デベロッパー

Identity and Access Management: Cloud Identity による認証

2022年8月2日

https://storage.googleapis.com/gweb-cloudblog-publish/images/Identity__Access_Management_Hero_1.max-2300x2300.png

Google Cloud Japan Team

※この投稿は米国時間 2022 年 7 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティには、アクセスを制御するための 3 つの「A」があります。認証（ユーザーは誰か）、承認（ユーザーは何を行えるか）、監査（ユーザーはどのような操作を行っているか）です。もう少し少し掘り下げて見てみましょう。

認証（AuthN）: 認証とは、確認用の非公開情報（たとえば、パスワード、証明書、鍵など）を使用してユーザーを識別するプロセスです。Google Cloud では、Cloud Identity により認証が行われます。
承認（AuthZ）: 認証のプロセスでは権限セットは提供されません。承認は、認証後にユーザーに割り当てる権限を設定するために使用されます。Google Cloud では、Cloud IAM を使用して承認が行われます（デフォルトで幅広い権限を持つ管理者ロールの割り当てには、Cloud Identity が使用されます）。
監査: 監査とは、特定の ID によってアクセスまたは修正されたリソースをモニタリングすることです。Google Cloud では、Cloud Audit Logging がリソースの監査に役立ち、Reports API が Cloud Identity のオペレーションの監査に役立ちます。ログを主要な SIEM システムに統合することもできます。

この投稿では、認証に焦点を当てて説明します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Identity__Access_Management_Hero.max-2200x2200.png

Cloud Identity とは

Cloud Identity は、Google Cloud の ID プロバイダ（IdP）です。また、Google Workspace で利用されている Identity as a Service（IDaaS）ソリューションでもあります。Google Cloud ユーザーのデジタル ID を保存し管理することができます。Cloud Identity への移行時または使用開始時には、Google 管理コンソールから各ユーザーのアカウントを無料で作成できます。Cloud Identity（無償版）には 50 ユーザーまでの制限があるため、お客様は Cloud Identity Premium（有料サブスクリプション）を購入するか、CI の無償版のライセンスの追加を申請（正当な理由に基づいて実施）することが可能です。また、Cloud Identity は、ユーザーライフサイクル管理、アカウントのセキュリティ、シングルサインオン（SSO）をサポートしています。

Cloud Identity の設定は、組織が Google Cloud を導入するうえでの前提条件です。その仕組みは次のとおりです。

Cloud Identity インスタンスを設定すると、所有するドメインを追加するよう求められます（通常は企業のメインのドメイン）。
このドメインを所有していることを証明するよう求められます。これは通常、TXT レコードを DNS レコードに追加することで行います。
ドメインの所有権を証明したら、ドメインと同じ名前で Google Cloud の組織が作成され、Google Cloud を使用できるようになります。

Cloud Identity と Google Cloud を連携させる方法

ID を Cloud Identity にインポートするには、手動、CSV ファイル経由、API やサードパーティの IdP システムを使用するなど、さまざまな方法があります。設定が完了すると、ユーザーとグループは Cloud IAM によって使用され、Google Cloud のリソースへのアクセスが付与されます。ここで重要なのは、Cloud Identity ロールはユーザーやグループを管理するために使用され、クラウドリソースに対する権限を管理する Google Cloud IAM ロールとは異なるということです。この違いについては、Cloud IAM 承認に関する別の投稿で詳しく説明します。

認証のオプション

ユーザー名とパスワード以外にも、よく使用される認証オプションが 2 つあります。

Google 認証システムによる 2 段階認証プロセス（2SV）

2 段階認証プロセスでは、ユーザー名とパスワードに加え、第 2 の認証要素を追加します。ただし、すべての 2 段階認証プロセスの方式が同じというわけではなく、SMS、バックアップコード、ワンタイムパスワード（OTP）、モバイルのプッシュ通知は保護を強化しますが、フィッシング攻撃を受ける可能性はまだあります。FIDO Universal 2nd Factor（U2F）セキュリティキーには高いフィッシング耐性があります。U2F プロトコルは、暗号化を使用して、ユーザーの本人確認とアクセス先のウェブサイトの URL を確認します。キーはデバイスに維持されているため、サーバー側の共有シークレットを盗むことができず、フィッシング、中間者攻撃、リプレイ攻撃から保護することができます。

セキュリティの確保において、Google はセキュリティキーを推奨しています。さらに、最適なセキュリティのために、管理者にとってセキュリティキーの使用は必須のものと考える必要があります。Google では、Google によって設計されたキーの完全性を検証する特別なファームウェアが組み込まれている Titan セキュリティキーを提供しています。また、Android や iOS デバイスもセキュリティキーとして使用できます（Bluetooth が必要）。Titan セキュリティキーは FIDO U2F プロトコルを採用しているため、Google からのメッセージ経由でログインするのと同様のユーザーエクスペリエンスを提供しながら、より強固な保護を実現します。

Cloud Identity は、サードパーティの IdP（Azure AD や Okta など）による 2 段階認証プロセスの要求も可能です。たとえば、この場合、ユーザーがパスワードを入力して Azure AD にログインし、IdP（Azure AD）と Google との間で SAML 交換が成功した後に、追加の認証ステップとして Google の 2 段階認証プロセス方式を利用できます。SAML SSO 後の認証は静的ではなく（例: 毎回確認されるわけではない）、リスクベースです。

サードパーティ ID プロバイダによる SSO 認証

SSO を使用した認証を、Okta、Ping、Active Directory フェデレーションサービス（AD FS）、Azure AD などのサードパーティの SAML 2.0 ID プロバイダに委任することもできます。この方法は通常、すでに互換性のある IdP を使用している場合、Google Cloud のオンボーディングを迅速化し、混乱を抑えることができます。

今回は、Google Cloud における認証のオプションの全体像について説明しました。ユーザーが認証された後は、実行したい操作を行うための承認が必要となります。Cloud IAM による承認について詳しくは、こちらをご覧ください。Cloud Identity の詳細については、ドキュメントをご確認ください。

#GCPSketchnote をさらにご覧になるには、GitHub リポジトリをフォローしてください。同様のクラウドコンテンツについては、Twitter で @pvergadia をフォローしてください。thecloudgirl.dev もぜひご覧ください。

- Google、デベロッパーアドボケイトリード Priyanka Vergadia

投稿先