を作ってそれを監査役に見せたり、もっと重要なのはセキュリティのチームにそれを渡して、一体何が起きているのか、会社のポリシーからの逸脱がなぜ生じているのかなどをわかるようにすることだ」という。

これらはすべて、2021年3月のAuth0の65億ドル(約7130億円)の買収と合わせて、マッキノン氏がアイデンティティクラウドと呼ぶものを作っていく、より大きなプランの一環だ。彼によると、いくつかの戦略的クラウドの市場があり、クラウドはその中の1つだと彼は信じている。

関連記事:クラウドアイデンティティ管理のOktaが同業のスタートアップAuth0を約7000億円で買収

「アイデンティティはあらゆるものの戦略を決める。それは顧客のアクセスをアンロックし、従業員のアクセスをアンロックして、しかもすべてを安全に保つ。今回の拡張機能は、顧客のアイデンティティをゼロトラストで管理したり、またワークフォースのアイデンティティには単純で平板なアクセス管理だけでなく、特権アクセスやガバナンスという階調を持たせる。それは、このプライマリークラウド(枝分かれする前の基本クラウド)の中でアイデンティティが進化していくということです」とマッキノン氏は述べている。

これらの新しいプロダクトはOktaのバーチャルなカスタマーカンファレンスで本日発表されたが、一般公開されるのは2022年の第1四半期になる予定だ。

カテゴリー:ソフトウェア
タグ:Oktaアイデンティティ管理

画像クレジット:metamorworks/Getty Images

原文へ

(文:Ron Miller、翻訳:Hiroshi Iwatani)

アイデンティティ管理のOktaが新しい無料開発者プランを公開

米国時間4月6日、認証とアイデンティティのプラットフォームとして人気のOktaが、同社のOktane21カンファレンスで無料の新しい開発者エディションを発表した。現在の無料プランに比べて制限が少なく、利用できる月間アクティブユーザー数は大幅に増えている。

現在の無料プランでは月間アクティブユーザー数は最大1000人だが、新しい「Okta Starter Developer Edition」では最大1万5000人まで対応できる。これに加えてOktaは充実したドキュメント、サンプルアプリ、新しいSDKも発表し、Go、Java、JavaScript、Python、Vue.js、React Native、Spring Bootなどの言語やフレームワークにも対応した。

Oktaの最高製品責任者であるDiya Jolly(ディヤ・ジョリー)氏は筆者に対し「我々の全体的な哲学は『単に認証と承認のサービスを提供すること』ではありません。『アプリの開発者さん、アプリの一部として認証と承認を迅速に実装し運用するために必要な基盤を我々はどのように提供すればいいですか』と考えていくことです」と述べた。同氏は、Oktaはそれを実現するための独自のポジションにあると考えている。承認とアクセスを管理するツールだけでなく、マイクロサービスを保護しアプリケーションが特権リソースにアクセスできるようにするシステムも提供しているからだ。

画像クレジット:Okta

まだ完了はしていないものの、OktaがAuth0を買収し、Auth0の開発者ファーストのアプローチで開発者の戦略を大幅に拡張する意向であることも注目される。

関連記事:クラウドアイデンティティ管理のOktaが同業のスタートアップAuth0を約7000億円で買収

無料アカウントの拡張に関してジョリー氏は、開発者がプロトタイピングの段階でもっと多くの機能を利用したいと考えていることがわかったと話す。このため、新しい開発者エディションでは多要素認証、機器間トークン、B2Bの統合などに対応する他、ツールチェーンへの統合も拡張される。企業向けツールではよくあるように、無料エディションには通常の企業向けサポートは付属せず、有料プランよりもレート制限が低く設定されている。

とはいえジョリー氏は、中小企業はこの新しい無料プランでアプリケーションを作り本番環境にすることができるだろうと認めた。

「1万5000(の月間アクティブユーザー)は多いですが、我々の顧客ベースからすると実際の中小企業のアプリケーションには適正な数であり、これを目指していました。開発者の動きとしては、まず試してもらってそれからアップグレードして欲しいと思います。私は、このことが鍵であると考えています。無料であれこれ触って試すことができないのにそれを使って構築してみようと思う開発者はいません」とジョリー氏はいう。

画像クレジット:Okta

ジョリー氏は、アプリケーション開発のライフサイクル全体を通じて開発者をどうサポートしていくかについてOktaは長い時間をかけて検討したと語る。例えばOktaのウェブベースのコンソールをバイパスしたい開発者向けにCLIツールをさらに使いやすくしたり、TerraformやKong、Herokuなどのツールとも統合した。ジョリー氏は「現在、(開発者は)アイデンティティとOktaをエクスペリエンスの中にまとめる必要があり、あるいは他のアイデンティティを使う場合もありますが、我々はこうしたものをすべてあらかじめまとめて提供しています」と述べた。

新しいOkta Starter Developer Editionの他、ドキュメント、サンプルアプリケーション、統合機能は、developer.okta.comから利用できる。

カテゴリー:ソフトウェア
タグ:Okta個人認証

画像クレジット:Kimberly White/Getty Images for TechCrunch / Getty Images

原文へ

(文:Frederic Lardinois、翻訳:Kaori Koyama)

クラウドアイデンティティ管理のOktaが同業のスタートアップAuth0を約7000億円で買収

アイデンティティ管理のOktaは米国時間3月3日、取引終了後に決算報告を発表し、また、同社はクラウドアイデンティティスタートアップのAuth0を65億ドル(約7020億円)の巨額で買収することも公表した。Auth0は2020年の7月にSalesforce Venturesのリードで1億2000万ドル(約130億円)を調達したときの評価額が19億2000万ドル(約2070億円)だった

Auth0によりOktaはクラウドアイデンティティ企業を取得して、開発者がアプリケーションにアイデンティティ管理を埋め込めるようにする。同社のアイデンティティプラットフォームにとってそれは、新しい次元が加わることになる。Oktaの共同創業者でCEOのTodd McKinnon(トッド・マッキノン)氏によると、買収によって彼の企業はアイデンティティの分野をさらに広くカバーできることになり、また同時にアイデンティティが、インフラストラクチャや、コラボレーション、CRMなどのエンタープライズソフトウェアと並ぶファーストクラスのクラウドカテゴリーに格上げされることになる。

「アイデンティティも、クラウドソフトウェアの主要カテゴリーであるべきだ。アイデンティティがそうなるには、ワークフォースやカスタマーなどすべてのユースケースをカバーしなければならない。私たちのプロダクトは、伝統的にワークフォース(従業員対象)だが、新たにカスタマー(一般ユーザー対象)にもなる」とマッキノン氏はいう。

カスタマーの場合は、それは単に企業の認証システムではなくて、顧客がOkta、Auth0をバックエンドで使ってユーザーをプラットフォームに登録する。買収によりこの両方をカバーできることをマッキノン氏は喜んでいる。

Auth0の共同創業者でCEOのEugenio Pace(エウジェニオ・ペース)氏は、彼の企業とOktaとの合併がアイデンティティ管理分野における強力な組み合わせであり、これは誇張ではないと念を押し、次のように述べている。「両者が一緒になって、顧客のワークフォースとカスタマー両方のアイデンティティソリューションを提供することには、他に類のないスピードと単純性とセキュリティと信頼性とスケーラビリティがある。両者が力を合わせれば、顧客はイノベーションを加速でき、至るところで消費者と企業と従業員たちの要求に応じられるようになる」。

ペース氏と共同創業者のMatias Woloski(マティアス・ウォロスキ)氏はともにMicrosoftに在籍し、2013年にAuth0を立ち上げた。マッキノン氏は、Auth0が社員数800名の大企業である点を指摘する。2021年の売上は、2億ドル(約220億円)と予想されている。

「彼らには、柔軟性に富みAPI駆動のサービスと、開発者が求める拡張性とカスタマイズ性のある優れたデベロッパーツールを開発してきたという自負がある。思いつきでではなく、最初からの体質としてその能力がある」とマッキノン氏は考えている。

マッキノン氏によると一部重複する顧客もあるが、お互いにとって新しい顧客も多いため、それぞれに対してAuth0、Oktaを売っていくことができるという。両社の組み合わせはアイデンティティ管理のフルコースを提供できるものだと、という。

Auth0のデベロッパー重視の姿勢は、本誌のZack Whittakerが2019年に書いた記事にも現れている。

「再投資と高成長の維持を優先しているため、利益は計上しない。しかし、効率は日に日に良くなっている。顧客の獲得も、彼らへのサービスも、設計のアップデートと実装もすべて効率を上げている」。

Oktaの下で、Auth0はどう変わるのだろうか。マッキノン氏は、統合の進め方は数カ月かけて検討するが、Auth0はOktaの中の独立のユニットのように操業を続けると述べている。Auth0のユーザーは、ほっとするだろう。しかも同氏によると、2人の創業者は数年前からの仲なので、お互いに信頼関係があるとのことだ。

この間、Oktaの四半期も好調で、前年同期比で40%増の2億3470ドル(約220億円)の売上を計上したが、ウォール街はこの買収を歓迎せず、時間外で株価は6.9%下がった。

Auth0は2013年に創業され、これまで3億ドル(約320億円)ほど調達している。主な投資家はSalesforce Venturesに加え、Sapphire VenturesやBessemer Venture PartnersそしてMeritech Capital Partnersなどだ。

関連記事:OktaがIDを使用して販売およびマーケティングタスクを自動生成する新ノーコードワークフローを提供

カテゴリー:ソフトウェア
タグ:OktaAuth0買収

画像クレジット:Ron Miller/TechCrunch

原文へ

(文:Ron Miller、翻訳:Hiroshi Iwatani)

OktaユーザーのクラウドID実装を支援するBeyondIDが9.4億円調達

クラウド認証コンサルタントのBeyondID(ビヨンドアイディー)は、シリーズAラウンドで900万ドル(約9億4000万円)調達したことを米国時間2月8日に発表した。ラウンドをリードしたのは、クラウドコンサルタント企業に的を絞って最近開業したVCのTerceraだ。

BeyondIDの目的は、顧客がクラウド上のセキュリティと認証を管理するのを手助けすることで、具体的にはOktaのユーザーを対象としている。なおBeyondIDはOktaのプレミアムパートナーである。同社によると認証、アクセス管理、アプリのモダン化、ゼロトラスト・セキュリティ、クラウド移行、統合サービスなどさまざまな分野で顧客を支援する。

CEOで共同創業者のArun Shcrestha(アルン・シュクレスタ)氏はIT技術の豊富な経験をもち、Oktaでも最初期から仕事をしてきた。シュクレスタ氏は2012年にカスタマーサクサスの責任者としてOktaに加わった。当時同社は創成期にあり、顧客はわずか50社だった。5年後、IPOの直前に彼がOktaを離れたとき、顧客は3500社を越えていた。

その後Sシュクレスタ氏は、Oktaツールセットの独特な使い方に習熟しOktaユーザー、特に複雑なシステムを持つ企業がOktaを最大限に活用するための支援を仕事にしようと考えた。そして2018年、システム統合と企業のクラウド認証管理に焦点を絞り、BeyondIDを設立した。

「私たちはマネージド認証サービスプロバイダーになるべく、認証やサイバーセキュリティに関するあらゆるものを管理します。認証サービスを導入、展開、管理するためのワンストップサービスとして、企業を手助けしていきます」とShrestha氏は説明した。

関連記事:クラウドコンサル企業に的を絞った約236億円のVCファンドTerceraがローンチ

狙いは成功しているようだ。ここ数年で会社の売上は300%成長し、時間とともに成長率は落ち着いてきたが、それでも2021年は70~100%の成長を見込んでいる。現在の顧客はFedEx、Major League Baseball、Bain Capital、Biogenなど250社に上る。

顧客を支える従業員は現在75名で、この日の資金を元に2022年には増員する計画だ。新規従業員の獲得に際して、会社の重要目標である労働力の多様化を進めるとシュクレスタ氏はつけ加えた。

「多様化は私たちの長期的持続可能な成功のために不可欠であり、これは正しい行動でもあります」と同氏は語った。女性や有色人種の人たちが上を目指せる組織を作ることは、会社のリーダーとしての重要な目標であり、全力を注いでいることでもあるとシュクレスタ氏はいう。

今回の筆頭出資者であるTerceraのマネージングパートナーであるChris Barbin(クリス・バルビン)氏は、同社初の出資先としてBeyondIDを選んだ理由を、個人認証はデジタル変革の中心的役割を担うと信じているからだと語った。多くの企業がクラウドに移行する現在、クラウド環境ではセキュリティと認証が異なる働きをすることを企業は認識する必要があり、BeyondIDはそうした顧客を支援する重要な役割を演じているとバルビン氏は考えている。

「BeyondIDは急成長している分野にあり、顧客リストにはほぼすべての業界を代表する魅力的な企業が並んでいます。アルン(・シュクレスタ)氏と経営チームには会社の将来への強いビジョンとOktaとの深い絆があり、自分たちの行動に関して驚くほど情熱をもっています」と彼は語った。

カテゴリー:ネットサービス
タグ:BeyondIDOkta資金調達

画像クレジット:AlexSecret / Getty Images

原文へ

(文:Ron Miller、翻訳:Nob Takahashi / facebook

企業向けID管理のOktaがSaaSへのログイン統計発表、Office 365が(一応)トップ

企業向けにID管理とクラウドアクセスのインテグレーションを提供しているOktaは毎年、同社の認証システムを通じて何百万件ものSaaSアクセスを処理している。ありがたいことに同社はそのデータをベースにした年次報告書を発表してくれる。最新のレポートによれば、この1年でダントツの人気だったツールはMicrosoft 365(旧Office 365)だった。

アプリの人気は地域によって大きく違っていることに注意すべきだが、Office 365はグローバルでも国、地域別でも、要するにどの項目でもナンバーワンだった。レポート中の他のプロダクトではこういう結果が出ていない。つまりOffice 365は世界中で(少なくともOktaを使用している企業の間で)最も広く使用されていることが判明した。

クラウド関連の問題では常にそうだが、サインインした人数が多いというだけではOffice 365とMicrosoft(マイクロソフト)が全面的な勝者だと断定はできない。現実のクラウドは複雑な市場であり、ユーザーがあるツールを利用していて、直接ライバル関係にある別のツールを利用することを妨げるものではない。

たとえばMicrosoft 365のユーザーの36%が、よく似たオフィス生産性ツールであるGoogle Workspace(旧G Suite)を併用していることがレポートで述べられている。OktaはOffice 365のユーザーの42%がZoomを使用し、32%がSlackを使用していることも発見している。

Office 365のTeamsにもZoomに似たリモートワーク機能が無料でバンドルされていることを考えると、これは大いに注目すべき点だ。またGoogleハングアウトも利用者が多い。ユーザーは好みに合わせてツールを選び、ときにはほぼ同機能のライバルツールを併用することもあるわけだ。レポートによればOffice 365ユーザーのうち44%がSalesforce、41%がAWS、15%がSmartsheet、14%がTableau(Salesforceが所有)を利用している。ところがMicrosoftはこれらすべてのカテゴリーで競合プロダクトを持っている。

Microsoftはもちろん巨大企業であり、膨大な製品群を有している。しかしこのレポートはユーザーには「ブランド選考」はほとんどないことを示している。Office 365のファンだからといって、同社の他プロダクトのファンになるということはない。同種、同機能の製品カテゴリ内でさえブランドへの忠誠心はなく、ライバル製品の併用が普通に行われている。

レポートを読み進めると他のデータもとても興味深いことがわかってくる。もちろんこのレポートではSaaS全般の状況を知る決定的な窓ではない。あくまでOktaインテグレーションネットワーク(OIN)上でのSaaSの利用状況についての統計だという点は念頭に置くべきだろう(同社自身、調査手法の章でこの点を明確に認めている)。そうであっても非常に重要なレポートだ。

Oktaは「本レポートのデータは、あくまでOktaのユーザーを対象としたものであることに注意してください。この統計はOINを介してアクセスされたアプリケーションやサービス、またユーザーがそれらのサービスを介してアクセスしたツールに関するものです」と述べている。

そうであってもこの統計は9400社のOktaユーザーと6500種類のSaaSツールへアクセス状況を集計したものであり、当然同社はSaaSの現状について見解を得る非常に都合がいい立場にある。このレポートは貴重な資料だ。クラウドは複雑であり、決してゼロサムゲームではないという結論が引き出せそうだ。また多数の分野で勝者になっても全面的な勝者であることを保証するものではないことも判明した。

カテゴリー:ネットサービス
タグ:SaaSMicrosoft 365Okta

画像クレジット:Ron Miller/TechCrunch

原文へ

(文:Ron Miller、翻訳:滑川海彦@Facebook