今回の取材では、かなりの勇気や決意、そして見通しがなければ言えないことを聞けた気がした。
「一番聞きたいことを聞いてはいけない取材」というのがあって、最初はこのインタビューもそうなる可能性が濃厚だと記者は考えていた。
たとえば、何らかのインシデントが発生した企業への取材記事が載ったとしたら、いの一番に読者が聞きたい(読みたい)のは、そのインシデントなりに関する中の人による何らかのコメントのはずだ。しかし取材ではそれを聞いてはいけないことがほとんどなのだ。
何も起こったことを子細に説明してくれなどと言っているわけではない。ましてや謝罪しろなどと脊椎反射的に思うような(乱暴な言い方になるが)民度の低い読者など本誌には絶対にいるまい。「申し訳ないがコメントはできません」の一言でよいのだ。
にもかかわらず「○○に関する質問はNGです」などと事前に通達があったりする。法的あるいはコンプライアンス的理由や、取材対応する個人が背負いきれない負荷から守る親心でもあることはわかるのだが、何より嫌なのはその手のインタビューの場に流れる濁った重い空気である。大人の目配せと、清潔とはいえない秘密を共有し合ってでもいるかのような雰囲気が場に漂う。こんなところにいるのはごめんだね。そんなとき記者はいつも、尊敬する江頭2:50さんのように、上半身裸になって部屋を飛び出して全速力で疾走したくなる。そのとき心の中に流れるBGMは布袋寅泰の『スリル』ではなくクイーンの『I want to Break Free(邦題『自由への旅立ち』)』である。
今回取材したのは Okta Japan株式会社である。この社名を見ればこんな長い前置きを書かざるを得なかった理由が本誌読者には瞬間的かつ十全に理解いただけたはずだ。果たして記者は全裸で渋谷ヒカリエのオフィスフロアを駆け抜けて警備員に捕らえられたのか。以下を一読いただきたい。
--
昨年本誌は以下の記事を配信した。
“Okta Japan株式会社は 9 月 5 日、日本担当リージョナル CSO(チーフセキュリティオフィサー)として板倉景子を 2024 年 9 月 2 日付けで任命したと発表した。
板倉はこれまで、日本ユニシス、日本マイクロソフト、日本アイ・ビー・エム、楽天グループなどでセキュリティやアイデンディティ管理に関連した業務を歴任し、直近ではメドレーの情報セキュリティ責任者を担当、FIDOアライアンス日本リージョンの副座長や、デジタル庁の電子委任状法施行状況検討会の委員を務めた。
板倉は今後、Okta の日本担当リージョナル CSO としてグローバルのセキュリティチームと密接に連携しながら、Okta のセキュリティに関する取り組みや考え方を市場に啓発し、顧客やパートナーなどステークホルダーへのコミュニケーション、日本市場のセキュリティにおけるニーズをふまえた計画立案などを担当する”
他媒体の記事になるが「アイデンティティ管理とともにキャリアを積んだ」という板倉が、最初にアイデンティティ管理の製品や課題に出会ったのは日本マイクロソフトに在籍していた 2010 年代。興味や関心を持つというよりは Microsoft の Active Directory が標的型攻撃の最重要ターゲットになり始めたことで、否応もなくその課題に取り組んでいった。
当時は Microsoft Azure が発売された時期とも前後し、クラウドコンピューティングが普及を開始した頃でもあった。クラウドに移行する際に最も顧客から受ける質問のひとつが「セキュリティはどうなの?」であったという。しかしその不安は「何か怖い」「何か気持ち悪い」という極めて漠然としているという印象を板倉は持った。
2010 年代当時は現在と比べて、セキュリティはまだまだビジネス的には儲からないという業界のムードもあったと板倉は語った。その事実もまた、アイデンティティ管理を軸にセキュリティを極めてみたいという動機になったという。逆風に立ち向かう意志だ。
「『何となく不安で気持ち悪い』というユーザーの躊躇を見たことで、それを可視化するために板倉は SIEM と IDM の統合ソリューションに取り組んだ」そんな商業的な方向には板倉のキャリアはまったくもって進まなかった。むしろ逆である。大学院に通うことを条件に日本IBM に転職した板倉は、週約 3 回夕方から大学院に通って研究に没頭した。
板倉の修士論文の研究内容は、ごく簡潔に言えば「実際のセキュリティ / プライバシーリスクの大きさと人間の選択にはどのような相関があるのか」「その他の要素(価格、取引相手の信頼性など)はどう人間の選択に影響を与えるのか」というテーマだったという。
リスクを正当に評価することで適切にプライバシー情報を扱い、個人がリスクを意識しなくても安全に情報がやり取りされる世界を目指すための研究、と板倉は言い換えた。
後に板倉は楽天グループで数千万セッション単位のコンシューマーサービスの ID 管理の経験を経た後に、ヘルスケア系のベンチャー企業で全社情報セキュリティ責任者(いわゆる CSO)を務めた。板倉によれば CSO の一番の役割とは「リスクをどこまで受容できるか/するかを決めること」だという。そんな板倉が、次のキャリアとして選んだのが、よりにもよって Okta Japan株式会社の日本リージョンの CSO だった。
そもそも CSO や CISOは、海外では「チーフ・スケープゴート・オフィサー」あるいは「チーフ・インシデント・スケープゴート・オフィサー」などと呼ばれる職種およびポジションである。要はいざ何か起こったら(日本的な表現で言うなら)責任を持って腹を切らされるということだ(スケープゴート=いけにえのヤギ)。
アイデンティティ管理とセキュリティを軸にしたキャリアを歩んできた板倉にとって、Okta が大きな成長のポテンシャルを秘める職場であることは疑いようがない。しかし Okta で CSO という役割はリスクが大きすぎやしないか。いったいどんなきっかけで CSO に就任したのか。取材開始から約 12 分が経過したところの板倉の回答をそのまま以下に全文引用したい。
「きっかけそのものは CSO のポジションがオープンして人事の方からその話をお聞きしたことです。ID の世界にいたので Okta はもちろん知っていました。ですが、そこで自分に CSO として何ができるのかというところにはあまり答を見い出すことができませんでした。けれども『去年おととしと Okta がインシデントに遭って、そこからセキュリティにさらに力を入れるようになって、特に日本は非常に重要な地域だから CSO を置いてしっかりやっていきたい』という意気込みを説明していただいて理解したとき、本当にこれはやりがいがある仕事だと感じました」
現在の Okta のセキュリティ管理体制は以下の通り。
まず Okta にはグローバル CSO デイビッド・ブラッドベリの下に、板倉のような CSO が世界で合計 5 人任命されている。5 人のうち板倉を除く 4 名は全員、北米・EMEA・APJ などの地域を担当する CSO であり、一人が一つの国を担当するのは世界で板倉だけだ。これは Okta が日本市場をとりわけ重要視している証左である。
そして 5 人の CSO がそれぞれの担当地域のセキュリティの責任を担い、セキュリティ・オペレーション・センター(SOC)や、ポリシーを作成したり管理するメンバーと連携してセキュリティ施策を実施する。
板倉が現在取り組む主要業務は、Okta のセキュリティに対する長期的な取り組みである「Okta Secure Identity Commitment(OSIC)」をベースにロードマップを作り、それぞれのチームに依頼する具体的なタスクの内容を監修したり、あるいは外部に向けた情報発信を行うこと、そしてさらに「インシデントで失ったかもしれない日本のユーザーの信頼を回復すること」と板倉は語った。
ここで「Okta Secure Identity Commitment」とは、インシデント被害を受けて Okta が変化し成熟するために進めている長期的なセキュリティの取り組みであり、その内容は大きく以下の四つの項目に分けられる。
それぞれ、
(1)Okta 製品とサービスを安全にすることへの投資
(2)顧客のベストプラクティス推進
(3)Okta 社内の企業インフラ強化
(4)業界全体のセキュリティ水準向上
である。
順に具体的な実施内容を見ていこう。
(1)Okta 製品とサービスを安全にすることへの投資
範囲を広げたり、テストケースの数を増やすなど Okta 製品の脆弱性検出の仕組みの改善を進めている。また、新機能リリース時の診断プロセス改良や、見つかった脆弱性に CVE がなくてもページに掲載するなど、開示ハードルを下げることも積極的に行っている。
さらに脆弱性報告の賞金額を通常の 3 倍にするキャンペーン的な施策を実施したりすることで、Okta 社員の参加をよりいっそう奨励するなど、バグバウンティプログラム(脆弱性報告報奨金制度)の充実も図られている。2024 年 10 月時点でのバウンティ支払総額は 44,000 ドル(約 700 万円)だったという。
また、DevSecOps を実践する開発現場では、1 線:プロジェクトチーム、2 線:診断などのセキュリティチーム、3 線:内部監査チームの、3 線モデルのフレームワークで、開発チーム全体が協働し連携できるよう組織化されている。
(2)顧客のベストプラクティス推進
たとえ Okta 製品そのものがどれだけ安全でも、適切に運用しなければ意味がない。しかし同時に、なるべく人の手を煩わせない形にしなければベストプラクティスだとしても使ってもらえない。最終的には製品をデフォルトのまま運用してもセキュアであることを目指しているという。
板倉によれば、ライセンスの追加もユーザーへの影響も少ないのにも関わらず、使われていない Okta 製品の機能がいくつもあり、もったいないと感じているという。具体的には、フィッシング耐性を高める「Okta FastPass」、Okta Classic Engine から Okta Identity Engine(OIE)への移行といったライセンス追加や追加料金が不要な取り組みや、セキュリティチームによる無償でのアイデンティティ環境の簡易評価サービスなどを挙げた。
(3)Okta社内の企業インフラ強化
Okta が見舞われたインシデントのひとつは、Okta 社内のサポートデスクが標的にされ攻撃されたことで起こった。製品だけでなく社内インフラのセキュリティを強化し続けることが必要である。
この試みで得られた知識や知見は、可能な範囲で(2)の「顧客向けのベストプラクティス」として展開されたり、あるいはブログ等でも発信されていくという。Okta 自身が Okta のヘビーユーザーである。
(4)業界全体のセキュリティ水準向上
Okta はアイデンティティセキュリティを標準化する取り組みを進めるため、OpenID Foundation でワーキンググループの結成を主導し、他社の共同提案者と一緒に新しい標準である IPSIE(Interoperability Profile for Secure Identity in the Enterprise)の策定に取り組んでいる。
Okta の CEO兼共同創業者であるトッド・マッキノンのブログ記事によれば IPSIE とは「業界全体でアイデンティティセキュリティの方法を標準化し、デフォルトでセキュアなエンタープライズアプリケーションの構築と使用が誰にでも簡単にできるオープンなエコシステム」だという。
また、安全なパスワードレス認証技術として注目されているパスキーの啓蒙にも取り組んでいる。昨年 11 月には、パスワードを用いない認証「Passkeys(パスキー)」の基本を学べる開発者向け入門サイト「Passkeys Playground」を公開したり、板倉自身もパスキーに関する業界団体での講演や記事の寄稿を行っている。
板倉は、今後さまざまな業務や活動を AI エージェントが行い、それが増えていった際に、AI エージェントを管理するためのアイデンティティ管理が必要になることに触れ、Okta が生成AIアプリ向けの認証機能として「Auth for GenAI」の開発を進めていることを紹介した。
日本のリージョナル CSO としてすぐに取り組みたいこととして板倉は、これまで日本には Okta のセキュリティチームがいなかったことで課題があった顧客とのコミュニケーションや情報共有、Threat Intelligence の提供などを挙げた。Okta ユーザーの読者のもとに板倉が顔を出す日も近いかもしれない。
--
取材を終えて思ったのは、日本の、いわゆる第三者委員会を組織して、長い場合数百ページにも及ぶ報告書(ページ数と反省の度合が比例するという浅薄な考えが背景にあるように感じる)を作成して PDF ファイルを公開し、地味なスーツを着て神妙な顔をした大人たちが四人も五人も現れて悲壮感ただよう記者会見を執り行う、いわゆるセキュリティインシデント発生に伴う「報告書文化/記者会見文化」とでも呼べるやり方と Okta は根本的に異なる姿勢を感じた。
報告書文化は極めて自罰的であり、ビジネススーツよりは、頭に髷(まげ)を結って白い裃(かみしも)を着て短刀を持って御白洲に正座するような雰囲気すらある。自身の恥を雪ぐ(すすぐ)こと、つまり名誉回復に主眼がある。一方で「Okta Secure Identity Commitment」のような挑戦は「未来を変えること」が主たる目的だ。
年金機構のインシデントから自治体強靱化のプランが生まれたように、事故やインシデントの発生は、学びと変化、そして成長のチャンスでもあるはずだ。
Mandiant が以前自社がサイバー攻撃の被害に遭ったことを積極的に情報発信していたことがあるが、あれは「世界最速で攻撃に気づけたオレってやっぱり最高」というマッチョな自己肯定であり、Okta Secure Identity Commitment における Okta のように、インシデント後の自己批判に基づく取り組みを、これほど透明化して外部に周知公開している企業は史上存在しなかったと思う。
Okta が「インシデント前/インシデント後」で大きく変貌したのは、同社が アイデンティティ管理の会社であったことが大きい。でなければ(4)のような「業界全体の水準を上げる」などという発想は出てきづらい。通常セキュリティベンダーは自分の守備領域を決めてその範囲をいかに漏れなく守っていくかという、几帳面かつ内向きのまなざしを必然的に持つが、アイデンティティとはそもそもデジタルサプライチェーンにおけるチェーンそのものである。さきほどの IPSIE の定義の引用元である Okta の CEO は「Okta はアイデンティティの会社なんだから、つまりは Okta はセキュリティ企業ってことなんだ」的な趣旨のことを言っている。至言だと思う。
変な言い方になるが、これから先、何年も後になって「Okta があそこでインシデントに見舞われたことで社会が少し良くなった」「Okta があのインシデントに遭ってくれてほんとによかった」そんなふうに言われる時代が来ることすらあるかもしれないと感じた。インシデントから学んで自社にとどまらない汎用性を持つベストプラクティスを積極的に公開して、他社あるいは業界がそれを参考にすればそういうことはあり得るだろう。
そして、インシデントを企業の成長や躍進の機会と捉える明るさや積極性、柔軟さを、板倉景子という CSO は実によく体現もしている。最後に板倉の取材後半での発言を引用して本稿を終わりにしたい。
「やはり 2 年連続でインシデントを起こしてしまったことを会社としては非常に重く捉えています。それは私のポジションができた背景でもあります。今でも Okta を使っていただいてるお客様がたくさんいらっしゃって、それは、それでも信頼していただいている証だと思います。だからこそ“三度目はないぞ”ということで、どれだけ Okta がきちんとセキュリティに取り組んでいるのかを説明していく義務が私にあると思っています」
相当の勇気や決意、そして見通しなしには言えないことだと思う。三度目はない。震えた。このとき部屋の空気が清浄になった気がしたし、部屋の中が少し明るくなった気すらした。
成功できそうなことだけに挑戦している人間など誰からも尊敬されないし、第一カッコよくない。実にクールで腹をくくった CSO に出会えた。体には気をつけて。
