クラウド時代における一時権限取得

Transcript

1. Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved. クラウド時代における一時権限取得

   2026/02/28 SRE Kaigi 延長戦

2. 2 自己紹介 • 海津 研 / Ken Kaizu • X:

   @krrrr38 • 株式会社FOLIO • 執行役員CTO • フィナンシャルテクノロジー本部 • 株式会社FOLIO ホールディングス • 情報戦略部 • 2018年1月より株式会社FOLIO • バックエンド・インフラがメイン

3. 3 株式会社FOLIO 事業概要 ※画像はサンプルです。当社の事業紹介を目的としたものであり、投資勧誘を意図するものではありません。

4. 4 会社紹介 - 総取扱資産残高・導入先 グループ内総取扱資産残高 ４RAP導入先 ※「総取扱資産残高」とは、「FOLIOが直接お客さまに提供する投資一任運用サービスに関連してお預かりしている資産（ROBOPRO等）」、「銀行・証券会社等の金融機関にお ける、4RAPを活用した投資一任運用サービスの預り資産」、「FOLIOが投資助言業を行っている金融商品の資産（ROBOPROファンド等）」の合計金額を指します。

5. 5 開発・運用体制について AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 契約管理システムの

   アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール 口座管理システムの アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール ※ 本日のメインの話

6. 今日の話 「一時権限取得」

7. 7 一時権限取得を利用しないケース 恒常的に強い権限を持つことのリスク • 誤操作リスク • 通常運用権限との差別化 • 不必要な権限 •

   影響範囲が意図せず拡大する • 監査が不能となる • セキュリティリスク • 認証情報漏洩・マルウェア感染 • 2026年のセキュリティトレンドでも エージェント型AIは注目される 恒常的な強権限は「便利さ」と引き換えに、 運用・セキュリティ・信頼性すべてのリスクを常時肥大化する

8. 8 一時権限取得の必要性・要件 AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 開発・運用に必要な権限の取得

   • 誰が、いつ、何を行いたいか • 障害対応に伴いS3ファイル削除をしたい… • 特別運用としてDB Write操作をしたい… 権限取得要件 • 最小権限 • 一時クレデンシャル • 承認フロー（権限要求） • ログ・監査（証跡） インシデント対応設計 事故を防ぐ仕組み

9. 9 一時権限取得を利用する流れ 通常運用時 • 必要最低限の権限のみの保持とする • Read権限も、機密性の高いものは アクセスさせない 一時権限取得時 •

   承認フローによる権限取得 • 牽制を効かせて、記録を残す • 必要最低限の権限となる確認 • 失効機能による一時的な権限 ※ 一時的な認証情報も、生のまま端末に保存するのは避ける

10. 10 一時権限取得 “how” - AWS権限取得 • Chat Bot • Hubot・ruboty

    • Slack Bolt・Slack Workflow • チャットUIを用いた申請フロー • Netflix ConsoleMe • 2020年からあるAWS権限管理OSS • Weepというcli toolと連携可能 • CLI Tools • assume-role は、一時権限取得相当 全ての要件を満たすためには要カスタマイズ

11. 11 一時権限取得 “how” - AWS権限取得 Temporary elevated access management •

    TEAM • github.com/aws-samples で 公開されている権限管理OSS • 2023年に公開されたAWSが 開発を行うツール • 機能 • 承認ワークフロー • 履歴管理 • AWS IAM Identity Center / Organization との統合 https://aws-samples.github.io/iam-identity-center-team/

12. 12 SaaS時代における認証・認可グループ管理 課題 • AWSだけならば… • TEAMなどの導入で、一時権限取得可能 → 様々なSaaSを利用する度にツールの導入はしたくない IdPによるグループ管理の検討

13. 13 IdP 権限許可グループのアサイン制御 IdPのグループのアサインによる権限取得 • SaaSにおける権限グループの整理 • AWSの場合、Roleを整理 • RBAC

    → ABAC によるリソース制御 • IdPのグループとマッピングを作成 • SaaS権限グループ x IdPグループ • IdPグループのアサインは空にする • 権限管理システムによる権限取得 • IdPグループへのアサインを実施 IdPと連携可能なSaaSはIdPで統合管理が可能になる SCIM による即時反映が出来ることが望ましい

14. 14 事例: Microsoft Entra ID x PIMによる一時権限取得 Microsoft Entra Privileged

    Identity Management • 時間ベース・承認ベースのロールの Just-In-Time アクティブ化 FOLIOにおける一時権限取得例 • AWS IAM Roleの一時利用 • DBユーザ発行（vault）の一時利用 • Argo Workflow 実行の一時利用 • Argo CD 実行の一時利用 • Jenkins 実行の一時利用 • Entra ID 特権ロールの一時利用 • … IdPを中心にした汎用的な一時権限取得の実現

15. 15 まとめ - 一時権限取得 一時権限取得 • 承認フローによる権限取得 • 牽制を効かせて、記録を残す •

    必要最低限の権限となる確認 • 失効機能による一時的な権限 • IdPと連携した権限付与 • SaaS時代における汎用的な仕組み 事故を防ぎ、開発体験を良くしていく

16. 16 ©FOLIO Co., Ltd. Mission Keep Innovating The Financial Industry

    Vision 技術と創造で“未来の金融”の礎となる

17. THANK YOU