【セッションレポート】高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは #AWSSummit

【セッションレポート】高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは #AWSSummit

2024年6月20日~21日に開催された「AWS Summit Japan」に参加しました! 当記事では、AWS Summitのセッションの中から、「高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは 」というセッションのレポートをお届けします。
Clock Icon2024.06.28

こんにちは、こんばんは。
業務効率化ソリューション部/ゲームソリューション部のきだぱんです。

2024年6月20日~21日に開催された[AWS Summit Japan]に参加しました!
当記事では、AWS Summitのセッションの中から、「高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは」というセッションのレポートをお届けします。

※本記事は投稿させていただくにあたり、登壇者であるOkta Japan株式会社 辻様にご承諾いただき、公開させていただいております。

セッション概要

タイトル

「高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは」 (AP-32 パートナーセッション)

概要

デジタルサービスの利⽤が拡⼤する中、サービスの⼊り⼝となるログインはセキュリティを⾼めるだけではなく、ユーザ体験の向上も求められており、重視され要件も複雑化しています。例えば、パスワードの認証だけではなくパスキーやソーシャルログイン、企業内 IdP 連携などのログイン⽅法の実装であったり、攻撃検知や漏洩パスワード検知などの⾼度なセキュリティなどが必要とされることがあります。本セッションでは、そういったログインを Okta CIC (Customer Identity Cloud, powered by Auht0) を使ってアプリケーションに簡単に組み込めることを組み込み⼿順の動画も含めてご紹介します。また、リリースされたばかりの認可のための新サービス Okta FGA についても簡単にですが紹介します。

スピーカー

Okta Japan株式会社
シニアソリューションエンジニア
辻 義一 氏

レポート

アジェンダ

  • CICの基本機能+デモ
  • セキュリティ機能+デモ
  • まとめ

Oktaが提供するサービス

OktaではCustomer Identity CloudWorkforce Identity Cloudの二種類のサービスを提供しています。
両サービスとも、AWS 東京・大阪リージョンを選択可能です!

Customer Identity Cloud

Customer Identity Cloud(※以下CIC)は、特にB2B SaaSでの使用を想定しており、企業が顧客のアイデンティティ管理を効率的に行うための包括的なソリューションです。
顧客向けのアイデンティティおよびアクセス管理ソリューションで、シングルサインオン(SSO)や多要素認証(MFA)を提供し、顧客体験とセキュリティを向上させます。
APIを通じて開発者が容易に統合でき、スケーラビリティとパフォーマンスを重視しています。
CICを導入することで、企業はセキュリティを強化しつつ、顧客に対して優れたユーザーエクスペリエンスを提供することができます。

Workforce Identity Cloud

Workforce Identity Cloud(※以下WIC)は、企業が従業員やパートナーのアイデンティティ管理を効率的に行い、セキュリティを強化しつつ、優れたユーザーエクスペリエンスを提供するための包括的なソリューションです。
従業員やパートナー向けのアイデンティティおよびアクセス管理ソリューションで、シングルサインオン(SSO)や多要素認証(MFA)を提供し、内部ユーザーのセキュリティと効率を向上させます。
ディレクトリ統合や自動プロビジョニング機能も備え、IT管理を簡素化します。これにより、企業は内部のアイデンティティ管理を最適化し、セキュリティリスクを軽減できます。

今回は、CICに重点を置いたセッションとなってます。

Okta CICの基本機能

CICはアプリケーションから見ると主にOpenID Connect(OIDC)IdPとして動作し、認証認可の機能を提供します。
アプリケーションはOIDCのクライアント(RP)として実装します。

AWS上のアプリケーションで使用する場合

Amazon API GatewayのHTTP APIでは、JWY形式のオーソライザを使用することで簡単に利用できます。

SDK

フロントエンドでは、サインアップやログインをするためにユニバーサルログインをOpenID ConnectやSAMLに沿って呼び出す必要があります。
またバックエンドでもトークンを検証して認可する必要があります。
CICでは、各種プログラミング言語やフレームワークに対応したSDKが豊富に用意されており、サービス間連携を容易にします。
iOSやAndroid、Windowsネイティブアプリケーションなどにも幅広く対応しており、SDKを組み込むだけで容易な連携が可能です。

Next.jsアプリにCICを組み込みログインするデモが行われました。
〜後ほど、自分でも試してこちらに執筆いたします。〜

パスワード認証について

パスワードレス認証は、パスワードを使用せずにユーザーを認証する方法で、セキュリティ強化とユーザー体験の向上を目的としています。
これにより、パスワード漏洩や使い回しのリスクを回避し、フィッシング攻撃を防止します。
また、ユーザーはパスワードを覚える必要がなく、ログインが簡単になり、IT部門の管理負担と運用コストも削減されます。

  • Email:PCや携帯電話でメールに届くワンタイムコードを入力してログイン
  • SMS:携帯電話に届くワンタイムコードを入力してログイン
  • パスキー:PCや携帯電話で生体認証などを使ってログイン

外部IdP連携

CICでは、外部IDプロバイダー(Identity Provider, IdP)連携が可能です。
B2Bでは、Googleなどのサービスと連携することでユーザや管理者の利便性、セキュリティを向上させることができます。
CICでは、多くのIdp用テンプレートが用意されており、簡単に設定することができます。  

セキュリティ機能

CICにはセキュリティー機能がたくさんあります。

機能名 機能概要
ブルートフォース検知 (Brute-Force Protection) 特定のユーザに対するログインにおける連続したパスワード間違いを検知することで、ブルートフォース攻撃による不正ログインを防ぎます。
IPスロットリング検知 (Suspicious IP Throttling) 同じIPアドレスからの異常な数のログイン試行や会員登録を検知することで、不正なアカウント登録や不正ログインを防ぎます。
ボット検知 (Bot Detection) ボットやスクリプトを使ったアクセスを検知し、CAPTCHAを表示します。一般ユーザのUXを維持したままセキュリティを向上します。
漏洩パスワード検知 (Breached Password Detection) 他のサービスから漏洩したパスワードを使ったログイン試行を検知することで、リスト型攻撃による不正ログインを防ぎます。
クレデンシャルガード (Credential Guard) 専任のセキュリティチームが犯罪チームに潜入して公開されていない250億の認証情報・漏洩データを最長36時間以内に検出・取得。200の国・地域で35の言語をカバーします。
プロMFA (Professional MFA) Google Authenticator や Duo といったサービスベンダーのワンタイムパスワードソフトウェアを使ったMFAによりセキュリティを向上します。
エンタープライズMFA (Enterprise MFA) 生体認証やショートメール(SMS)、メールの認証コードの送付、モバイルアプリなどへのプッシュ通知での許可確認、WebAuthnを使った生体認証を行います。
アダプティブMFA (Adaptive MFA) 全てのアクセスにMFAを求めるのではなく、デバイス情報や接続元情報などからログイン操作のリスクを自動的にスコアリングし、リスクの高い時にのみMFAを求めることで、UXを維持したままセキュリティを向上します。

セッションでは、特にボット検知と漏洩パスワード検知について触れられていました。

  • ボット検知
    • 機能
    • 複数ソースのデータインテリジェンスを使用してユーザ登録やログイン時に分析し、人以外からのアクセスの可能性が高い場合にCAPTCHAなどの入力を求めて保護します。これにより、ボットや自動化された攻撃からシステムを守り、正当なユーザのみがアクセスできるようにします。また、異常なパターンや行動をリアルタイムで検知し、即座に対応することで、セキュリティの強化を図ります。
    • 価値
    • ユーザ体験に大きな影響を与えることなく、リスト型攻撃などのスクリプト攻撃を検出し、防ぎます。この機能は、ユーザの利便性を損なわずにセキュリティを確保することを目指しており、ユーザがストレスなくサービスを利用できる環境を提供します。さらに、攻撃の兆候を早期に察知し、被害を未然に防ぐことで、企業の信頼性を高めます。
    • 重要性
    • 既存の速度と試行回数に基づく検知機能をより高度なレピュテーション基準で補完します。これにより、リスト型攻撃に対処するための、効果的なソリューションとなります。高度なレピュテーション基準は、過去のデータや他のシステムからの情報を活用して、より正確な脅威評価を行います。これにより、誤検知を減らし、真の脅威に対して迅速かつ適切に対応することが可能になります。また、このアプローチは、セキュリティチームの負担を軽減し、リソースを最適化するのにも役立ちます。
  • 漏洩パスワード検知
    • 機能
    • 過去のデータ漏洩から数百万件の漏洩パスワードデータベースとユーザが入力したメールアドレス・パスワードをリアルタイムで比較し、一致した場合は即座にパスワードの変更を促します。この機能は、ユーザのアカウントが既知の漏洩データに含まれているかどうかを迅速に確認し、必要な対策を取ることで、セキュリティリスクを最小限に抑えます。また、ユーザに対して強力なパスワードの作成を推奨する通知も行い、全体的なアカウントのセキュリティを向上させます。

    • 価値

    • 漏洩したクレデンシャルによるユーザ認証を防ぎ、悪質な行為者によるアカウント乗っ取りを防ぎます。この機能は、ユーザの個人情報や機密データを保護するための重要な手段であり、企業の信頼性を高めます。さらに、ユーザが安心してサービスを利用できる環境を提供することで、顧客満足度の向上にも寄与します。定期的なセキュリティチェックと併せて、持続的なセキュリティ強化を実現します。

    • 重要性

    • ユーザが他のサービスと同じパスワードを使っている場合でも、攻撃者からアカウントを守ることができます。多くのユーザが複数のサービスで同じパスワードを使い回す傾向があるため、この機能は特に重要です。パスワードの再利用によるリスクを軽減し、全体的なセキュリティの強化を図ります。また、この機能は企業のコンプライアンス要件を満たすための一環としても重要であり、データ保護に関する規制に対応するための有効な手段となります。

その他機能の活用

MFAを活用

  • リスクが高い時にだけMFAをリクエスト
    • ユーザの行動やアクセス元の情報を分析し、リスクが高いと判断された場合にのみ多要素認証(MFA)を要求します。これにより、通常のアクセス時にはユーザの利便性を損なわずにセキュリティを強化します。
  • 重要な操作を行う前に再認証
    • アカウント設定の変更や高額取引など、重要な操作を行う前に再度認証を求めることで、アカウントの安全性を確保します。これにより、不正アクセスによる重大な被害を防ぎます。
  • FAPI対応により決済に紐付けて再認証
    • Financial-grade API(FAPI)に対応し、決済処理時に追加の認証ステップを導入します。これにより、金融取引のセキュリティを強化し、不正な決済を防止します。

シングルログアウト

  • OIDC Backchannel Logoutを使って全てのアプリケーションからログアウト
    • OpenID Connect(OIDC)のバックチャネルログアウト機能を利用して、ユーザが1つのアプリケーションからログアウトすると、他の全ての関連アプリケーションからも自動的にログアウトされるようにします。これにより、セッション管理が一元化され、セキュリティが向上します。
  • ソーシャルサービスや企業内IdPからもログアウト
    • ソーシャルログインや企業内のアイデンティティプロバイダ(IdP)を利用している場合でも、シングルログアウトを実現します。これにより、ユーザが複数のサービスを利用している場合でも、一度の操作で全てのセッションを終了できます。

管理機能のセキュリティ

  • 管理権限をロールで管理
    • 管理者権限をロールベースで細かく設定し、必要な権限のみを付与することで、内部からの不正行為を防ぎます。これにより、セキュリティポリシーに従った権限管理が可能になります。
  • 管理ダッシュボードに企業内IdPからSSO
    • 管理ダッシュボードへのアクセスには、企業内のアイデンティティプロバイダ(IdP)を利用したシングルサインオン(SSO)を導入し、管理者の利便性とセキュリティを両立させます。
  • セキュリティセンターで攻撃検知状況を可視化
    • セキュリティセンターを設置し、リアルタイムで攻撃検知状況を可視化します。これにより、迅速な対応が可能となり、被害を最小限に抑えることができます。
  • ログを別クラウドサービスへストリーミング
    • 監査ログやアクセスログを別のクラウドサービスにストリーミングし、長期保存と分析を行います。これにより、コンプライアンス要件を満たし、問題発生時の迅速なトラブルシューティングが可能になります。

PCI-DSS、HIPPAコンプライアンスへの対応

  • 支払いカード業界データセキュリティ標準(PCI-DSS)や医療保険の相互運用性と説明責任に関する法律(HIPPA)に準拠したセキュリティ対策を実施し、データ保護とプライバシーを確保します。これにより、法規制に対応し、顧客の信頼を獲得します。

感想

今回は、AWS Summitのセッションの中から、「高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは」というセッションのレポートをお届けしました。
CICはB2B SaaS企業にとって、顧客のアイデンティティ管理を効率化し、セキュリティとユーザーエクスペリエンスを向上させるための強力なソリューションです。
APIを通じた容易な統合と高いスケーラビリティが魅力的だということがわかりました。

DevelopersIOでは、AWS Summitの他セッションやイベントの様子等に関するブログも展開されていますので、是非こちらもご覧ください。

Oktaに関するブログはこちらです。

この記事がどなたかのお役に立てば幸いです。 以上、きだぱんでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.