![[レポート]真の DX 実現に最適なゼロトラストセキュリティとガバナンス – AWS Security Forum Japan 2023 #aws #awssecurity](https://devio2023-media.developers.io/wp-content/uploads/2023/10/AWS_Security_Forum_Japan_2023_logo.png){kind=logo}
[レポート]真の DX 実現に最適なゼロトラストセキュリティとガバナンス – AWS Security Forum Japan 2023 #aws #awssecurity
AWS Security Forum Japan 2023で行われた「真の DX 実現に最適なゼロトラストセキュリティとガバナンス」のセッションレポートです。
こんにちは、臼田です。
みなさん、AWSのセキュリティ対策してますか?(挨拶
今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。
真の DX 実現に最適なゼロトラストセキュリティとガバナンス
ビジネススピードの加速によって、IT 部門への要求も複雑化かつ高速化が求められています。生産性の向上とセキュリティ、更には利便性までをも向上させることは本当に可能なのでしょうか?本セッションではクラウドファースト戦略に最適なゼロトラストセキュリティの実現と、ガバナンス対応、更には利便性までをもアイデンティティ管理によって実現できる仕組みをご紹介させていただきます。
Okta Japan 株式会社 ソリューションエンジニア 飯村 卓也 氏
レポート
- Oktaのサービス紹介
- 2つのサービス
- Workforce Identity Cloud
- 従業員向け
- Customer Identity Cloud
- Auth0を買収した
- Okta Workforce Identity Cloud
- アクセス管理 + ID管理 + ガバナンス
- 重要員の扱う端末から業務アプリに対して認証認可を行う
- このときにMDMやCASBなどと連携してゼロトラストを実現する
- IDの源泉としてオンプレミスADなども連携できる
- ID源泉で変更されたものは自動的にOktaに動悸される
- プロビジョニングも自動化される
- 監査やID棚卸しレポートも生成できる
- SSHやRDPでのアクセスなどもSSOと同じでアクセスできる
- これらを細かく説明していく
- 真の DX 実現に最適な環境とは
- ビジネスサイクルを加速させて利益を上げるために必要なサービス/システムを迅速にセキュアに簡単に使うことができる環境
- ユーザーが使えるだけでなく管理者も簡単に使えるということ
- システムの拡大や縮小に合わせて迅速に変えていく
- IT管理者は新しいアプリが必要になったらすぐにSSOしたい
- IT管理者は部署異動やステータスの変更で権限を外す操作も必要になる
- セキュリティを上げるためにMFAが必要になる
- MFAで毎回6桁の数字を打つのではなく、ボタン一つでMFAできるようになっている
- 人事情報が更新されるとOktaに自動で連携され運用の必要がない
- 高可用性&高信頼性
- OktaはAWS上に構築されていて、マルチリージョンで提供し各リージョンでも多重化している
- IDaaSが利用できないとすべてが利用できなくなるのでここは特に力を入れている
- Oktaは毎週更新しているが、可用性が確保されているのでユーザー影響がない
- 過去5年間の実稼働率99.997%
- ベスト・オブ・ブリードのエコシステム
- 様々なセキュリティ製品と連携する
- 3つのことを見対したい
- 本人がアクセスしているか
- 端末が侵害されていないか
- 経路上で情報が抜かれないか
- 本人かどうかはOktaで指紋認証などで担保する
- 経路はOktaだけでは担保出来ないので組み合わせる
- MDMと連携して証明書が入っている端末であれば社給端末を識別したり
- CASBでスコアを確認したり
- OktaとAWSの連携について
- Oktaでは全ての方式で認証認可ができる
- 効果的に認証認可の管理ができる
- SSO
- シングルサインオン
- SAMLやOpenIDなど各種フェデレーション対応
- フォームベース認証で組み込むことも可能
- OINにより7,600以上の連携済みアプリであれば5分でSSO統合可能
- Oktaがアプリ側も含めた試験とドキュメント整備をしている
- 殆どの項目を自動的に入力して、管理者は必要なID/passなどだけで連携できる
- OPA
- SSH/RDPでのアクセス
- 一般的にはPAMの領域
- サーバーへのアクセスを最小権限で都度都度発行する
- 一時的な証明書でアクセスする
- Adaptive MFA
- 適応型の多要素認証
- 様々な認証の要素をサポートしている
- Adaptiveではアクセスさせるか、追加のMFAを求めるかを判断する
- 端末に証明書が入っていて、OSが最新になっていて、EDRのスコアがいいかとかチェックする
- 送信元が遠いと止めるなど
- リスクが高いとアクセス拒否できる
- Okta Fast Pass
- パスワードレス
- 所有と生体認証
- ボタンを押すだけ
- LifeCycle Management
- 既存のユーザー管理をそのままにして同期もできる
- 従業員はADに入るが外部ベンダーはOktaだけに入れるなどの使い分けもできる
- OIG
- ガバナンス機能
- エンドユーザーからアクセスをリクエストできる
- アプリケーションを選んで申請すると、承認者に連絡が行く
- 監査ではそのOK/NGが確認できたり、レポート出せる
感想
ID管理のための仕組みがいろいろあっていいですね。
AWS環境含めてうまく利用していきたいですね。
