セッション概要 n認証 l パスキー関連のセッションが多数 • パスキーの基本、FIDOアライアンスによるデザインガイドラインの紹介、エンタープライズ向けの導⼊事例の話など l FedCM n認可 l OAuthとはレイヤーが異なる、モダンな認可に関するセッションが多数 n標準化関連 l OAuth 2.1 l OAuth 2拡張仕様 l FAPI l SCIM拡張仕様 l AuthZEN nID管理・IGA l IGA × ⽣成AI 出所: 配布されたスケジュール⼀覧
n参加した関連セッション(同僚による参加分も含む) lThe Authorization Conversation lNavigating the Intersection: IAM and OWASP in the Cybersecurity Landscape lEmbracing Zero Standing Privilege: A New Era of Authorization lThe State of Authorization 5 Years From Now lArchitectural Patterns for Distributed Authorization lUse Identity for Zero Trust API Security lOpenID AuthZEN Interop Read Out lGraph-Based Harmony: Simplifying ZTA in the Age of Data Breaches lThe Future of Authorization(キーノート) 認可
nOWASP Top 10 (2021) / OWASP Top 10 API Security Risks (2023) において 認可は深刻なセキュリティリスク 認可はホットトピック 出所: 「Navigating the Intersection: IAM and OWASP in the Cybersecurity Landscape」セッションのスライド写真に加筆
nCentral Application Authorization l 昔からあるパターン(XACML) l 中央で認可判断が実施されるため⼀貫性のある判断が可能 l ただしパフォーマンスは低くなり、PDPの⾼可⽤性が求められる nSidecar Application Authorization l k8sなどのコンテナ環境の登場により近年採⽤されているパターン l PDPをサイドカーコンテナで動かすことで、認可判断を1ms 以下で実現する l PDPは分散配置されるため⼀貫性は劣るが 単⼀障害点にはならない l コントロールプレーンを配置し、PDPが利⽤するポリシーや データを中央で⼀貫性のある形で統合管理しつつ、 各コンテナに配布するアーキテクチャを取る⽅式もある (PDPをOSSで提供し、このコントロールプレーンをサービス提供してマネタイズしているベンダーも) 認可アーキテクチャのデザインパターン 出所: 「Architectural Patterns for Distributed Authorization」セッションのスライド写真より
nCentral Application Authorization l 昔からあるパターン(XACML) l 中央で認可判断が実施されるため⼀貫性のある判断が可能 l ただしパフォーマンスは低くなり、PDPの⾼可⽤性が求められる nSidecar Application Authorization l k8sなどのコンテナ環境の登場により近年採⽤されているパターン l PDPをサイドカーコンテナで動かすことで、認可判断を1ms 以下で実現する l PDPは分散配置されるため⼀貫性は劣るが 単⼀障害点にはならない l コントロールプレーンを配置し、PDPが利⽤するポリシーや データを中央で⼀貫性のある形で統合管理しつつ、 各コンテナに配布するアーキテクチャを取る⽅式もある (PDPをOSSで提供し、このコントロールプレーンをサービス提供してマネタイズしているベンダーも) 認可アーキテクチャのデザインパターン 出所: 「Architectural Patterns for Distributed Authorization」セッションのスライド写真より
nGoogleの認可基盤であるZanzibarの論⽂(2019年)からインスパイアを受け、ReBACのプロ ダクトが多数登場 l CNCFプロジェクトだと、OpenFGAがその実装のひとつ nただし、AuthZENのInteropに参加しているReBACプロダクトはまだ少ない状況 Relationship / Graph-based Access Control(ReBAC) 出所: 「Graph-Based Harmony: Simplifying ZTA in the Age of Data Breaches」セッションのスライド写真より作成 OPAによるRBAC ReBACのイメージ 出所: https://www.slideshare.net/slideshow/openid-authzen-interop-read-out-authorization/269554745
n技術⾯ l Sidecar Application Authorization ⽅式による分散型認可アーキテクチャ l OSS実装の登場、汎⽤ポリシーエンジンOPAの台頭 l PEP-PDP間のAPIに絞った標準化の開始(AuthZEN) l RBAC/ABACとは異なる、新しいアクセスコントロール⽅式であるReBACの登場 nニーズ l ABACのような⾼度なアクセスコントロールが実際に求められるようになってきた(Zero Trust) これまでの認可との違い(まとめ)
nSAPのような旧来アプリにモダンな認可を適⽤するにはどういうアプローチがあるか? l 現状だと、API GWで認可制御したり、アプリケーションが備える権限情報をプロビジョニングして認可制御 l 標準化が進めば、アプリケーション側での対応に期待できる (SalesforceがSAML/OIDCに対応していったように) n認証のように⼀般に使われるようになるティッピングポイントはいつ頃と考えているか? l 2020年までに80%の企業がABACを使うようになっていると いう予測もあったが・・・ l SSOも15年くらいかかっている l そうすると2034年にはそのような状況になっているのでは? パネルディスカッションでの議論 出所: 「The Authorization Conversation」セッションのスライド写真より
n残念ながら、Identiverseとしてセッションのスライド・動画などは現時点では公開されていない (今年はないのかも?) n2022年、2023年に関しては動画公開あり l https://identiverse.com/videos/videos2022/ l https://identiverse.com/videos/videos2023/ n2024年 l 公式コンテンツ:Webinarコンテンツのみが少しあり • https://identiverse.com/idv24/content-resources/ l セッションによっては個別にアップロードされているものもあり • OpenID AuthZEN Interop Read Out • https://www.slideshare.net/slideshow/openid-authzen-interop-read-out-authorization/269554745 参考情報 出所: https://identiverse.com/idv24/content-resources/
wadahiro
bengo4com
dec9ue
oprstchn
kzkmaeda
mizunori
lycorptech_jp
hrsued
nwiizo
upamune
pocke
shift_evolve
kevinliebholz
soudai
garrettdimon
paigeccino
erikaheidi
danielanewman
jlugia
pauljervisheath
moore
smashingmag
samanthasiow
maltzj
