構築 vs 購入に関する無料のeBookを入手しましょう。ID管理の評価ソリューションガイド
「私は、専門家に任せることが1番だと思っています。ID管理を間違えると、大変なことになりかねません。多くの人々被害を与えて、新聞の一面ニュースにされてしまうかもしれません。構築を自分達の能力に頼りたくはありませんでした。」
— David Bernick, Harvard Medical School
なぜID管理を構築すべきか?
ID管理は、コンピューティングの黎明期からソフトウェアの主要コンポーネントでした。パンチカードバッチ処理と初期のタイムシェアリングシステムは、ユーザー名とパスワードの認証によって保護されていました。非常に多くの歴史があるため、ID管理は解決済みの問題であると思われるかもしれません。
- 機密情報やプライバシーの問題が無い、セキュリティ要件が少ない、ユーザーが少ない、またはユーザーの種類が少ない、数個のアプリのみ使っているなど、シンプルな状況の場合もあるでしょう。
- また、自分は経験豊富な開発者である、高度なスキルを持つチームの一員である、アプリ、サイト、API、サービスの認証を何年も構築してきた、という人もいるでしょう。
- 予算がギリギリまで切り詰められているかもしれません。そこで、いくつかの選択を迫られた場合、さらに戦略的にするためにお金をかけるのは、無駄なような気がするかもしれません。
正直に言いましょう。単純なWebアプリケーションに1つか2 つのソーシャルプロバイダーを使用するだけで、ユーザー名とパスワードのデータベースやその他の複雑な機能を必要としない場合は、簡単に自身で構築することができます。その場合は、あらゆるオープンソース フレームワークにある基本的な認証ライブラリを是非ご活用ください。
なぜID管理を購入すべきか?
Auth0を検討している開発チームから次のことをよく耳にします。
自社に能力があり、ニーズが単純な場合、ID管理にはなかなかお金をかけられない。
詳しく掘り下げてみましょう。
スキル
確かにID管理は単純に見えます。 しかし、失敗は恐ろしいものです。失敗する可能性は多く、失敗した場合、会社の評判は大きく損なわれます。絶え間ないハッキングの試み、脆弱性を軽減するための持続的な作業、こうしたことに直面して、ユーザーとビジネスの保護のために、すべきことを十分していますか?
リソース
自身で構築するのは無料ではありません。ID管理にリソースを使えばコストがかかります。別の方法を使えば節約できるかもしれません。認証管理は本当に御社がやりたいことですか?コアビジネスに集中すれば、ビジネスの価値を高めることができます。自分のRDBMSを作成する必要はありません。ID管理はRDBMSのようなものです。お金を払ってコア以外の面倒な作業を専門家に委任できるのに、ID管理のようなインフラストラクチャをわざわざ構築する必要はありません。また、IDハッキングのコストが数億円にも達する可能性があることを考えると、セキュリティの価値がお分かりになるでしょう。ID管理の購入の投資利益率を評価する際は、次の要因を考慮してください。
複雑さ
アプリケーションや製品は、多くの場合単純なものから始まります。しかし、バージョン 1 を超えると、幅広いIDプロバイダーをサポートする必要が出てくるでしょう。パートナーがいるかもれません。モバイル アプリとAPIをロールアウトするかもしれません。うまくいけば、ユーザーベースが拡大するでしょう。コンプライアンスが要求される、規制された業界にいる可能性もあります。最初に思ったほど単純にはいきません。独自のID管理を維持するためのコストは、予想よりもはるかに高くなる可能性があります。
クイズ
これらの質問のいくつかは、すでに回答済みかもしれません。関係のないものもあれば、アクセス管理 (IAM) の実装を進めてく上で直面する問題かもしれません。ただし、現在の状態と今後数か月または数年でどうなっているかに基づき、それらについて現実的に考えることをお勧めします。リンクをクリックすると、Auth0がこれらのID管理の質問にどのように答えるか、およびこの複雑な問題にどのように対処していくかをご理解いただけます。
ユーザー
1. | |
2. | 複数のIdP で認証するユーザーはいますか?それが同じユーザーであることをどうやって知ることができますか? |
3. | 認証が必要なアプリケーションが複数ありますか?その場合、それらはすべて同じ開発スタックを使用していますか? |
「カスタム ソリューションの構築、ホスト、保護に必要なコストとリソースと比較すると、Auth0のようなサードパーティの認証サービスに関連する投資は賢明な選択でした。」 — クリス・コンセプシオン, サファリ |
4. | |
5. |
アプリケーション
6. | 潜在的なセキュリティの脆弱性を常に把握するには、どのように使用できますか?依存しているライブラリへのパッチの遅延をどのように処理しますか? |
「昨年の Heartbleed 脆弱性ゼロデイ攻撃についてニュースサイトが報道する前に、Auth0からメールで状況を知らされました。Heartbleedの脅威をAuth0のシステムから排除するためのパッチが既にあり、続いて Auth0がこのパッチをAuth0のサービスのシュナイダーエレクトリックインスタンスにインストールしたという確認メールが続きました。」 — スティーブン・ベラード, シュナイダーエレクトリック |
7. | 避けられない標準的な非互換性と、さまざまなソーシャルIdPの属性と権限の変化についてはどうですか?エンタープライズIdP 間の実装の違いは?異なる開発スタックと認証ライブラリの場合は?これらにどのように対処しますか? |
「 IdPごとに難しいコードを書いて、統合させる必要はありませんでした。非常にシンプルなことを1つだけ書くだけで、安全な認証を実装することができました。」 — デイビット・ベーニック, ハーバード大学メディカルスクール |
8. | 運用チームは、認証インフラストラクチャを安全に構成するためのベストプラクティスを常に把握できていますか?オンプレミスとプライベートクラウドインスタンスのどちらですか? |
9. | あなたのMFA戦略は何ですか?異なるクライアント間でどのように統合していますか?モバイル ユーザーがiOSデバイスでTouch ID を使用して、アプリケーションを認証するようにしたいとお考えですか? |
10. | ユーザー店舗のスケーラビリティ、パフォーマンス、およびレプリケーション/利用可用性の要件を検討しましたか? |
「Auth0は、完璧ですぐに使える機能、柔軟性、そしてエンタープライズレベルのサービスを提供してくれました。Auth0のチームは、私たちの厳しいパフォーマンステストと締め切りのニーズに対応するために、それ以上のことをしてくれました。」 — AKQA, マークス&スペンサーのマーケティングパートナー |
IdP と標準
11. | 従来のUN/PW データベースをより現代的なID 管理に移行する場合、パスワードのリセット無しで優れたユーザーエクスペリエンスを提供するにはどうすればよいでしょうか? |
「Auth0は、すぐに使用できるコネクタのホストを提供してくれました。これにより、Auth0がCRMシステムに接続して、既存のデータベースをユーザー ストアとして使用し、IDプロバイダーとして機能することが非常に簡単になりました。」 — アモール・デート, JetPrivilege |
12. | 製品またはサービスの SSOを希望する、新しい B2Bカスタマーをどのようにオンボーディングしますか?ファイアウォールの内側で Active Directoryを使用するパートナーと連携できますか? |
「1社のパートナー企業と統合するよう当社のアプリケーションを設定し、そのパートナーに多数のIDシステムのサービスハブとしての機能を果たしてもらうことで、当社の中核となる開発チームの作業を簡易化し、しかもカスタマーベースを急激に拡大することができます。」 — クリス・コンセプシオン, サファリ |
13. | それぞれ違う SAML IdPがさまざまな形式でクレームを保存し、配信します。クレームを正規化する簡単な方法はありますか? |
14. | OpenID Connect は、認証の一般的な新しい標準です。REST/JSON、OAuth2ベース、開発者フレンドリー。しかし、相互運用性の問題は細部に潜んでいます。開発スタックとクライアント間でどのように実装しますか? |
セキュリティとコンプライアンス
15. | IDシステムは、攻撃の恰好の標的です。ブルートフォース攻撃からの保護の実装について考えたことはありますか?エンドポイントでの DDoSの防止と緩和はどうですか? |
16. | セキュリティとベストプラクティスを検証するために、サードパーティのセキュリティコンサルタントを利用して、独立した侵入テスト、コード レビューと監査、およびアーキテクチャレビューを行うことを計画する必要がありますか? |
17. | アイデンティティ実装の脆弱性に関する、セキュリティコミュニティからのレポートをどのように処理しますか? |
「すべてのテクノロジーには脆弱性があり、善意のハッカーが公開プロセスで脆弱性を報告しなければ、攻撃を受けるまで脆弱性を知ることができません。」 — アレックス・ライス, Facebook, 「HackerOne Connects Hackers With Companies, and Hopes for a Win-Win」, ニューヨーク・タイムズ (2015年 6月 7日 |
18. | コンテキストベースのステップアップ認証が必要ですか?たとえば、IP範囲、または Active Directoryのグループ メンバーシップのどちらかですか?パスワードポリシーですか?または、ユーザーにとってパスワードレス認証は理にかなっていますか? |
予定通り、予算内
19. | IT 運用、開発者、フォレンジックの専門知識などの外部サービスを含めて、どれくらいのスタッフが必要ですか?これらの人材は見つけるのが難しく、雇うのに費用がかかります。この人材をどこから調達し、その費用はいくらになりますか? |
「セキュリティ専門家の需要は増加していますが、セキュリティ専門家の供給は同じ速度で増加していません。その結果、人材費が上がります。」 — 「The 2015 (ISC) 2 Global Information Security Workforce Study」、Frost & Sullivan、2015 年 4 月 16 日 |
20. | 生産開始の目標日はいつですか?IAMソリューションの実装に必要な時間と反復回数はどれくらいですか? |
「他のベンダーが数か月の実装タイムラインを設定していたのに対し、Auth0はわずか数週間のタイムラインを提示しました。」 — アモール・デート, JetPrivilege |