Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウド時代における一時権限取得
Search
krrrr38
February 28, 2026
Technology
280
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
クラウド時代における一時権限取得
2026/02/28 SRE Kaigi 2026 延長線 #srekaigi_ex
krrrr38
February 28, 2026
More Decks by krrrr38
See All by krrrr38
証券システムを10年Scalaで作り続けるということ - 関数型まつり2026
krrrr38
3
840
FOLIOにおけるAWS活用事例 - SBI Tech Day 2025
krrrr38
0
27
Scramble4 FOLIO栄枯盛衰今昔物語
krrrr38
0
660
Other Decks in Technology
See All in Technology
Baseline対応のDOMの型定義を作った
uhyo
3
730
AI時代の EM への処方箋
staka121
PRO
0
130
「早く出す」より「事業に効く」 ── 顧客の業務サイクルから逆算するAI時代の二重ループ開発と「変化の設計者」 / devsumi2026
rakus_dev
1
200
Compose 新機能総まとめ / What's New in Jetpack Compose
yanzm
0
160
脱金融のフューチャー・デザイン / Future Design Beyond Finance
ks91
PRO
0
150
KiCAD講習会②
tutcreators
0
110
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
310
Claude Codeとハーネスについて考えてみる
oikon48
18
9.3k
実装だけじゃない! CCA-F取得エンジニアが教えるClaude Code開発プロセス活用術
diggymo
2
580
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
220
ソニー銀行におけるビジネスアジリティ向上のためのクラウドシフト戦略
srenext
0
130
Amazon EVS で VCF 9.0 / 9.1 のサポート開始まとめ
mtoyoda
0
290
Featured
See All Featured
Prompt Engineering for Job Search
mfonobong
0
370
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
170
WENDY [Excerpt]
tessaabrams
11
38k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
BBQ
matthewcrist
89
10k
Visualization
eitanlees
152
17k
Facilitating Awesome Meetings
lara
57
7k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.9k
Chasing Engaging Ingredients in Design
codingconduct
0
230
Tell your own story through comics
letsgokoyo
1
990
Transcript
Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved. クラウド時代における一時権限取得
2026/02/28 SRE Kaigi 延長戦
2 自己紹介 • 海津 研 / Ken Kaizu • X:
@krrrr38 • 株式会社FOLIO • 執行役員CTO • フィナンシャルテクノロジー本部 • 株式会社FOLIO ホールディングス • 情報戦略部 • 2018年1月より株式会社FOLIO • バックエンド・インフラがメイン
3 株式会社FOLIO 事業概要 ※画像はサンプルです。当社の事業紹介を目的としたものであり、投資勧誘を意図するものではありません。
4 会社紹介 - 総取扱資産残高・導入先 グループ内総取扱資産残高 4RAP導入先 ※「総取扱資産残高」とは、「FOLIOが直接お客さまに提供する投資一任運用サービスに関連してお預かりしている資産(ROBOPRO等)」、「銀行・証券会社等の金融機関にお ける、4RAPを活用した投資一任運用サービスの預り資産」、「FOLIOが投資助言業を行っている金融商品の資産(ROBOPROファンド等)」の合計金額を指します。
5 開発・運用体制について AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 契約管理システムの
アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール 口座管理システムの アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール ※ 本日のメインの話
今日の話 「一時権限取得」
7 一時権限取得を利用しないケース 恒常的に強い権限を持つことのリスク • 誤操作リスク • 通常運用権限との差別化 • 不必要な権限 •
影響範囲が意図せず拡大する • 監査が不能となる • セキュリティリスク • 認証情報漏洩・マルウェア感染 • 2026年のセキュリティトレンドでも エージェント型AIは注目される 恒常的な強権限は「便利さ」と引き換えに、 運用・セキュリティ・信頼性すべてのリスクを常時肥大化する
8 一時権限取得の必要性・要件 AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 開発・運用に必要な権限の取得
• 誰が、いつ、何を行いたいか • 障害対応に伴いS3ファイル削除をしたい… • 特別運用としてDB Write操作をしたい… 権限取得要件 • 最小権限 • 一時クレデンシャル • 承認フロー(権限要求) • ログ・監査(証跡) インシデント対応設計 事故を防ぐ仕組み
9 一時権限取得を利用する流れ 通常運用時 • 必要最低限の権限のみの保持とする • Read権限も、機密性の高いものは アクセスさせない 一時権限取得時 •
承認フローによる権限取得 • 牽制を効かせて、記録を残す • 必要最低限の権限となる確認 • 失効機能による一時的な権限 ※ 一時的な認証情報も、生のまま端末に保存するのは避ける
10 一時権限取得 “how” - AWS権限取得 • Chat Bot • Hubot・ruboty
• Slack Bolt・Slack Workflow • チャットUIを用いた申請フロー • Netflix ConsoleMe • 2020年からあるAWS権限管理OSS • Weepというcli toolと連携可能 • CLI Tools • assume-role は、一時権限取得相当 全ての要件を満たすためには要カスタマイズ
11 一時権限取得 “how” - AWS権限取得 Temporary elevated access management •
TEAM • github.com/aws-samples で 公開されている権限管理OSS • 2023年に公開されたAWSが 開発を行うツール • 機能 • 承認ワークフロー • 履歴管理 • AWS IAM Identity Center / Organization との統合 https://aws-samples.github.io/iam-identity-center-team/
12 SaaS時代における認証・認可グループ管理 課題 • AWSだけならば… • TEAMなどの導入で、一時権限取得可能 → 様々なSaaSを利用する度にツールの導入はしたくない IdPによるグループ管理の検討
13 IdP 権限許可グループのアサイン制御 IdPのグループのアサインによる権限取得 • SaaSにおける権限グループの整理 • AWSの場合、Roleを整理 • RBAC
→ ABAC によるリソース制御 • IdPのグループとマッピングを作成 • SaaS権限グループ x IdPグループ • IdPグループのアサインは空にする • 権限管理システムによる権限取得 • IdPグループへのアサインを実施 IdPと連携可能なSaaSはIdPで統合管理が可能になる SCIM による即時反映が出来ることが望ましい
14 事例: Microsoft Entra ID x PIMによる一時権限取得 Microsoft Entra Privileged
Identity Management • 時間ベース・承認ベースのロールの Just-In-Time アクティブ化 FOLIOにおける一時権限取得例 • AWS IAM Roleの一時利用 • DBユーザ発行(vault)の一時利用 • Argo Workflow 実行の一時利用 • Argo CD 実行の一時利用 • Jenkins 実行の一時利用 • Entra ID 特権ロールの一時利用 • … IdPを中心にした汎用的な一時権限取得の実現
15 まとめ - 一時権限取得 一時権限取得 • 承認フローによる権限取得 • 牽制を効かせて、記録を残す •
必要最低限の権限となる確認 • 失効機能による一時的な権限 • IdPと連携した権限付与 • SaaS時代における汎用的な仕組み 事故を防ぎ、開発体験を良くしていく
16 ©FOLIO Co., Ltd. Mission Keep Innovating The Financial Industry
Vision 技術と創造で“未来の金融”の礎となる
THANK YOU