[レポート] Secure and scalable customer IAM with Cognito: Wiz's success story #IAM221 #AWSreInforce

あしざわです。

米国東海岸で開催されているAWS re:Inforce 2025 に現地参加しています。

今回の記事では re:Inforce 2025 のLightning Talkセッションの1つ、「Secure and scalable customer IAM with Cognito: Wiz's success story」についてレポートします。

セッション概要

• セッションID：IAM221
• セッションタイプ：Lightning Talk
• レベル：200 - Intermediate
• スピーカー
  • Alex Duarte（Field CTO, Wiz）
  • Rahul Sharma（Principal Product Manager - Technical, Amazon Web Services (AWS)）
• 概要
  • デジタル変革では、セキュリティとユーザー体験の向上のために顧客ID・アクセス管理（CIAM）の近代化が必要となることが多い。このプロセスは、企業が必要とするセキュリティとスケールを提供するフルマネージドCIAMサービスであるAmazon Cognitoなどの技術から恩恵を受けることができる。このセッションでは、クラウドセキュリティ企業のWizがどのようにAmazon Cognitoを移行戦略に活用し、FedRAMP認証、99.9%の可用性、IAMコストの70%削減を達成したかを学ぶ。彼らのジャーニーから洞察を得て、自身のデジタル変革においてセキュリティとユーザー体験を向上させるベストプラクティスを学ぶ。

3行まとめ（キーポイント）

• デジタル変革の成功にはCIAMが重要で、悪いオンライン体験により88%のユーザーが離脱し、パスワード忘れで42%が購入を諦める
• WizはAmazon Cognitoへの移行により99.9%のSLA向上、FedRAMP High準拠、IAMコスト70%削減を実現
• WizのようなB2B企業では顧客主導の移行戦略が効果的で、新機能のインセンティブと完全セルフサービス化により1年で1,000社以上の移行を達成

セッションの内容

デジタル変革における顧客IAMの重要性

CIAMがDXの心臓部である理由

現代のデジタル変革において、顧客IAM（CIAM）は極めて重要な役割を果たしています。3つの重要な統計データがその理由を物語っています。

第一に、悪いオンライン体験をした88%のオンラインユーザーが戻ってこないという事実です。ログイン画面での摩擦的な体験は顧客ロイヤルティと収益に直接影響します。第二に、42%のオンラインユーザーがパスワードを忘れたことで購入を断念するという現実があります。認証の問題は直接的な収益機会の損失につながります。第三に、74%のデータ侵害が盗まれた認証情報やソーシャルエンジニアリングに関連しており、認証は悪意のある攻撃者にとって最初の攻撃対象となっています。

現代企業がCIAMに求める要件

これらの背景を踏まえ、現代企業がCIAMソリューションに求める要件は多岐にわたります。

スケーラビリティが最優先事項として挙げられます。組織の成長に伴い、数百万人のユーザーと毎秒数千の認証処理に対応できるソリューションが必要です。開発速度も重要で、レガシーツールや自作の認証システムは複雑で脆弱、拡張困難なことが多く、開発者は差別化につながらない重労働に時間を費やすことになります。

グローバルコンプライアンスへの対応も不可欠です。HIPAA、FedRAMPなど、さまざまなコンプライアンス要件が業界や地域を問わず必須となっています。最後に、高度なセキュリティ機能として、認証情報の盗用やセッションハイジャックなどの新興の脅威に対する検出・修復機能が求められています。

Amazon Cognitoによるソリューション

Cognitoの主要機能と利点

Amazon CognitoはAWSの顧客IAMソリューションとして、これらの要件に対応します。高可用性とスケールの面では、複数のAWSリージョンで利用可能で、数百万人のユーザーをサポートし、月間1,000億件を超える認証を処理する実績があります。

開発者の負荷軽減においては、カスタムアプリケーション構築に必要な複雑な認証インフラの重労働を軽減します。ユーザープールの設定が数分で完了し、Lambda、WAF、API Gatewayなどの他のAWSサービスとの統合も容易です。

セキュリティ認証では、HIPAA、FedRAMPなどのコンプライアンス要件にすぐに対応できます。また、アカウント乗っ取り攻撃から保護するための脅威検出機能も事前構築されています。

ユーザー移行戦略の選択肢

Cognitoは様々なビジネスニーズに対応する複数の移行パターンをサポートしています。

ユーザーインポートジョブは、CSV形式でのアップロードにより既存ユーザーを迅速に移行できますが、ユーザーはパスワードをリセットする必要があります。管理者作成ユーザーでは、管理者が自動的にユーザーをプロビジョニングできます。

ジャストインタイム移行戦略では、Lambda関数を使用してレガシーシステムと連携し、ユーザーがログインする際にシームレスに移行を行います。ダウンタイムがない反面、非アクティブユーザーの長期的な残存が課題となります。多くの顧客はハイブリッドアプローチとして、これらの戦略を組み合わせて使用しています。

Wizの移行ジャーニー

ビジネスコンテキストと選択理由

Wizは世界のFortune 100企業の半数以上に信頼されるクラウドセキュリティ企業で、Salesforce、Snowflake、Morgan Stanley、Blackstoneなどの企業が利用しています。同社の統合クラウドセキュリティプラットフォームは、コードからランタイムまでのクラウド環境全体を保護し、プラットフォームユーザーの半数以上がセキュリティチーム以外のメンバーという特徴があります。

Cognitoへの移行を決定した背景には、FedRAMP Medium認証からFedRAMP High認証への移行、SLAの95%から99.9%への改善、ポータルユーザーとマシンIDの統合ソリューションの必要性がありました。

顧客主導の移行戦略

Wizが採用した移行戦略の特徴は、顧客へ完全なコントロールを委ねることでした。移行をプロジェクトではなくプロダクトとして扱い、ユーザーが移行タイミングを決定できるようにしました。これにより良好な体験を提供し、手動作業を大幅に削減できました。

ダウンタイムゼロ のシームレス移行を実現し、新機能は新しいアイデンティティプラットフォームでのみ提供することでインセンティブ設計を行いました。これは「ニンジンと棒」アプローチと呼ばれ、古いシステムのユーザーに移行の動機を与えました。

移行プロセスと成果

12ヶ月間の移行プロセスでは、最初の月にベストプラクティスの検証、2-3ヶ月目に統合環境でのPoCと主要機能テスト、4ヶ月目に新規顧客テナントのCognito利用開始、5-6ヶ月目に移行体験のプロダクト化を行いました。

移行のプロダクト化には、ポップアップ表示、移行手順のシミュレーション、各ステップの詳細説明が含まれ、サポートスタッフの介入なしにユーザーが移行プロセスを理解できるようにしました。新機能を新しいプラットフォームでのみ提供することで、移行の動機付けを行いました。

結果として、1年間で1,000以上の顧客テナント、10,000人の月間アクティブユーザー、100,000のマシンIDを移行し、約80%の顧客が追加支援なしで移行を完了しました。

新しい学び・発見

このセッションを通じて、特にWizの「B2B」「マルチテナント・フェデレーテッドアイデンティティ」という特性を活かした顧客主導移行アプローチに大きな衝撃を受けました。従来のサービス提供側主導の移行ではなく、移行を完全に顧客の手に委ねるという発想は目から鱗でした。

Cognitoの機能概要は理解していましたが、CIAMの実際の運用ケースや移行パターンについては全く知識がなかったため、断片的ながらも実用的な知見を得ることができました。

WizがCognitoを選定した理由が、迅速な開発体験だけでなくSLA改善やコンプライアンス取得というビジネスコンテキストにあったという点も興味深い発見でした。Cognitoより優れた機能を持つサービスは他にも存在するかもしれませんが、非機能要件を含めた費用対効果を総合的に考慮すると、Cognitoが有力な選択肢として浮上することが理解できました。

また、顧客の移行を促進するために新機能利用というインセンティブを設計する点も、CIAMの移行設計での重要な要素として参考になりました。

最後に

ここまでre:Inforce 2025のセッション「Secure and scalable customer IAM with Cognito: Wiz's success story」についてレポートしました。

この記事が誰かの役に立てば幸いです。

以上です。