Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSで作るセキュアな認証基盤with OAuth mTLS / Secure Authent...

株式会社カミナシ
April 17, 2025
Technology
0
52

AWSで作るセキュアな認証基盤with OAuth mTLS / Secure Authentication Infrastructure with OAuth mTLS on AWS

2025/04/15
JAWS-UG東京 AWS Community Builders Night
https://jawsug.connpass.com/event/348745/

AWSで作るセキュアな認証基盤with OAuth mTLS

高井 真人
ソフトウェアエンジニア、とか

株式会社カミナシ

April 17, 2025
Tweet

More Decks by 株式会社カミナシ

See All by 株式会社カミナシ
定性データ、どう活かす? 〜定性データのための分析基盤、はじめました〜 / How to utilize qualitative data? ~We have launched an analysis platform for qualitative data~
kaminashi
6
780
React Server Componentは 何を解決し何を解決しないのか / What do React Server Components solve, and what do they not solve?
kaminashi
7
1.4k
技術好きなエンジニアが _リーダーへの進化_ によって得たものと失ったもの / The Gains and Losses of a Tech-Enthusiast Engineer’s “Evolution into Leadership”
kaminashi
0
240
開発者が自律的に AWS Security Hub findings に対応する仕組み / How developers can self-remediate AWS Security Hub findings
kaminashi
1
190
実践ゼロから作らないデザインシステム SaaS × デザインシステム × プロダクトデザイン / Efficient Design System for SaaS—no need to start from scratch.
kaminashi
2
1.3k
プレイングマネージャーは本当に悪なのか? 令和時代のプレイングマネージャーを戦略的にハックする / Re-thinking the Accountability of Playing Manager
kaminashi
8
4.4k
BtoB プロダクトにおけるインサイトマネジメントの必要性 現場ドリブンなカミナシがインサイトマネジメントに取り組むワケ / Why field-driven Kaminashi is working on insight management
kaminashi
1
370
“受動型”から“先導型”カスタマーサクセスへの変革 / Transforming from “Reactive” to “Proactive” Customer Success
kaminashi
0
98
マルチプロダクト戦略を加速させる! ゼロダウンタイムで挑んだID管理機能移行の道のり / The Journey of Migrating ID Management Features with Zero Downtime
kaminashi
2
510

Other Decks in Technology

See All in Technology
似たような課題が何度も蘇ってくるゾンビふりかえりを撲滅するため、ふりかえりのテーマをフォーカスしてもらった話 / focusing on the theme
naitosatoshi
0
390
改めて学ぶ Trait の使い方 / phpcon odawara 2025
meihei3
1
560
Automatically generating types by running tests
sinsoku
1
430
OSSコントリビュートをphp-srcメンテナの立場から語る / OSS Contribute
sakitakamachi
0
1.3k
2025年春に見直したい、リソース最適化の基本
sogaoh
PRO
0
460
テキスト解析で見る PyCon APAC 2025 セッション&スピーカートレンド分析
negi111111
0
280
Would you THINK such a demonstration interesting ?
shumpei3
1
160
Langchain4j y Ollama - Integrando LLMs con programas Java @ Commit Conf 2025
deors
1
130
Tokyo dbt Meetup #13 dbtと連携するBI製品&機能ざっくり紹介
sagara
0
430
AI Agentを「期待通り」に動かすために:設計アプローチの模索と現在地
kworkdev
PRO
2
390
Рекомендации с нуля: как мы в Lamoda превратили главную страницу в ключевую точку входа для персонализированного шоппинга. Данил Комаров, Data Scientist, Lamoda Tech
lamodatech
0
290
Lightdashの利活用状況 ー導入から2年経った現在地_20250409
hirokiigeta
2
270

Featured

See All Featured
RailsConf 2023
tenderlove
30
1.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Git: the NoSQL Database
bkeepers
PRO
430
65k
KATA
mclloyd
29
14k
Facilitating Awesome Meetings
lara
54
6.3k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Documentation Writing (for coders)
carmenintech
69
4.7k
A Tale of Four Properties
chriscoyier
158
23k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k

Transcript

  1. AWSで作るセキュアな認証基盤 with OAuth mTLS 株式会社カミナシ 高井 真人(@manaty0226) JAWS-UG東京 AWS Community

    Builders Night

  2. 自己紹介 高井 真人 X :@manaty0226 GitHub :@manaty226 Zenn :@manaty226 株式会社カミナシでID管理・認証基盤を作っています。

    2025年にセキュリティカテゴリでCBに初選出。 普段はOAuth関連のRFCを読んで実装したりしています。 無線通信(誤り訂正符号)の研究で博士号を取得したので そちら方面の話も好きです。

  3. どんな領域を専門としているか 認証 認可 認証方式 ID連携プロトコル 権限委譲プロトコル アクセス制御 セキュリティにも色々ありますが、認証認可を専門としています。 パスワード認証 TOTP/HOTP

    パスキー OpenID Connect SAML OAuth 2.x RBAC/ABAC/ReBAC User Managed Access AuthZEN Protocol

  4. どんな領域を専門としているか 認証 認可 認証方式 ID連携プロトコル 権限委譲プロトコル アクセス制御 セキュリティにも色々ありますが、認証認可を専門としています。 パスワード認証 TOTP/HOTP

    パスキー OpenID Connect SAML OAuth 2.x RBAC/ABAC/ReBAC User Managed Access AuthZEN Protocol

  5. OpenID ConnectやOAuth 2の仕様概観 OAuth 2.x OpenID Connect JWx関連 RFC 6749

    OAuth 2.0 Authorization Framework OpenID Connect Core 1.0 RFC 7519 Json Web Token (JWT) RFC 7516 Json Web Encryption RFC 7515 Json Web Signiture RFC 7518 Json Web Algorithm ベストプラクティス RFC 6819 Threat Model and Security Considerations RFC 9700 Best Current Practice for OAuth 2.0 Security RFC draft OAuth 2.0 for Browser-Based Apps 管理エンドポイント RFC 7591, 7592 Dynamic Client Registration RFC 7009 Token Revocation RFC 7662 Token Introspection グラントタイプ拡張 RFC 8693 Token Exchange RFC 8725 Json Web Token Best Current Practicies RFC 8628 Device Authorization RFC 7523 JWT profile grants セキュリティ強化 RFC 7636 PKCE RFC 8705 Mutual-TLS bound AT RFC 9101 JAR RFC 9126 PAR RFC 9449 DPoP RFC 9470 Step Up Authentication 他 OIDC RP-Initiated Logout 1.0 RFC draft OAuth 2.1 Authorization Framework RFC 6750 OAuth 2.0 Bearer Token Usage

  6. OAuth拡張仕様による 認証ユースケース対応

  7. カミナシにおける認証ユースケースの一つ 現場に設置されたタブレットを複数人が共用して操作するという利用シーン。 ログインID/パスワードを共有して利用するケースも。 複数人が共有することで漏洩リスクの増大 わかりやすいパスワードの設定 退職者の不正利用リスク ログインID/パスワードの共有

  8. どんな解決策がありそうか [1] https://tools.ietf.org/html/rfc8705 RFC8705 Mutual TLS Client Authentication and Certificate-Bound

    Access Token [1] ①クライアント証明書とともに相互TLS接続してデ バイス自身が認証しつつトークンリクエスト ②クライアント証明書に基づきクライアント認証してトークン応答 OAuth mTLSはクライアント証明書を利用した相互TLS接続に基づくクライアント認証と、証明書で 送信者制約したアクセストークンの払い出しと利用のOAuth拡張仕様。 これを利用することで、特定の端末が物理的に窃取されなければ安全なアクセスが可能となる。 端末自体のパスコードロックと組み合わせて所有+知識認証の運用も可能。

  9. OAuth mTLSに対応した認可サーバーの概念構成 TLS終端装置 (ロードバランサなど) 既存の認可サーバーでクライアント証明書をインストールした タブレット端末などのクライアント認証も新たに対応したい 既存のクライアントはクライアント証明書なしでログイン処理などを継続して運用しつつ、 新たにクライアント証明書をインストールした相互TLS通信にも対応する必要がある。 既存クライアント (クライアント証明書なし)

    新クライアント (クライアント証明書あり)

  10. OAuth mTLSに対応した認可サーバーの概念構成 TLS終端装置 (ロードバランサなど) 既存の認可サーバーでクライアント証明書をインストールした タブレット端末などのクライアント認証も新たに対応したい 既存のクライアントはクライアント証明書なしでログイン処理などを継続して運用しつつ、 新たにクライアント証明書をインストールした相互TLS通信にも対応する必要がある。 既存クライアント (クライアント証明書なし)

    新クライアント (クライアント証明書あり) nginxだったら... server { listen 443 ssl; # クライアント証明書が提示された場合だけ検証 ssl_verify_client optional; ssl_client_certificate path/to/ca.pem }

  11. AWSにおける内製認証基盤 with OAuth mTLSの実現 AWSにおけるネットワークサービスと相互TLS接続機能の対応状況 ※2025/04/15時点の情報です CloudFront API Gateway ALB

    [2] OAuth mTLSを実現するためにAWSでできること、できないこと: https://kaminashi-developer.hatenablog.jp/entry/2024/11/18/oauth-mtls-on-aws

  12. AWSにおける内製認証基盤 with OAuth mTLSの実現 AWSにおけるネットワークサービスと相互TLS接続機能の対応状況 ※2025/04/15時点の情報です CloudFront API Gateway ALB

    [2] OAuth mTLSを実現するためにAWSでできること、できないこと: https://kaminashi-developer.hatenablog.jp/entry/2024/11/18/oauth-mtls-on-aws

  13. AWSにおける内製認証基盤 with OAuth mTLSの実現 AWSにおけるネットワークサービスと相互TLS接続機能の対応状況 ※2025/04/15時点の情報です CloudFront API Gateway ALB

    信頼ストア 認可サーバー 失効検証 [2] OAuth mTLSを実現するためにAWSでできること、できないこと: https://kaminashi-developer.hatenablog.jp/entry/2024/11/18/oauth-mtls-on-aws

  14. AWSにおける内製認証基盤 with OAuth mTLSの実現 AWSにおけるネットワークサービスと相互TLS接続機能の対応状況 ※2025/04/15時点の情報です CloudFront API Gateway ALB

    信頼ストア 認可サーバー 失効検証 トラストストアで検証 パススルー 信頼ストア 認可サーバーで証明書検証 [2] OAuth mTLSを実現するためにAWSでできること、できないこと: https://kaminashi-developer.hatenablog.jp/entry/2024/11/18/oauth-mtls-on-aws

  15. AWSにおける内製認証基盤 with OAuth mTLSの実現 AWSにおけるネットワークサービスと相互TLS接続機能の対応状況 ※2025/04/15時点の情報です CloudFront API Gateway ALB

    信頼ストア 認可サーバー 失効検証 トラストストアで検証 パススルー 信頼ストア 認可サーバーで証明書検証 [2] OAuth mTLSを実現するためにAWSでできること、できないこと: https://kaminashi-developer.hatenablog.jp/entry/2024/11/18/oauth-mtls-on-aws 単一のリソースでクライアント証明書あり/なしの クライアントどちらも収容するのは難しそう...

  16. AWSにおける内製認証基盤 with OAuth mTLSの実現 相互TLS接続用のALBと通常のTLS接続用ALBの2つから認証基盤のECSをターゲットに設定。 実はRFC 8705にもUX観点で相互TLS用のエンドポイントを分離した方がいいよと書いてあった。 Authorization servers supporting

    both clients using mutual TLS and conventional clients MAY chose to isolate the server side mutual-TLS behavior to only clients intending to do mutual TLS, thus avoiding any undesirable effects it might have on conventional clients. 信頼ストア・失効証明書リスト 通常のTLS接続用ALB 相互TLS接続用ALB

  17. まとめ • 単純なパスワード認証フローのメンタルモデルから一歩進んだOpenID Connect やOAuthの拡張仕様に、専門領域の面白さが詰まっている(いわゆる沼)。 • 仕様の選択の先にはAWSサービスでの実現性検討が必要。検討結果によっては仕 様の選択に立ち戻る必要も出てくるので、AWSの仕様を理解しながら概念設計〜 実装まで一貫した検討をすることで良い体験が作れてAWS沼にもはまれる。 Zenn/manaty226

    カミナシエンジニアブログ

  18. 株式会社カミナシ https://kaminashi.jp