顧客 ID とアクセス管理 (CIAM) - 顧客のセキュリティ
顧客 ID とアクセス管理 (CIAM)
多くの攻撃は、リレーショナルデータテーブルに保存されたユーザーに関連する認証ページのプログラミングエラー (SQL インジェクション など) や、認証の不備 に関連するその他の脆弱性を悪用しています。
顧客 ID とアクセス管理 (CIAM: Customer Identity and Access Management)には、Amazon Cognito のような顧客の認証を提供するセキュリティサービスを使用しましょう。これにより、アプリケーションは安全なコンテキストベースの認証を持ち、多要素認証の追加オプションや、ソーシャルネットワーク (Amazon、Google、Facebook) からのシングルサインオンと連携が可能になります。
Amazon Cognito は以下の標準規格をサポートしています:SAML、OpenID Connect、OAuth2.0
AWS Marketplace では、パートナー企業による多くのソリューションが利用可能です。例えば、
アカウント乗っ取り防止
顧客認証に関連するリスク軽減のための追加推奨事項として、AWS WAF マネージドルールの Fraud Control Account Takeover Prevention (ATP) の使用があります。これは認証ページでの悪意のある行動、例えば露出した認証情報の使用やパスワード推測の試みを阻止します。
料金
- Amazon Cognito:
- Amazon Cognito 料金
- 使用量に応じた支払いで、月間アクティブユーザー (MAU) 数に基づいてコストが決まります
- Cognito には基本的な保護のために 50,000 MAU までの無料枠があります
- AWS WAF ATP:
- AWS WAF の料金
- アカウント乗っ取り防止には月額 10 USD の料金と、分析されたログイン試行 1000 回あたり 1 UDS の料金がかかります
Amazon Cognito デモ
(日本語字幕あり) Amazon Cognito user pools support ability to customize access tokens (Amazon Cognito ユーザープールがアクセストークンのカスタマイズ機能をサポート)