年次イベント「Oktane 22」で語った戦略、IDaaSとDX、セキュリティ事件
2つの目的、2つのソリューション CEOが語った新しいOkta
2022年11月14日 12時00分更新
IDaaS(ID as a Service)大手のの米Okta(オクタ)が11月9日~11日まで、本拠地である米サンフランシスコで年次イベント「Oktane 22」を開催した。会期中、共同創業者兼CEOのトッド・マッキノン(Todd McKinnon)氏に、Oktaの戦略、IDとDXの関係などについて話を聞いた。年始のセキュリティ事件についても答えてくれた。
OktaとAuth0 明確な目的のために設計された2つのソリューション
前回のOktaneは2019年、この間、Oktaは約65億ドルをはたいてAuth0を買収、日本法人設立も果たした。一方で、2022年初めには外注先に起因したセキュリティ事件も発生し、不正に取得したOktaのスクリーンショットがSNSに公開されてしまった。
今回のOktaneは6000人が来場、Auth0製品を「Okta Customer Identity Cloud」とリブランドし、既存の従業員/契約社員向けのOkta認証技術は「Okta Workforce Identity Cloud」とすることを発表した。CEO トッド・マッキノン氏のインタビューは以下の通りだ。
――「Workforce Identity Cloud」と「Customer Identity Cloud」と製品を2つの統合ソリューションに分けました。背景について教えてください。
2021年5月にAuth0を買収した。その際に、カスタマーと職場という2種類のアイデンティティのユースケースを、指向や速度の点から再考した。その結果が、今回の発表だ。
Auth0の技術は「Customer Identity Cloud」とし、開発者にフォーカスしたソリューションとなる。その先にいる数百万、数千万人のユーザーに優れたセキュリティ、優れたプライバシー、優れたユーザー体験を最大限にするソリューションだ。コンシューマー向けの「Okta Customer Identity for Consumer Apps」とSaaS開発者向けの「Okta Customer Identity Cloud for SaaS Apps」と2つがある。
一方、「Workforce Identity Cloud」はOktaのこれまでの製品で、従業員や契約社員などが業務を遂行するために境界のない世界を実現するのに障害となっている課題にフォーカスしたソリューションとなる。
これに合わせて、研究開発チームも2つに分け、各分野の課題にフォーカスする。それぞれにアプローチすることで、新機能開発の速度を高速化できる。
「Workforce Identity Cloud」と「Customer Identity Cloud」を意味のあるところで統合するというニーズや機会もあるだろう。そのために、共通の土台として「Okta Identity Platform」を用意しており、これを利用して、「Workflows」(ノーコードの自動化ツール)や「Risk Signals」など2つのクラウドにある機能の連携、情報の共有ができる。
明確な目的のために設計された統合ソリューションとして2つに分けることで、顧客は両方の世界の良いところを選んで使うことができる。これを通じて、自社の従業員や顧客に価値を提供することが可能だ。
Oktaが提供するIDaaSとDX、ローコード/ノーコード戦略
――クラウド、セキュリティ、デジタルトランスフォーメーション(DX)は、困難で不安な時代を生き残るために必要だと主張しています。Oktaが提供するIDaaSとDXの関係について考えを教えてください。
ユーザー認証はサービスへの入り口であり、Oktaを使うことでこの入り口の体験が安全になるだけでなく、スムーズに、優れたものにできる。特にCustomer Identity Cloudは、DXの大きな加速役になっている。
あらゆる企業がオンラインで新しい顧客を獲得したり、維持したいと思っている。セキュリティを犠牲にすることなく顧客体験を調整できる。これにより、自社顧客を安全にするだけでなく、顧客のエンゲージとロイヤリティを高めることもできるだろう。
――ローコード/ノーコードツールが出てきており、ビジネスユーザーがアプリやサービスを開発する機運が高まっていますが、この市場に対するOktaの戦略は?
Workforce Identity Cloudでは、セキュリティのインシデントレスポンスなど、誰でもドラッグ&ドロップでアイデンティティについてのアクションを自動化できるWorkflowsプラットフォームサービスを提供している。Workflowsにより、企業内でOktaを使うユーザーが増え、企業が必要とする拡張性のある自動化が可能になる。
Customer Identity Cloudもローコードのドラッグ&ドロップ機能を備える。デジタルチームはこれを利用してサインインのためのフローを自分たちで構築するなどのことができる。製品や開発者はパワフルなツールを得ることで、売上につながるようなログイン体験に関わることができるだろう。
――OktaはSaaSを多数導入している比較的規模の大きな企業向けといえますが、Workforce Identity CloudでのSMB向けの戦略について教えてください。
Oktaの製品はクラウド型で拡張性があるので、規模に関係なくメリットが得られる。規模が小さい企業であっても複数のSaaSやベンダーの技術を使っており、環境は複雑になっている。クラウドインフラ、コラボレーション、生産性などそれぞれのプラットフォームとアイデンティティのサイロが生まれる可能性がある。企業が成長すると、このようなアイデンティティの問題はさらに悪化し、成長の足かせとなるかもしれない。
Workforce Identity Cloudでアイデンティティ管理を行なうことは、企業のサイバーセキュリティにおいて重要な戦略と言える。それをSMBにも訴求していく。
OINはSaaS開発者の震源地に
――Okta Integration Networkと2つのクラウドとの関係、今後の展開について教えてください。
Okta Integration Networkは、事前統合済みのアプリやサービスのネットワークで7000以上を数える。これらはSAML、OIDC、SCIMといったSSOやプロビジョニングの標準のプロトコルを用いている。
OINのビジョンは、SaaSイノベーション、そして企業とSaaS開発者の震源地となること。Oktaは中立と独立性を最大の強みとしており、OINは職場のユーザーとCustomer Identity Cloudを使うSaaS開発者の間の橋渡しができる。SaaS企業がCustomer Identity Cloudを使ってアプリを構築するようになると、従業員ユーザーがOINを使ってそれらのアプリを統合するようになるだろう。
企業はエンタープライズ対応のSaaSやアプリの採用を加速しており、データ主導の洞察がOINにどんどん流れ込んでくる。この洞察がOINをさらに価値あるものにする。Oktaは年に1回、業務アプリケーションの利用動向を「Businesses at Work」としてまとめているが、これに加えて従業員ユーザーがどのように使っているのかなどの深い情報が得られる。
このようなことから、OINはSaaSアプリ開発者の土台にもなるだろう。OINを土台にし、より革新的なアプリを構築できる。これが進むとネットワーク効果が出てきて、従業員ユーザーやSaaSアプリ開発者の更なる受け入れにつながるだろう。
現在、OktaはSaaSエコシステムをさらに前進させるOINを開発している。SaaSアプリがCustomer Identity Cloudを使うことで、企業はどのSaaSを使いたいか、どのSaaSが自社の業務にフィットしているのかを、セキュリティ、利用勝手、生産性のトレードオフを考えることなく選択できる。開発者は、本来の機能に集中できる。エンタープライズ仕様のセキュリティを考えることなく、エンタープライズ対応のSaaSを構築できる。その中心にあるのがOINだ。
このようにOINはさまざまな潜在性を秘めたもので、これを大切に育てていく。
2022年始のセキュリティ事件から学んだこと
――2022年初めにセキュリティ事件がありました。事件から学んだことを教えてください。
たくさんのことを学んだ。
最も大きなものはコミュニケーション、そしてプロセスだ。Oktaは、セキュリティアクションプランを公開した。それまでインシデント時の顧客リストは、システム管理者やITが中心だったが、コンプライアンスとセキュリティ担当者にも拡大した。簡単に聞こえるかもしれないが、万が一のことがあったときすぐに伝えなければならない。これは非常に重要だ。
簡単ではない学びもあった。セキュリティは複雑であり、顧客は信頼できるパートナーを持ちたいと思っている。今回の事件では、問題について誠意を持って対応し、それについてオープンになることを学んだ。
とても辛い事件になった。だが、担当部門でエクイティも進めた。
このように、我々は謙虚な姿勢でミスから学んでいる。その結果、現在は違う会社になった。同じことが起こらないように取れる対策をとっている。あの時起こったことを否定するのなら、これについてコミュニケーションをしないし、Oktaneのステージでも話さないだろう(McKinnon氏は基調講演でも触れた)。
取り組みは人、プロセス、テクノロジー。ここに大きな投資をしている。学んだことを製品にも活かしており、セキュリティポリシーの意思決定をより良いものにするための機能を開発している。