Sophos は AWS IAM アイデンティティセンターを使用して AWS アカウント管理を簡素化および一元化しています

Sophos はハイブリッドクラウド環境で脅威の防御、モニタリング、対応を 24 時間 365 日体制で行うクラウドネイティブな情報技術セキュリティ企業で、Amazon Web Services (AWS) を使用して急速に成長しました。同社の取り組みの次のステップは、アカウントのオンボーディングの簡素化とアカウント管理の一元化でした。それまで Sophos はアカウント単位の ID フェデレーションを使用して AWS へのアクセス権を付与していました。これにより Sophos は AWS アカウントへのアクセスを簡単かつ安全に管理できましたが、同社は増え続ける AWS アカウント間のアクセスをよりシンプルでスケーラブルな方法で管理したいと考えていました。同時に、Sophos は AWS アカウントの新規設定、ID およびアクセス管理のロール、権限、一時的なユーザー認証情報に対するきめ細かなアクセス制御を維持する必要がありました。

AWS アカウント管理を簡素化および一元化し、ユーザーロールと権限を割り当てる際のオプションをより柔軟に選択できるようにするため、Sophos は AWS IAM アイデンティティセンター (AWS Single Sign-On の後継) を導入しました。IAM アイデンティティセンターは、複数の AWS アカウントおよびビジネスアプリケーションへのアクセスの一元管理を容易にするサービスです。Sophos はアカウントごとに ID フェデレーションを設定する代わりに、IAM アイデンティティセンターを通じて ID フェデレーションを一度設定し、複数の AWS アカウント間のアクセスを管理できるようになりました。これにより、新しいアカウントをオンボーディングして限られた権限を持つ個々のロールを割り当てるプロセスが大幅に簡素化されました。アカウントへのアクセスを IAM アイデンティティセンターのコンソールまたはコマンドラインインターフェイスから一元管理できるようになったため、Sophos は開発者に一時的な認証情報を割り当てる際にサードパーティーの拡張機能に頼る必要がなくなりました。「当社の社員は IAM アイデンティティセンターの表示や操作性に非常に満足しています」と Sophos の principal cloud architect である Guy Davies 氏は述べています。「また、アカウント作成の大半が自動化されたため、その時間が大幅に短縮されています」。

Sophos は 1985 年に設立され、現在その製品は 150 か国以上の 40 万を超える組織と 1 億人を超えるユーザーを高度なサイバー脅威から保護しています。IAM アイデンティティセンターを使用する前、Sophos は 1,500 人の内部ユーザーがアクセスする 250 の AWS アカウントを安全に管理するため、アカウント単位の ID フェデレーションを使用していました。AWS アカウントのオンボーディング、管理、変更のプロセスには時間がかかり、情報技術チームとクラウド開発チームの両方の関与が必要でした。Sophos は必要な俊敏性を備えつつさらに迅速にスケールする方法を模索していました。

Sophos はすでに AWS サービスを利用していました。例えば、企業が AWS リソースをスケールする際に AWS 環境を一元的に管理および統制するのに役立つサービスである AWS Organizations です。また、Sophos は AWS アカウント管理を一元化し、新しいアカウントのオンボーディング時やロール権限の変更時の余分な手順を省くことも求めていました。Sophos にはアカウントへのアクセスの制御に使用する Azure Active Directory グループが 500 以上あります。2019 年に IAM アイデンティティセンターが System for Cross-domain Identity Management の仕様のサポートを開始すると、Sophos はアカウントのオンボーディングの簡素化とアクセスの大規模な管理を実現するソリューションを見つけました。これで、既存の Azure Active Directory グループを AWS に同期できるようになりました。「当社にはソリューションを社内で構築するスキルがありますが、AWS のスキルを持つスタッフも 1,500 人います」と Davies 氏は言います。「AWS 環境で始めることで、より簡単に成果をあげることができます」。

Sophos は、エンタープライズ ID サービスである Azure Active Directory などの既存の ID サービスプロバイダーを引き続き使用するとともに、Jira 認証や YubiKey ハードウェア認証デバイスも使用したいと考えていました。これらの ID ツールと IAM アイデンティティセンターはシームレスに連携し、安全な多要素認証を可能にします。概念実証を実施し、社内で肯定的なフィードバックを受けた後、Sophos は IAM アイデンティティセンターへの移行を進めました。Sophos は 2020 年 9 月までの数週間で設定を完了し、10 月の第 1 週に、1,500 人の社内ユーザーに月末までに切り替えを行うよう依頼しました。最初の着手は早く、その後移行に時間がかかったユーザーもいましたが、その反応は全体的に肯定的でした。「IAM アイデンティティセンターについて否定的なフィードバックを受けたことはないと思います」と Davies 氏は言います。「約 1,500 名の日常業務に影響を及ぼすような変更において、このような前例はありません」。

IAM アイデンティティセンターへの移行によって Sophos チームの AWS アカウント管理のあらゆる側面が大幅に簡素化され、新しい AWS アカウントのオンボーディングにかかる時間が数日から 1 日未満に短縮されるとともに、請負業者の変更に応じてほぼ瞬時に AWS アカウントへのアクセスを取り消せるようになりました。以前は、ユーザーのアクセスを取り消すには、個々のアカウントへのアクセスを制御する個々の Azure Active Directory グループをすべて調べて各アカウントへのアクセスを完全に取り消し、Azure Active Directory が同期するのを待つ必要がありました。これには最大で 1 時間かかることがありました。2 つの Azure Active Directory グループ (1 つは個々のユーザーをすべて含み、IAM アイデンティティセンターのコンソールへのアクセスを許可するグループ、もう 1 つは System for Cross-domain Identity Management を通じて同期し、AWS アカウントへのアクセスと権限を付与するグループ) を作成した後は、IAM アイデンティティセンターのグループからユーザーを削除するだけで、同期を待たずにアクセスがすぐに取り消されるようになりました。全体として、開発者は AWS アカウントの作成にかかる時間を何百時間も節約でき、情報技術チームが AWS アカウントのオンボーディングを行う必要がなくなりました。これにより、リソースコストが削減され、Sophos はより俊敏にスケールできるようになりました。

Sophos は IAM アイデンティティセンターを使用することで、セキュリティ上の重要なメリットも享受しました。それは、AWS リソースにアクセスするための一時的な認証情報を作成するオプションをユーザーに提供できるようになったことです。Sophos が不要になった認証情報のローテーションや取り消しを行う必要はありません。また、IAM アイデンティティセンターを使用すると、アカウント管理者は一元的に権限を変更できるため、ロール権限を柔軟にすばやく調整できます。Davies 氏は次のように説明します。「手間をかけることなく権限セットを必要な数だけ作成できるため、割り当てる権限をより細かく指定できるようになりました。ユーザーによる AWS アカウントへのアクセスを絞り込むことができ、アタックサーフェスが縮小されます」。

Sophos では IAM アイデンティティセンターの導入によって AWS アカウント管理が大幅にスピードアップし、効率も向上しました。これにより、開発者が他のチームを待つ時間が減り、画期的なイノベーションに集中する時間が増えました。また、Sophos は IAM アイデンティティセンター API を使用して自動化をさらに進め、AWS アカウントのオンボーディングとアクセスのプロセスを今後いっそう加速させる予定です。例えば、アカウントアクセスのプロビジョニング手段を自動化することを計画しています。これは、通常の営業時間外に誰かがリクエストを行った場合に便利です。

「これらを検討しているのは、AWS アカウントの権限管理のアプローチをよりきめ細かく動的なものにするためです」と Davies 氏は言います。「IAM アイデンティティセンターを使用すれば、すべてを難なく実現できます」。