Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウド時代における一時権限取得
Search
krrrr38
February 28, 2026
Technology
270
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
クラウド時代における一時権限取得
2026/02/28 SRE Kaigi 2026 延長線 #srekaigi_ex
krrrr38
February 28, 2026
More Decks by krrrr38
See All by krrrr38
証券システムを10年Scalaで作り続けるということ - 関数型まつり2026
krrrr38
0
180
FOLIOにおけるAWS活用事例 - SBI Tech Day 2025
krrrr38
0
24
Scramble4 FOLIO栄枯盛衰今昔物語
krrrr38
0
660
Other Decks in Technology
See All in Technology
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
8k
AI時代における最適なQA組織の作り方
ymty
3
360
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
520
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
1
370
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2k
RAGの精度向上とエージェント活用
kintotechdev
2
130
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
250
初めてのDatabricks勉強会
taka_aki
2
230
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
520
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
400
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
920
そのハーネス、本当に境界になっていますか? AIエージェント時代の実行環境設計【MEGU-Meet #4】
cscengineer
PRO
0
110
Featured
See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
WCS-LA-2024
lcolladotor
0
670
Joys of Absence: A Defence of Solitary Play
codingconduct
1
410
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.8k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
280
Transcript
Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved. クラウド時代における一時権限取得
2026/02/28 SRE Kaigi 延長戦
2 自己紹介 • 海津 研 / Ken Kaizu • X:
@krrrr38 • 株式会社FOLIO • 執行役員CTO • フィナンシャルテクノロジー本部 • 株式会社FOLIO ホールディングス • 情報戦略部 • 2018年1月より株式会社FOLIO • バックエンド・インフラがメイン
3 株式会社FOLIO 事業概要 ※画像はサンプルです。当社の事業紹介を目的としたものであり、投資勧誘を意図するものではありません。
4 会社紹介 - 総取扱資産残高・導入先 グループ内総取扱資産残高 4RAP導入先 ※「総取扱資産残高」とは、「FOLIOが直接お客さまに提供する投資一任運用サービスに関連してお預かりしている資産(ROBOPRO等)」、「銀行・証券会社等の金融機関にお ける、4RAPを活用した投資一任運用サービスの預り資産」、「FOLIOが投資助言業を行っている金融商品の資産(ROBOPROファンド等)」の合計金額を指します。
5 開発・運用体制について AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 契約管理システムの
アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール 口座管理システムの アプリケーションに関するもの • サーバー、デーモン、バッチ • Docker Image • サービス上のデータ管理 • 論理DB・DBユーザー • 監視設定 • CI・CD設定 • 運用上のロール ※ 本日のメインの話
今日の話 「一時権限取得」
7 一時権限取得を利用しないケース 恒常的に強い権限を持つことのリスク • 誤操作リスク • 通常運用権限との差別化 • 不必要な権限 •
影響範囲が意図せず拡大する • 監査が不能となる • セキュリティリスク • 認証情報漏洩・マルウェア感染 • 2026年のセキュリティトレンドでも エージェント型AIは注目される 恒常的な強権限は「便利さ」と引き換えに、 運用・セキュリティ・信頼性すべてのリスクを常時肥大化する
8 一時権限取得の必要性・要件 AWSを中心とした基盤の提供 サービスを支える開発・運用 プラットフォーム アプリケーションチーム毎の開発・運用 契約管理システム 口座管理システム … 開発・運用に必要な権限の取得
• 誰が、いつ、何を行いたいか • 障害対応に伴いS3ファイル削除をしたい… • 特別運用としてDB Write操作をしたい… 権限取得要件 • 最小権限 • 一時クレデンシャル • 承認フロー(権限要求) • ログ・監査(証跡) インシデント対応設計 事故を防ぐ仕組み
9 一時権限取得を利用する流れ 通常運用時 • 必要最低限の権限のみの保持とする • Read権限も、機密性の高いものは アクセスさせない 一時権限取得時 •
承認フローによる権限取得 • 牽制を効かせて、記録を残す • 必要最低限の権限となる確認 • 失効機能による一時的な権限 ※ 一時的な認証情報も、生のまま端末に保存するのは避ける
10 一時権限取得 “how” - AWS権限取得 • Chat Bot • Hubot・ruboty
• Slack Bolt・Slack Workflow • チャットUIを用いた申請フロー • Netflix ConsoleMe • 2020年からあるAWS権限管理OSS • Weepというcli toolと連携可能 • CLI Tools • assume-role は、一時権限取得相当 全ての要件を満たすためには要カスタマイズ
11 一時権限取得 “how” - AWS権限取得 Temporary elevated access management •
TEAM • github.com/aws-samples で 公開されている権限管理OSS • 2023年に公開されたAWSが 開発を行うツール • 機能 • 承認ワークフロー • 履歴管理 • AWS IAM Identity Center / Organization との統合 https://aws-samples.github.io/iam-identity-center-team/
12 SaaS時代における認証・認可グループ管理 課題 • AWSだけならば… • TEAMなどの導入で、一時権限取得可能 → 様々なSaaSを利用する度にツールの導入はしたくない IdPによるグループ管理の検討
13 IdP 権限許可グループのアサイン制御 IdPのグループのアサインによる権限取得 • SaaSにおける権限グループの整理 • AWSの場合、Roleを整理 • RBAC
→ ABAC によるリソース制御 • IdPのグループとマッピングを作成 • SaaS権限グループ x IdPグループ • IdPグループのアサインは空にする • 権限管理システムによる権限取得 • IdPグループへのアサインを実施 IdPと連携可能なSaaSはIdPで統合管理が可能になる SCIM による即時反映が出来ることが望ましい
14 事例: Microsoft Entra ID x PIMによる一時権限取得 Microsoft Entra Privileged
Identity Management • 時間ベース・承認ベースのロールの Just-In-Time アクティブ化 FOLIOにおける一時権限取得例 • AWS IAM Roleの一時利用 • DBユーザ発行(vault)の一時利用 • Argo Workflow 実行の一時利用 • Argo CD 実行の一時利用 • Jenkins 実行の一時利用 • Entra ID 特権ロールの一時利用 • … IdPを中心にした汎用的な一時権限取得の実現
15 まとめ - 一時権限取得 一時権限取得 • 承認フローによる権限取得 • 牽制を効かせて、記録を残す •
必要最低限の権限となる確認 • 失効機能による一時的な権限 • IdPと連携した権限付与 • SaaS時代における汎用的な仕組み 事故を防ぎ、開発体験を良くしていく
16 ©FOLIO Co., Ltd. Mission Keep Innovating The Financial Industry
Vision 技術と創造で“未来の金融”の礎となる
THANK YOU