Amazon Web Services ブログ

AWS re:Inforce 2025: アイデンティティファーストのセキュリティ構築 – ID とアクセス管理トラックガイド

AWS re:Inforce 2025: June 16-18 in Philadelphia, PA

本ブログは 2025 年 6 月 10 日に公開された Blog “Building identity-first security: A guide to the Identity and Access Management track at AWS re:Inforce 2025” を翻訳したものです。

6 月 16 日から 18 日まで開催される AWS re:Inforce 2025 にぜひご参加ください。ID とアクセス管理について深く掘り下げ、組織がどのようにして大規模にアイデンティティを保護しているかを探ります。従来のセキュリティ境界がハイブリッドおよびマルチクラウド環境で消滅し続ける中、今年のセッションでは AWS のお客様が従業員と顧客のアイデンティティにまたがる包括的なアイデンティティ中心のセキュリティ戦略をどのように構築しているかを紹介します。人間とマシンのアイデンティティの認証と認可から、最小特権アクセス制御の実装、AI 導入を促進するアイデンティティの保護まで、アイデンティティアーキテクチャを最新化するための実践的なアプローチを発見できます。

複雑な組織構造全体で企業の従業員アイデンティティを管理する場合でも、シームレスで安全な認証エクスペリエンスを必要とする顧客向けアプリケーションを構築する場合でも、ID とアクセス管理トラックはすべてのセキュリティ専門家に洞察を提供します。ゼロトラスト実装パターン、クラウドとオンプレミス環境にまたがる統合された従業員アイデンティティ管理、スケーラブルな顧客 ID とアクセス管理 (CIAM) ソリューションなど、今日の最も差し迫ったアイデンティティの課題に対応するセッションを慎重に選定しました。技術的な詳細解説、ハンズオンワークショップ、お客様の導入事例を通じて、AWS Identity and Access Management (IAM)AWS IAM Identity CenterAWS Directory ServiceAmazon Cognito、およびその他の AWS サービスを使用して、セキュリティとビジネスの俊敏性の両方をサポートする堅牢なアイデンティティ基盤を構築する方法を学ぶことができます。

このブログでは、主要なセッションをいくつか紹介します。アイデンティティ管理に特化した 30 以上のセッションがあり、エグゼクティブと実務者の両方にとって価値ある学びを提供します。AWS の専門家とパートナーが実践的な課題と解決策を共有します。今年のカンファレンスで何が期待できるかを見ていきましょう。

ゼロトラストと最小特権の原則

IAM304 | ブレイクアウトセッション | Breakout session | Empowering developers to implement least-privilege IAM permissions (開発者への最小特権 IAM 権限実装の支援)
専門的な情報、ソフトウェアソリューション、サービスのグローバルプロバイダーである Wolters Kluwer と、コラボレーションと IT 管理のためのクラウドベースのリモートワークツールを提供する米国のソフトウェア企業 GoTo Technologies (旧 LogMeIn Inc.) は、AWS IAM Access Analyzer を使用して最小特権への移行を簡素化し加速しています。このセッションに参加して、彼らのユースケースと、過剰な権限を削除するために IAM ポリシーを改良するためにビルダーをエンパワーする彼らの旅について詳しく学びましょう。組織全体で未使用の権限を継続的に監視し、修正を合理化するプロセスを構築するための戦略、ベストプラクティス、学んだ教訓について洞察を得ましょう。

IAM343 | コードトーク | Scale Beyond RBAC: Transform App Access Control using AVP & Cedar (RBAC を超えてスケールする: AVP と Cedar を使用したアプリアクセス制御の変革)
このセッションでは、Amazon Verified Permissions (AVP) と Cedar ポリシーを使用して、既存のアプリケーションをロールベースのアクセス制御 (RBAC) からポリシーベースのアクセス制御 (PBAC) に変換することに焦点を当てています。最小特権への取り組みにより、RBAC モデルではロールの爆発的増加が起こり、RBAC に属性ベースのアクセス制御 (ABAC) を追加して PBAC へ移行する必要性が生じています。アプリケーションコードから認可ロジックを移動し、集中型 PBAC モデルを実装する方法を学びます。参加者は Cedar を使用してポリシーとして権限を定義し、アプリケーションロジックの変更を最小限に抑えながら RBAC から PBAC へシームレスに移行し、よりきめ細かくスケーラブルなアクセス制御を実現する方法も学びます。

AI 時代におけるアイデンティティの保護

IAM373 | ワークショップ | Identity without barriers: user-aware access for AWS analytics services (障壁のない ID: AWS 分析サービスのユーザー認識アクセス)
このハンズオンワークショップでは、AWS IAM Identity Centerの信頼された ID 伝播について探り、参加者が統合されたアプリケーション間で安全な ID 伝播を有効にする方法を教えます。実践的な演習を通じて、参加者は ID 伝播を構成し、Amazon Redshift、Amazon Athena、Amazon Q Business などのサービスでそれを使用する方法を学びます。参加者はクロスアカウントシナリオ、監査ログ設定、一般的な統合の課題のトラブルシューティングを経験します。参加するにはラップトップを持参する必要があります。

IAM321 | ライトニングトーク | Building trust in Agentic AI through authentication and access control (認証とアクセス制御を通じたエージェント型 AI への信頼構築)
AI エージェントは人間のためにタスクを実行し、人間の存在の有無にかかわらず独立して動作しながら、オンプレミスとマルチクラウド環境全体でシームレスに連携します。この動的なセットアップは、人間/エージェントの認証、ID の伝播/委任、リソース認可に独自の課題をもたらします。Amazon Cognito、Verified Permissions、Bedrock を活用して、AI エージェントのための効果的な ID とアクセス管理 (IAM) をマスターしましょう。OAuth2 ベースの ID 管理、マシン間認証、ポリシーベースのアクセス制御を使用した実際の例を通じて、複雑なエージェントの相互作用を安全にスケールする能力を解放し、堅牢でスケーラブルなエージェント型 AI ソリューションを構築できるようになります。

IAM441 | コードトーク | The Right Way to Secure AI Agents with Code Examples (コード例で学ぶ AI エージェントを安全に保護する正しい方法)
生成 AI エージェントは、ユーザーの存在の有無にかかわらず、人間ユーザーに代わってタスクを実行し、オンプレミスや異なるクラウドプロバイダー間で相互にやり取りすることがよくあります。これにより、エージェント型 AI ソリューション全体で ID 認証、伝播、委任、リソース認可に新たな課題がもたらされます。Amazon Cognito の OAuth2 ベースの ID 管理、マシン間認証と、Amazon Verified Permission のきめ細かな認可を組み合わせることで、人間の ID と同意、エージェントのマシン ID、およびエージェントチェーン全体のその他のリクエストコンテキストを保持しながら、AI エージェントのための安全な委任パターンを実現する方法を学びます。Amazon Bedrock やその他のフレームワーク上に構築されたエージェントを使用した実際の例を紹介します。

従業員アイデンティティ管理

IAM302 | ブレイクアウトセッション | Workforce identity for gen AI and analytics (生成 AI と分析のためのワークフォースアイデンティティ)
生成 AI と分析のための安全で一貫したワークフォースアクセスの管理は、機密データを保護しながらイノベーションを促進するために不可欠です。このデモが豊富なセッションでは、集中型アイデンティティ管理と信頼できるアイデンティティ伝播がどのようにユーザー中心のデータアクセス体験を提供するかをご覧いただけます。また、AWS IAM Identity Centerが Amazon Redshift、Amazon Athena、AWS Lake Formation などの AWS サービスへのアクセスをどのように簡素化し、セキュリティとコンプライアンスのニーズを満たすためにユーザーアイデンティティに基づいたデータへのきめ細かなアクセスを可能にするかについても学びます。

IAM341 | コードトーク | Visualizing Workforce Identity: Graph-Based Analysis for Access Rights (ワークフォースアイデンティティの可視化: アクセス権のグラフベース分析)
グラフデータベースを使用して AWS IAM Identity Centerのデータを可視化することで、ワークフォースアイデンティティの関係とリソースアクセスパターンについての深い洞察を得る方法を発見してください。組織全体の複雑なアイデンティティ関係、権限の継承、リソースアクセスを探索する方法を学びます。アイデンティティデータの取り込み、セキュリティ分析のためのグラフクエリの作成、潜在的なリソースアクセスリスクを特定するための可視化ダッシュボードの構築に関する実践的なアプローチを得られます。過剰な権限の検出、グループメンバーシップとリソースアクセスの分析、時間の経過に伴うリソースアクセス権の変更の追跡など、アイデンティティセキュリティポスチャを強化するための実際のシナリオを探ります。

カスタマーおよびマシンアイデンティティ管理

IAM332 | チョークトーク | Securing and monitoring machine identities with Amazon Cognito (Amazon Cognito によるマシンアイデンティティの保護と監視)
Amazon Cognito の OAuth2 クライアント認証情報フローを使用した安全なマシン間 (M2M) 認可の力を解き放ちましょう。このセッションでは、M2M 認可の実装に深く踏み込み、セキュリティとコストの両方に関する実世界の最適化戦略を紹介します。必須のセキュリティベストプラクティス、マルチテナントリファレンスアーキテクチャ、M2M 使用が効率的かつ安全であることを確保する監視技術について学びます。マイクロサービスの構築、API 認可の処理、分散システムのスケーリングのいずれを行っている場合でも、このセッションでは M2M 実装を成功させるための実用的な洞察とパターンを提供します。Cognito を活用した M2M 認可に関するインタラクティブな議論のために、課題や質問をお持ちください。

IAM372 | ワークショップ | Building CIAM Solutions with Amazon Cognito (Amazon Cognito を使用した CIAM ソリューションの構築)
ソリューションの CIAM ニーズに Amazon Cognito を使用する方法を学びます。ハンズオンの例を使用して完全に機能するソリューションを構築し、新しい Managed Login UI、ネイティブにサポートされるようになったパスワードレスログインなどの新機能を実際に見てみましょう。

AWS アイデンティティの基礎

IAM305 | ブレイクアウトセッション | Establishing a data perimeter on AWS, featuring Block, Inc. (AWS でのデータ境界の確立、Block, Inc. の事例紹介)
組織は、データレイク、分析、機械学習、エンタープライズアプリケーションなど、さまざまなユースケースのために AWS に前例のない量の増加するデータを保存しています。彼らは機密性の高い非公開データが意図しないアクセスから保護されていることを確認したいと考えています。このセッションでは、信頼できるアイデンティティのみが予想されるネットワークから信頼できるリソースにアクセスすることを確実にするためのデータ境界を作成するために使用できるコントロールについて詳しく掘り下げます。大手フィンテック企業である Block, Inc. が、セキュリティ目標を達成するために AWS 環境でデータ境界コントロールをどのように使用しているかについて話を聞きます。

IAM451 | ビルダーズセッション | Securing GenAI Apps: Fine-Grained Access Control for Amazon Bedrock Agents (生成 AI アプリのセキュリティ保護: Amazon Bedrock エージェントのきめ細かなアクセス制御)
組織のデータにアクセスする生成 AI アプリケーションを保護したいですか?Amazon Bedrock を活用したアプリケーションが組織のデータにアクセスするためのインテリジェントなアクセス制御を実装する方法を学びましょう。このビルダーズセッションでは、Amazon Cognito を使用した認証と Amazon Verified Permissions を使用したきめ細かな認可を組み合わせた多層防御アプローチを構築し、Bedrock AI エージェントのアクセスを保護します。生成 AI の機能を制限することなく機密データを保護する階層化された権限を実装します。

まとめ

組織が現代のアイデンティティアーキテクチャの複雑さをナビゲートし続ける中、堅牢な IAM フレームワークの実装は、ハイブリッド環境全体でシームレスなアクセスを可能にしながらセキュリティポスチャを維持するために不可欠です。アイデンティティ境界の消失とアイデンティティファーストセキュリティへのシフトにより、認証と認可ワークフローへのより洗練されたアプローチが求められ、継続的な検証と適応型アクセスポリシーが最も重要になっています。re:inforce のコミュニティは、ビジネスを前進させるために使用できるソリューション、戦術、戦略を提供することを目指しています。

Rahul Sahni

Rahul Sahni

Rahul は AWS Security のシニアプロダクトマーケティングマネージャーです。熱心な Amazonian として、Rahul は仕事と私生活の両方で会社の原則である「学び、好奇心を持つ」を体現しています。継続的な学習への情熱を持ち、新しい経験と冒険を楽しんでいます。仕事以外では、世界中の新しい料理を試すことを楽しんでいます。

Apruva More

Apruva More

Apurva は AWS Security, Identity, and Compliance チームの一員で、スタートアップと大企業の両方でグローバルプロダクトマーケティングに 14 年の経験を持っています。市場ポジショニング、競合分析、顧客インサイトの専門知識で知られ、ターゲットオーディエンスに響き、収益成長を促進する製品を立ち上げてきました。また、製品ビジョンと市場ニーズおよびビジネス目標を一致させるために部門横断的に協力しています。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。