マネージドサービスで作る認証機能

JAWS-UG 名古屋マネージドサービスで作る認証機能２０２３年５月２日

自己紹介  名前:田中隆博（すえぞう）  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当
 好きなAWSサービス:EC2、CDK

はじめに  今日お話しすること  Webアプリケーションにおけるユーザ認証の難しい点  Cognitoを利用して解決できる課題

ログイン、ユーザ管理って面倒  OWASP Top10の中にも「A07 識別と認証の失敗」として、ユーザ認証に関する脆弱性がランクインしています。認証機能として、対応する必要がある課題として、以下のようなものが列挙されいます。  パスワードリスト攻撃、ブルートフォース攻撃などの自動化された攻撃への対応  弱いパスワード、良く使われるパスワードが使われないようにする
 パスワードを亡失した場合のリセットプロセスの安全な実装  パスワード保存を適切なハッシュ化をして保存する。  多要素認証への対応

ログイン、ユーザ管理って面倒  OWASP Top10の中にも「A07 識別と認証の失敗」として、ユーザ認証に関する脆弱性がランクインしています。認証機能として、対応する必要がある課題として、以下のようなものが列挙されいます。  パスワードリスト攻撃、ブルートフォース攻撃などの自動化された攻撃への対応  弱いパスワード、良く使われるパスワードが使われないようにする
 パスワードを亡失した場合のリセットプロセスの安全な実装  パスワード保存を適切なハッシュ化をして保存する。  多要素認証への対応直接的なビジネスロジックではないので、注力して書きたい機能ではないが、中途半端な実装をしてセキュリティ的な穴を作ると、後でひどい目を見る機能

よし!マネージドサービスに任せよう!!  マネージドでこういった課題への対策を提供してくれるサービスとして「Amazon Cognito」が用意されています。  次ページからCognitoで提供される機能を使って、以下の課題へどのように対応するかを説明します。  パスワードリスト攻撃やブルートフォース攻撃 
弱いパスワードへの対策  安全なパスワードリセット方法

パスワードリスト攻撃、ブルートフォース攻撃への対策  パスワードリスト攻撃やブルートフォース攻撃に対して、Cognitoでは以下のような対策をすることができます。パスワードリスト攻撃ブルートフォース攻撃  アプリケーションの統合＞高度なセキュリティから「侵害された認証情報の検出」や「アダプティブ認証」を利用して、防御をすることができます。
 標準機能として、サインインに5回失敗するとユーザを1秒間ロックアウトし、その後、試行が1回失敗する都度、2倍になり最大15分までロックアウト時間が延⾧されます。

弱いパスワードへの対策  Cognitoのユーザプールには、パスワードの追加要件を設定することが可能です。  Cognitoのデフォルトのパスワード要件は以下の通りです。  8文字以上、少なくとも1つの数字と1つの特殊文字が含まれ、大文字と小文字が混在していること  管理者が生成したパスワードの有効期限は7日間 
サインインエクスペリエンスのパスワードポリシーでカスタムが可能  パスワードの最小文字⾧は6文字以上、99文字以下。Cognitoの最大文字⾧は256文字  数字、特殊文字、英字の大文字、小文字

Amplifyでログイン画面を実装する  以下のAmplify SNS Workshopの導入部分「MVPを作ろう!」までを実施すると、ログイン機能＋DynamoDBに対しての書き込み機能までが作れます。  https://amplify-sns.workshop.aws/ja/ 
作られるログイン画面は右のような画面になります。  この機能はAmplifyのAuthモジュールを利用して実装されています。次ページ以降でAuthモジュールについて見てみましょう。

Amplifyで認証モジュール（Auth）を利用すると  Amplifyで「add auth」を使って、認証モジュールを追加すると、以下のCloud Formantionスタックが Amplifyの初期スタックにネストする形で作成されます。

ネストされたスタックの中には  右のようにCognito関連のリソースがCound Formationのスタックとして展開されます。

Cognitoでのサインアップのフロー  Cognitoを使ってサインアップ機能を実装する場合、以下のようなユーザ確認フローになります。登録済（未確認）確認済パスワードリセットが必要強制
パスワードリセット無効化管理者による確認 Eメールor SMS による確認サインアップ無効化有効化パスワードのリセットユーザをインポート管理者がユーザを作成 Lambdaをトリガー（確認部分をカスタマイズできる）

??確認に必要なリソースがスタックにない??  Cloud Formationのスタックの中にはSESに関するリソースがないにも関わらず、確認メールがSESで送付されている。  SNSロールはあるけど、SNSのトピックが作成された形跡がない。

CognitoのAPIとしてラッピングされている  Cognitoのデベロッパーガイドを見てみると、ユーザ登録時には「ConfirmSignUp」APIを呼び出すことによって、メールやSMSによるユーザ検証を実施します。  同様に「ConfirmForgotPassword」や「ResendConfirmationCode」といったAPIが用意され、パスワード亡失時のユーザ確認や確認コードの再送などの操作が可能となっています。

まとめ  マネージドなサービスを使うと安全なユーザ認証画面を比較的簡単に実装ができます。  最初から全部盛りにしていなくてもCognitoの設定変更で認証画面のセキュリティを強固にすることができるので、使える状況であれば使わない手はないかと思います。

マネージドサービスで作る認証機能

マネージドサービスで作る認証機能

Takahiro Tanaka

More Decks by Takahiro Tanaka

Other Decks in Technology

Featured

Transcript

JAWS-UG 名古屋マネージドサービスで作る認証機能２０２３年５月２日

自己紹介  名前:田中隆博（すえぞう）  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

はじめに  今日お話しすること  Webアプリケーションにおけるユーザ認証の難しい点  Cognitoを利用して解決できる課題

Amplifyでログイン画面を実装する  以下のAmplify SNS Workshopの導入部分「MVPを作ろう!」までを実施すると、ログイン機能＋DynamoDBに対しての書き込み機能までが作れます。  https://amplify-sns.workshop.aws/ja/ 

Amplifyで認証モジュール（Auth）を利用すると  Amplifyで「add auth」を使って、認証モジュールを追加すると、以下のCloud Formantionスタックが Amplifyの初期スタックにネストする形で作成されます。

ネストされたスタックの中には  右のようにCognito関連のリソースがCound Formationのスタックとして展開されます。

Cognitoでのサインアップのフロー  Cognitoを使ってサインアップ機能を実装する場合、以下のようなユーザ確認フローになります。登録済（未確認）確認済パスワードリセットが必要強制

??確認に必要なリソースがスタックにない??  Cloud Formationのスタックの中にはSESに関するリソースがないにも関わらず、確認メールがSESで送付されている。  SNSロールはあるけど、SNSのトピックが作成された形跡がない。