Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモ動画を見る
無料トライアル お問い合わせ

認可戦略を進化させる必要はありますか?尋ねるべき5つの質問

作者について

Shiven Ramji

President, Auth0

Shiv is an experienced product executive and builder obsessed with creating beautiful products. He is the President of Auth0 at Okta, managing a $1B ARR business and overseeing the company’s product, data, security, and technology strategy and execution. Before Auth0 and Okta, Shiv was the SVP of Product at DigitalOcean, leading DigitalOcean’s products, pricing, and partnerships. Additionally, Shiv has held product leadership positions at global brands, including Amazon, NBCUniversal, LiveIntent, and The Nielsen Company. Shiv was the recipient of the 2023 Top Global CPO Award by the Products That Count community.

Beyond his current corporate focus, Shiv is deeply committed to fostering entrepreneurship and innovation, particularly in Africa. He is an active angel investor and startup advisor and also serves on the boards of Products That Count and Aiven.io.

12 6月 2024 読了目安時間: ~

トピック

サイバーセキュリティ

目次

このブログはこちらの英語ブログの機械翻訳です。

今日、すべての企業はソフトウェア企業であり、イノベーションは誰にとっても最優先事項です。最新のソフトウェアアプリケーションは、コアビジネス機能に加えて、コラボレーション、共有、チームなど、誰もが当然のことと考える機能を備えている必要があります。

しかし、開発リソースが逼迫している場合、チームがアプリケーションがサポートする必要のあるセキュリティ、ガバナンス、コンプライアンスなどの標準の爆発的なニーズをサポートするために、新しい認証要件をチームに殺到させることは避けたいものです。

SaaSアプリケーションがますます洗練され、共同作業が可能になり、機能が豊富になるにつれて、認可は本当に厄介な問題になる可能性があり、開発者の時間を拘束して、アプリケーションコードに複数の権限レイヤーを繰り返し構築する必要があります。

何が問題ですか?

多くの場合、認証アプローチは、今日の高度に連携した SaaS ソリューションの複雑な要件を満たすことができません。ユーザーにアプリケーション資産へのアクセス権を付与することは、かつては非常に簡単でした。

権限は、多くの場合、事前に定義された役割に基づいて付与されていました。たとえば、従業員が人事チームに所属している場合、オンボーディング機能へのアクセス権が付与されます。ただし、SaaSソリューションがより多くのコラボレーション機能を追加し、従業員やパートナーから顧客や請負業者まで、より広範なユーザーを含むようになるにつれて、ロールベースアクセス制御(RBAC)ではもはや十分ではありません。

分散型承認 = コンプライアンス、監査、およびセキュリティギャップの改善

RBACやその他の従来型のドキュメント、ファイル、その他の種類のアセットへのアクセスを保護および管理する方法は、通常、アプリケーション内コーディングまたはレガシーポイントソリューションに依存しています。ただし、認可ロジックを複数のアプリケーションに分散させると、コンプライアンス、監査、セキュリティの脆弱性が急速に増加する可能性があります。

アクセスポイントが増えるほど、セキュリティ、監査、コンプライアンスの観点からリスクが高まります。しかし、金融サービスや医療などの規制の厳しい業界では、リスクが増大します。

きめ細かい認可は、より安全で、正確で、スケーラブルです。

最新のSaaS環境では、組織は、よりきめ細かい範囲のパラメータに従って、プロジェクト、資産、および機能へのアクセスを許可する必要があるかもしれません。そして、組織の内部および外部ユーザーに対して。たとえば、医療従事者と患者の両方がアクセスする必要がある医療チャートアプリを考えてみてください。許可される情報の可視性のレベルは異なります。

きめ細かい認可 (FGA) は、プロジェクト、記録、ファイルなどに対して正確に定義された権限を付与するためのより多くのオプションを提供します。このアプローチを(アプリケーションコードに埋め込むのではなく)一元化すると、開発者の負担を大幅に軽減できます。開発者は、より強力なレベルのセキュリティとコンプライアンスを維持しながら、新規および変化する認証要求に対応するために、より簡単にスケールアップできます。

FGAについて自問すべき5つの質問

まだあなたの組織にFGAのソリューションが必要かどうか確信がありませんか?尋ねるべき5つの重要な質問を以下に示します。

  1. ソリューション内でコラボレーション機能を追加または強化していますか? ソリューションが、プロジェクトでの共同作業の効率化、モバイルバンキングや医療記録などのリソースへのアクセス、リアルタイムでのインタラクションのいずれを支援する場合でも、コラボレーションと共有のための機能が増えるほど、承認要件はより複雑になります。
  2. 監査およびコンプライアンス要件が厳しい、または監査/コンプライアンス要件が厳しい企業に販売していますか?
    今日のSaaSアプリの多くは、特に金融、医療、法務サービスにおいて、コンプライアンスおよび監査ルールもサポートする必要があります。分散化された認証ロジックは監査が難しく、セキュリティおよびコンプライアンスリスクにつながる可能性があります。
  3. RBACよりもきめ細かく柔軟な認証制御が必要ですか?
    1つのパラメーターではなく、パラメーターの組み合わせに基づいてアプリケーションへのアクセスを許可する必要がある場合、RBACは制限される可能性があります。たとえば、アプリが異なるレベルのアクセスを必要とする内部および外部の共同作業者によって使用されている場合や、ユーザーが限られた時間(サポートチケットのトラブルシューティングなど)アプリケーションにアクセスする必要がある場合などです。
  4. 誰が何にアクセスできるかを把握するのは困難ですか?
    理想的には、SaaS環境全体でアクセス制御と権限を一元的に管理および実装する必要があります。
  5. 開発者は、全体的に認可に時間をかけすぎていませんか? 認可機能を構築し、コードレベルで権限をオン/オフすることは時間がかかり、セキュリティリスクを高める可能性があります。その時間は、製品の革新に費やすことができます。

上記の質問のいずれかに「はい」と答えた場合は、アクセス制御戦略を進化させる時期です。Oktaには、よりスケーラブルで柔軟性があり、コンプライアンスに準拠し、安全な認可への道を開くのに役立つ入門書があります。詳細については、Okta Fine Grained Authorizationに関するホワイトペーパーをお読みください。

作者について

Shiven Ramji

President, Auth0

Shiv is an experienced product executive and builder obsessed with creating beautiful products. He is the President of Auth0 at Okta, managing a $1B ARR business and overseeing the company’s product, data, security, and technology strategy and execution. Before Auth0 and Okta, Shiv was the SVP of Product at DigitalOcean, leading DigitalOcean’s products, pricing, and partnerships. Additionally, Shiv has held product leadership positions at global brands, including Amazon, NBCUniversal, LiveIntent, and The Nielsen Company. Shiv was the recipient of the 2023 Top Global CPO Award by the Products That Count community.

Beyond his current corporate focus, Shiv is deeply committed to fostering entrepreneurship and innovation, particularly in Africa. He is an active angel investor and startup advisor and also serves on the boards of Products That Count and Aiven.io.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ