企業データを安全に使う人とデバイスの認証技術 ~クラウド、モバイル活用に必要なIAM(ID管理/アクセス管理)とは~ 株式会社オージス総研 八幡 孝 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 自己紹介 八幡 孝 (やはた たかし) 株式会社オージス総研 ThemiStructソリューション開発 リードアーキテクト ThemiStruct関連サービスの東日本エリア責任者 OpenAMコンソーシアム 活動メンバー OpenIDファウンデーション・ジャパン Enterprise Identity WG 技術TF リーダー @paoneJP OpenAM, Apache Modules, Python, Android, … OpenID Connect, JWT, OAuth, … , 周辺の実験を いろいろと。 https://paonejp.github.io/ © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 1 オージス総研です 株式会社オージス総研 代表者: 代表取締役社長 西岡 信也 設 立: 1983年6月29日 資本金: 4億円 (大阪ガス株式会社100%出資) 事業内容: システム開発、プラットフォームサービス、 コンピュータ機器・ソフトウェアの販売、 コンサルティング、研修・トレーニング 主な事業所 本 社: 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都 港区港南2-15-1 品川インターシティA棟 名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル 売上実績: 567億円(連結) 298億円(単体) 従業員数: 3,104名(連結) 1,283名(単体) 関連会社: さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、 OGIS International, Inc. 、上海欧計斯軟件有限公司(中国) オージス総研グループ 売上構成比 (連結) © 2015 OGIS-RI Co., Ltd. 2015/6/12 (2013年度) 取得許可認定 INTEROP TOKYO 2015 2 これまでの認証基盤 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 3 認証基盤の実装パターン ① IDMでID/パスワードを管理 ② IDM+SSOの組合せ ③ より完全なSSO ④ デスクトップSSO © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 4 ① IDMでID/パスワードを管理 個々のアプリにログインして利用 アプリ ① 個々のアプリにログインして利用 アプリ ② 個々のアプリにログインして利用 アプリ ③ ユーザー情報 パスワード ユーザー情報 パスワード ユーザー情報 パスワード ID管理システム ID/パスワード統一 アカウント一元管理 HR システム ワークフロー システム パスワード変更は1ヶ所で © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 5 代理認証パターン ② IDM+SSOの組合せ ユーザーID シングルサインオン システム パスワード アプリ アクセス アプリ アクセス パスワード 変更は1ヶ所で アプリ ① ユーザー情報 パスワード ユーザーID パスワード アプリ ② ユーザー情報 パスワード ユーザーID パスワード アプリ ③ ユーザー情報 パスワード ID管理システム ログイン HR システム ワークフロー システム ユーザー情報、パスワード ユーザー リポジトリ © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 6 ゲートウェイ型 属性連携パターン ユーザー 情報 シングルサインオン システム ログイン アプリ アクセス アプリ アクセス パスワード 変更は1ヶ所で アプリ ① ユーザー 情報 アプリ ② ユーザー 情報 ユーザー 情報 ユーザー 情報 ユーザー リポジトリ パスワード © 2015 OGIS-RI Co., Ltd. アプリ ③ ユーザー 情報 ID管理システム ③ より完全なSSO HR システム ワークフロー システム ユーザー情報 2015/6/12 INTEROP TOKYO 2015 7 Windows ログオン ④ デスクトップSSO アプリ アクセス アプリ アクセス ユーザー 情報 シングルサインオン システム Windows ドメインログオン ログイン 情報の連携 パスワード 変更は1ヶ所で アプリ ① ユーザー 情報 アプリ ② ユーザー 情報 アプリ ③ ユーザー 情報 ユーザー 情報 ユーザー 情報 ID管理システム ゲートウェイ型 属性連携パターン + Windows統合 ユーザー情報 Active Directory パスワード © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 8 認証基盤を作る狙いは何か? © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 9 認証基盤を作るメリット ① 利用者が便利になる ② セキュリティレベルのばらつきがなくなる ③ システム開発がしやすい ④ 認証方式の変更がやりやすい © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 10 ① 利用者が便利になる 作業効率の向上 IT活用の促進 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 11 ② セキュリティレベルのばらつきがなくなる 開発者に依存したばらつき ユーザーに依存したばらつき © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 12 ③ システム開発がしやすい アプリ毎の認証機能開発は不要 サブシステムに分割した開発の実現 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 13 ④ 認証方式の変更がやりやすい ID/パスワードを使った認証 多要素認証への対応 新しい方式への対応 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 14 認証基盤への要求の変化 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 15 企業ITを取り巻く環境の変化 社内にあるシステムを クラウドサービスの利用が拡大 社員用のPCから ユーザーが使うデバイスが多様化 社内ネットワークの中で 多様なワークスタイルの出現 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 16 これからの認証基盤への要求 クラウドサービスの利用が拡大 クラウドサービスのID管理、 利用時の認証強化への対応 許可されたデバイスの認証 ユーザーが使うデバイスが多様化 多様なワークスタイルの出現 ユーザーの状態に合わせた 適切な認証方式の選択 デバイスに特化したアプリ アーキテクチャへの対応 外部ネットワークへの 安全なシステム開放 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 17 企業の認証基盤ではどう対応すべきか © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 18 企業の認証基盤の目指す方向性 クラウドサービスのID管理、 利用時の認証強化への対応 ① フェデレーション技術、クラウド 向けID管理技術への対応 許可されたデバイスの認証 ② 電子証明書を使ったデバイス 認証への対応 ユーザーの状態に合わせた 適切な認証方式の選択 ③ リスクベース認証への対応 デバイスに特化したアプリ アーキテクチャへの対応 ④ RESTベースの認証技術への 対応 (OAuth, OpenID Connect) 外部ネットワークへの 安全なシステム開放 ⑤ リバースプロキシ方式の認証 基盤の活用 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 19 認証基盤コアアーキテクチャ 2015年版 r2 クラウドサービス向けのSSO 社内も社外も、 B2EもB2B, B2Cも、 同じアーキテクチャで BaaS (WebAPI) SaaS (WebApp) シングルサインオン基盤 SaaS (WebApp) SSO (IdP/OP) 多要素 リスクベース アプリ ① アプリ ② アプリ ③ SSO (RevProxy) ユーザー リポジトリ HR IDM 自社アプリ向けSSO © 2015 OGIS-RI Co., Ltd. Workflow アイデンティティ管理基盤 2015/6/12 INTEROP TOKYO 2015 20 ① フェデレーション技術、 クラウド向けID管理技術への対応 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 21 フェデレーション技術への対応 クラウドサービス側の パスワード管理不要 クラウドサービスへアクセス Google Apps IdPへ認証をリクエスト 認証結果・属性情報を連携 salesforce.com SAMLを使ったフェデレーション cybozu.com 企業の認証基盤 (シングルサインオン基盤)ユーザー リポジトリ © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 22 フェデレーションへの対応にはID管理も必要 ユーザーアカウントのCRUD Google Apps クラウドサービス側の アカウント事前配備 ユーザーへの ライセンス割当、解除 利用終了時の ユーザーデータの削除 salesforce.com ユーザーのロール に基づいたID管理 cybozu.com 企業の認証基盤 (アイデンティティ管理) © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 23 システム開発がしやすい方式の選択 フェデレーション方式 ゲートウェイ方式 代理認証 実装例 SAML リバプロ / エージェント ゲートウェイ方式併用 アプリ側での認証 情報の受け取り アプリ側でSAML SP 機能の実装が必要 HTTPヘッダを使った 連携 アプリは実装を変える 必要が無い セッション管理 アプリ側での管理となる 実装ばらつきに注意 認証基盤で一元的に 管理 認証基盤で一元的に 管理可能 セッション無効化 ID管理での無効化処 理などの併用が必要 認証基盤で一元的に 管理 認証基盤で一元的に 管理可能 URLベースの アクセス制御 アプリ側での管理 or ロールに基づくID登録 認証基盤で一元的に 管理 認証基盤で一元的に 管理可能 パスワード管理 パスワードは認証基盤 内にとどまる パスワードは認証基盤 内にとどまる アプリ側でもパスワード 管理が必要 SaaSはフェデレーション方式、自社アプリはゲートウェイ方式、と使い分け © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 24 ② 電子証明書を使ったデバイス認証への対応 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 25 電子証明書を使った端末認証と多要素認証の例 「知っている情報(IDとパスワード)」 と 「持っている情報(OTP)」を 使ってアクセスできる Office 365 端末認証 ID/パスワード認証 2要素を使った ユーザー認証 電子証明書認証 Salesforce1 ワンタイム パスワード認証 利用者 Google Apps 「許可された端末だけ」 を使ってアクセスできる © 2015 OGIS-RI Co., Ltd. 電子証明書 発行 2015/6/12 OTPトークン 発行 INTEROP TOKYO 2015 etc. 26 ③ リスクベース認証への対応 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 27 安全性 > ユーザー利便性? より厳密な認証の実装 複雑で長いパスワードの要求 ユーザー視点での課題 ワンタイムパスワードの併用 操作が複雑。 電子証明書の要求 … 毎回操作するのが面倒くさい。 スマホでの操作には向かない。 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 28 ユーザーの状態に併せて認証強度を変える 状態に変化がある ⇒ リスクが上昇 ⇒ より強い認証 認証失敗の回数 IPアドレス、IPアドレスの履歴 デバイスに発行したCookie 位置情報 最後に認証されてからの 経過期間 © 2015 OGIS-RI Co., Ltd. 2015/6/12 ユーザー視点での利点 一度は強い認証を実行。 状態が変わらない限りは、 簡単な認証 or 認証無しで。 複雑な操作回数が減り、 使い勝手が大きく向上 INTEROP TOKYO 2015 29 ④ RESTベースの認証技術への対応 (OAuth, OpenID Connect) © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 30 スマデバ向けアプリでの技術要求 画面遷移型 から フロントアプリ + WebAPI型へ ネイティブ、Single Page Applicationなどへ変化 データ量の少ない方式へ REST/JSONベースの通信方式 今後、認証技術は OAuth, OpenID Connect へ。 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 31 ⑤ リバースプロキシ方式の認証基盤の活用 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 32 シングルサインオン実現の方式 エージェント型 アプリサーバにエージェントソフトウェ アを埋め込んでSSOを実現。 クライアントはアプリへ直接アクセス。 リバースプロキシ型 SSOの処理を行なうリバースプロキシ サーバを設置。 クライアントは、リバースプロキシサー バを介してアプリへアクセス。 フェデレーション型 標準技術を用いて、認証サーバとア プリサーバが認証状態の情報をやりと りすることでSSOを実現。 クライアントはアプリへ直接アクセス。 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 外部からのアプリ アクセスを実現 する方式として、 今後も重要に。 33 そしてその先には... お客さま向けのITのための認証基盤へ デバイスとユーザーをつなぐ認証基盤へ パスワードが要らない世界の認証基盤へ … © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 34 認証基盤コアアーキテクチャ 2015年版 r2 クラウドサービス向けのSSO インターネットからの利用 社内も社外も、 B2EもB2B, B2Cも、 同じアーキテクチャで 標準プロトコルで 認証連携 SaaS (WebApp) シングルサインオン基盤 組織内からの利用 アプリ ① アプリ ② アプリ ③ 認証基盤接続の 開発が簡単 SSO (RevProxy) SaaS (WebApp) SSO (IdP/OP) 多要素 ゲートウェイによる ポリシーとセッション の厳密な制御 リスクベース クレデンシャル (パスワード) ユーザー の一元管理 リポジトリ HR アカウント属性 IDM 自社アプリ向けSSO © 2015 OGIS-RI Co., Ltd. BaaS (WebAPI) Workflow アイデンティティ管理基盤 2015/6/12 INTEROP TOKYO 2015 35 認証基盤を作るメリットを享受する ① 利用者が便利になる ② セキュリティレベルのばらつきがなくなる ③ システム開発がしやすい ④ 認証方式の変更がやりやすい © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 36 認証基盤への要求が変わった今がチャンス まず認証基盤を作る アプリに仕様を提示し、認証基盤に繋がってもらう アプリを徐々に集める・増やす 先に認証基盤を作ればメリットを最大限享受できる © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 37 テ ミ ス ト ラ ク ト ThemiStructソリューションの紹介 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 38 テ ミ ス ト ラ ク ト ThemiStruct は統合認証ソリューション ThemiStruct(テミストラクト)は統合認証ソリューション 統合認証 ID管理 ライフサイクル管理 認証基盤 多要素認証 シングルサインオン 人の属性・存在を管理 不正IDを残さない ハード・ソフトの違いを超え安全なアクセスを提供 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 39 多要素認証やシングルサインオンなどアクセスマネジメント 認証基盤ソリューション クラウド+スマートデバイスを多要素認証でセキュリティ強化しシング ルサインオンで利便性を向上します 多要素認証 OTP One Time Password ワンタイムパスワード シングルサインオン WAM Web Access Management CM Certified Management 証明書発行・管理 © 2015 OGIS-RI Co., Ltd. クラウドサービス オンプレミスアプリ群 2015/6/12 INTEROP TOKYO 2015 40 IDのライフサイクル管理 ID管理ソリューション ID情報を申請フローを用いて収集し対象システム群へ反映 有効期限による管理および人事異動などにスマートに対応可能です ID利用の申請 ID WF WorkFlow ID Management ライフサイクル管理 ID情報 起票 承認① 承認② 完了 ID情報の反映 © 2015 OGIS-RI Co., Ltd. クラウドサービス オンプレミスアプリ群 2015/6/12 INTEROP TOKYO 2015 41 ThemiStructでは5つのソリューションをご提供 証明書管理者 証 明書管理業務 利 用者 証 明書発行 OTP管理者 12345 認 証アクセス OTP発 行 OTP管 理業務 ThemiStruct-CM ThemiStruct-WAM ThemiStruct-OTP 電子証明書 発行・管理 ソリューション シングルサインオン 認証基盤 ソリューション ワンタイムパスワード ソリューション シ ングル サ インオン シ ングル サ インオン クラウドシステム ID連 携 ID連 携 ThemiStruct-MONITOR ID管理 ソリューション システム監視 ソリューション 利 用者 2015/6/12 シ ステム 監視 ThemiStruct-IDM セ ルフ サ ービス © 2015 OGIS-RI Co., Ltd. 社内システム ID管 理業務 シ ステム監視業務 ID管 理者 INTEROP TOKYO 2015 42 まとめ © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 43 まとめ クラウド活用、スマデバ活用などで、認証基盤への 要求が変わった。 企業の認証基盤も、新しい技術、方式に対応する必 要がある。 認証基盤が大きく変わる今がチャンス。多くのアプ リが集めて、メリットを享受しよう。 © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015 44 認証基盤コアアーキテクチャ 2015年版 r2 クラウドサービス向けのSSO インターネットからの利用 社内も社外も、 B2EもB2B, B2Cも、 同じアーキテクチャで 標準プロトコルで 認証連携 SaaS (WebApp) シングルサインオン基盤 組織内からの利用 アプリ ① アプリ ② アプリ ③ 認証基盤接続の 開発が簡単 SSO (RevProxy) SaaS (WebApp) SSO (IdP/OP) 多要素 ゲートウェイによる ポリシーとセッション の厳密な制御 リスクベース クレデンシャル (パスワード) ユーザー の一元管理 リポジトリ HR アカウント属性 IDM 自社アプリ向けSSO © 2015 OGIS-RI Co., Ltd. BaaS (WebAPI) Workflow アイデンティティ管理基盤 2015/6/12 INTEROP TOKYO 2015 45 ご清聴ありがとうございました。 【お問合せ先】 株式会社オージス総研 TEL: 03-6712-1201 / 06-6871-7998 E-mail: [email protected] © 2015 OGIS-RI Co., Ltd. 2015/6/12 INTEROP TOKYO 2015
© Copyright 2024 ExpyDoc
