こんにちは、ひろかずです。
AWSが開催する、初のセキュリティ特化型カンファレンスre:Inforce2019
に行ってきたので、一筆書きます。
ひろかずは、英語のヒアリングが非常に苦手なのですが、パッションだけで参加してきました。
初めて使う様々なツールを駆使しての執筆になりますので、いろいろご容赦ください。
tl;dr的な何か
- 現在の組織で行われている、パスワードリセットやロックの解除などに係る人員とアウトソースなどの投資コストは馬鹿にならない状況
- 既存のパスワードやアカウントのセルフサービスソリューションの実装にはコストがかかるので、自然言語インタフェースのLexとAWSのサーバレステクノロジを組み合わせることで、コスト効率が優れたセルフサービス機能を構築できる
問題
顧客の背景
- パスワードリセット作業は1件あたりおよそ40USDかかっており、ヘルプデスクへの問い合わせの20-40%を占めている。
- これは、5,000人のスタッフの組織において、年間2,000,000USDを占める。
なぜ組織は苦闘するのか
- サービスデスクの手動作業はコストが高い
- 手動作業はセキュアではないし、複雑である
セキュリティは最優先
- AWSサービスは、PCIDSSやHIPPA/HITECH, FedRAMP, FIPS140-2, NIST SP800-171など様々な第三者認証を取得している
- すべてのサービスでGDPRに対応している
- 116のサービスで暗号化が可能
- 52のサービスでKMSのインテグレーションが可能
- 攻撃を検知してアプリケーションのセキュリティに寄与するサービスはいくつもある
- GuardDuty、Macie、WAF, Shilde, Inspector, IAM, Artifactなど
- 監査系としては、CloudTrail, Trusted Adviser, CloudWatchが挙げられる
問題に対するソリューション
- コスト・パフォーマンスに優れた柔軟なAI-Powerdのセルフサービス・プラットフォームを導入して、スタッフがリセットできるようにしたい
- ロックを解除して自分のIDをセルフサービスにするのはどうだろう?
- スタッフが必要としている場所で利用可能...携帯電話やタブレットを使う
このソリューションでできること
- アカウントロック解除
- パスワードのリセット
- セルフサービスのグループ参加
- IAMアカウントの管理
- リアルタイムでタイムリーなアカウントの通知
ソリューションを支える機能
- カスタムモバイル・アプリケーション
- AIドリブンの自然言語を解釈
- アカウントディレクトリの深い作り込み
- オープンでカスタム可能なプラットフォーム
アーキテクチャ
- 左側にスタッフ、右側にユーザー・ディレクトリを配置
- スタッフがモバイルアプリケーションを操作すると、Lexのチャットボットが反応する
- 送信元やユーザーアカウント、デバイスなどを分析してレポートする
- プッシュ通知をして、パスワード初期化処理などのやり取りをする
- これらをオープンなプラットフォームで実装する
気になるお値段
- 5,000人のスタッフの組織あたり、20USD/月
- 各サービスの費用はこんな感じです
感想的な何か
原理原則に基づいたセキュリティを実装する上で、カスタムアプリケーションの開発やAWSサービスの活用することは、コストを削減して企業の競争力を再投資できるという帰結を一連の流れから読み取りました。
現場からは以上です。
お疲れ様でした。