【レポート】イノベーションを加速するセキュリティ〜 AWS Identity Services でビジネスの成功の礎をつくる 〜(AWS-23) #AWSSummit

2022.05.25

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

今回は、2022年5月25 - 26日の2日間で開催されているAWS Summit Online 2022のセッションレポートをしていきます。セッションのサマリーを理解し、興味があるセッションをチェックすることに、ご活用ください。また、セッションのアーカイブも公開されますので、詳細はそちらをチェックしてください。

本記事は、「イノベーションを加速するセキュリティ〜 AWS Identity Services でビジネスの成功の礎をつくる 〜(AWS-23)」のレポート記事となります。

セッション概要

概要: お客様ビジネスの変革において、セキュリティとイノベーションは相反するものではなく、両立すべきものと捉えられはじめています。その中でもアイデンティティ&アクセス管理は、将来のビジネスを成功させるための基礎となる重要なセキュリティ要素です。このセッションでは、AWS Identity Services にフォーカスし、お客様がクラウド活用で直面する様々な課題における解決のポイントを紹介します。

スピーカー: AWS 技術統括本部 技術推進本部 セキュリティ ソリューションアーキテクト 勝原 達也

セッションレベル: Level 200: 初級者向け

セッションリンク(AWS Summit Online 2022 への登録が必要です)

レポート

本セッションについて

  • 想定視聴者
    • IAMの基本的な機能について理解しており、権限管理とアクセスコントロール分野でのセキュリティ改善を検討している方
    • AWS環境に対する、シングル・サインオンや多要素認証、モバイルアプリの認証・認可ワークロードに関心をお持ちの方
  • ゴール
    • AWS Identity Servicesの各サービスが適しているワークロードを把握し、活用すべきサービスを正しく選択できるようになる
    • AWS Identity Servicesを活用したセキュリティ改善の勘所を掴む

Agenda

  • セキュリティ vs イノベーション
  • AWS Identity Services によるセキュリティ改善の勘所 – 3つの視点
    • 適切なアクセス制御を実現するアーキテクチャ
      • データ境界
      • 最⼩権限への旅路
      • クレデンシャルの強化
    • 環境・⼈・ビジネスをシームレスに統合
      • 組織の AWS 環境の⼀元管理
      • アイデンティティ&アクセスの⼀元管理
    • ユーザー体験に直結する Web・モバイルアプリケーション
      • アプリケーション向けアイデンティティ・サービス
  • まとめ

セキュリティ vs イノベーション

イノベーションを加速するセキュリティの特徴

  • 自動化され、スケールすること
  • 可視化され、継続的に改善可能であること
  • コスト対効果に優れていること
  • 失敗コストが減り、チャレンジサイクルを回す文化を作る

AWS Identity Services

  • アイデンティティ&アクセス管理(IAM)
    • 誰が、何に、(ある条件のもとで)アクセスできる/できないを管理

AWS Identity Services を活⽤したスケールするセキュリティ改善の勘所 – 3 つの視点

適切なアクセス制御を実現するアーキテクチャ

  • データやアセットに必要なアクセスを提供しつつ、適切に保護したい
  • セキュリティガードレール
    • 開発スピードを妨げない
    • セキュリティ事故を防ぐ
    • 超えてはならない境界を定めておく
  • データ境界
    • 3つの境界要素を組み合わせるてデータ境界を作っていくことが大切
    • アイデンテティ境界・ネットワーク境界・リソース境界
  • IAM領域でデータ境界を形作るためのポリシーベースのアプローチ
    • IAM領域における3つのポリシー
    • IAM Policy・VPC Endpoint Policy・Resource-based Policy
    • 3つの境界要素と3つのポリシーを自由に組み合わせて、きめ細やかなアクセスコントロールを実現する
  • PARC
    • Principal(誰が), Action(どのような行為を), Resource(どのような対象へ), Condition(どのような条件で)
    • Conditionの部分で参照できるポリシー変数が用意されている
  • タグを用いてリソース境界を構成する手法
    • あるタグが付与されたプリンシパルだけが同じタグのリソースへアクセス可能
    • キーや値に一貫性があることが大事
    • AWS Resource Groups & Tag Editorを上手く利用
  • IAM Acccess Analyzer
    • 最小権限のための改善サイクル(作成->検証->改善)を継続的に回していくことが大切
  • "発⽣するインシデントの 80% は侵害された、あるいは弱いクレデンシャルに起因する"
    • Stephen Schmidt / Chief Information Security Officer, AWS (now CSO, Amazon) / AWS re:Inforce 2021 - Keynote
  • 他要素認証の有効化・一時クレデンシャルを活用したセキュアなアクセス

環境・⼈・ビジネスをシームレスに統合

  • マルチアカウントの統合管理やオンプレ・ビジネスアプリケーションに分散するアイデンティティの一元管理
    • AWSアカウントを分けて解決できる様々なビジネス用件がある
    • チーム特性に合った環境整備
    • ビジネスプロセスとの整合性
    • 請求の簡素化
    • 柔軟なセキュリティ制御
  • マルチアカウントに統制を - AWS Organizations
    • サービスコントロールポリシーで横断的統制
    • 階層化による組織管理
  • コラボレーションによるアクセスコントロール
    • ビジネスの拡大やイノベーションには、様々な人とのコラボレーションが必要
    • アクセスする人・経路・先
    • AWS Single Sign-On - アイデンティティ・ハブ

ユーザー体験に直結するWeb・モバイルアプリ

  • Cognito はお手軽かつフルマネージドなアプリケーション向けアイデンティティ・サービス
    • ユーザプール・IDプール
    • アーキテクチャ概要
      • ※動画内資料をご参照ください。Cognitoを利用した認証認可の流れを動画で分かりやすく学ぶことが出来ます。

まとめ

  • AWS Identity Services は様々なワークロードのセキュリティを自動化し、改善し、スケールさせる
    • IAM: ポリシーと条件を用いたデータ境界
    • IAM Access Analyzer: 最⼩権限への継続的な取り組み
    • 多要素認証と⼀時クレデンシャル: クレデンシャルの強化
    • AWS Organizations: マルチアカウント統制
    • AWS Single Sign-On と AWS Directory Service: アイデンティティ&アクセスの⼀元管理
    • Amazon Cognito: セキュアでユーザー体験に優れたサインイン&サインアップ

最後に

普段利用しているAWS Identity Servicesに関して、改めて全体像を理解し、各々のサービスの特性について体系的に学ぶことが出来ました。ビジネスとセキュリティは両立でき、相乗効果があること、またそのような考え方を改めて理解することで、今後開発する上での心持ちや課題解決にも大いに活かすことが出来そうです。

ぜひAWS Summit Onlineに登録して、セッションのアーカイブも確認してみてください!スライド資料も配布されていたので要チェックです。