いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

STS(エスティーエス)とは | 意味や読み方など丁寧でわかりやすい用語解説

STS(エスティーエス)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

システムトランザクションサービス (システムトランザクションサービス)

英語表記

STS (エスティーエス)

用語解説

STSは、Security Token Serviceの略であり、主にクラウド環境において一時的なセキュリティ認証情報(セキュリティトークン)を発行し、管理するサービスである。これは、ユーザーやアプリケーションが特定のクラウドサービスやリソースに安全にアクセスするために利用される。従来の永続的な認証情報(例えば、長期間有効なアクセスキーやパスワード)は、一度漏洩すると深刻なセキュリティリスクを伴う。STSは、このリスクを低減するため、有効期限が限定された一時的な認証情報を提供する仕組みとして導入された。主にクラウド環境での認証・認可基盤として広く用いられ、異なるアカウントやサービス間での安全な連携を可能にする。特にAmazon Web Services (AWS) における同名のサービスが有名だが、その概念はクラウドセキュリティ全般において重要な役割を果たす。システムエンジニアを目指す上で、STSの概念と利用方法は、クラウド環境におけるセキュリティの基礎知識として非常に重要であり、セキュアなシステムを設計・構築・運用するためには不可欠な要素となっている。

STSが発行するセキュリティトークンは、その名の通り一時的な認証情報である。これは、特定の期間(数分から数時間など)のみ有効なアクセスキー、シークレットアクセスキー、およびセッショントークンで構成される。従来の永続的な認証情報と比較して、有効期限が自動的に切れるため、万が一漏洩した際のリスクを大幅に低減できる点が大きな特徴だ。これにより、永続的な認証情報をアプリケーションやユーザーに直接持たせることによるセキュリティ上の課題を解決する。

STSの主要な機能の一つに、AssumeRoleがある。これは、特定の「ロール」(役割)の権限を一時的に引き受けることで、そのロールに付与された権限で操作を行うための一時的な認証情報を取得するAPIである。例えば、あるアプリケーションがデータベースにアクセスする必要がある場合、そのアプリケーションに直接データベースへのアクセス権限を持つ永続的な認証情報を持たせる代わりに、STSを通じてデータベースアクセス権限を持つロールを一時的に引き受けさせ、その権限で操作させることができる。これにより、アプリケーションが持つ永続的な認証情報の権限を最小限に抑え、必要な時に必要な権限のみを利用する、というセキュリティベストプラクティスを実現する。このプロセスでは、アプリケーションが自身の認証情報(または別の信頼できる認証情報)を使ってSTSにリクエストを送信し、STSは指定されたロールのポリシーに基づいて一時的な認証情報を生成して返す。

また、GetFederationTokenという機能も提供される。これは、外部のIDプロバイダー(例えば企業のディレクトリサービスなど、既存の認証基盤)で認証されたユーザーに対して、クラウドサービスへの一時的なアクセス権限を付与する際に利用される。これにより、既存の認証基盤とクラウドサービスを連携させ、ユーザーがクラウドサービスごとに新しいアカウントを作成したりパスワードを管理したりすることなく、シングルサインオン(SSO)環境を構築することが可能になる。

STSを利用することによるセキュリティ上のメリットは多岐にわたる。まず、「最小権限の原則」の実現に大きく貢献する。発行される一時的な認証情報は、特定のタスクを実行するために必要な最小限の権限のみを持つように細かく設定できるため、過剰な権限によるインシデントのリスクを抑制できる。次に、認証情報の「漏洩リスクの低減」がある。有効期限が短いため、万が一一時的なトークンが外部に漏洩したとしても、そのトークンが不正に利用できる時間は限られる。これは、長期間有効な認証情報が漏洩した場合に比べて、被害を限定的に抑える効果がある。さらに、「認証情報の管理負荷の軽減」も挙げられる。永続的な認証情報を頻繁にローテーションする手間が省け、システム全体のセキュリティ運用が効率化される。また、多要素認証(MFA)と組み合わせることで、一時的な認証情報の取得自体にMFAを要求することも可能となり、セキュリティレベルをさらに向上させることができる。

システムアーキテクチャの観点では、STSはセキュアな認証・認可基盤の構築において不可欠な要素となる。異なるサービス、アプリケーション、あるいは異なるクラウドアカウント間での安全な連携を簡素化し、各コンポーネントが互いに信頼関係を構築するための基盤を提供する。これにより、複雑な分散システムにおいて、各要素が独立しつつも、セキュリティポリシーに則って連携する、堅牢なシステム設計が可能となる。このサービスを理解し活用することで、より安全で効率的なクラウドネイティブなアプリケーション開発やインフラ管理が可能となるだろう。

関連コンテンツ

関連IT用語

関連ITニュース