第16回 CSA 勉強会 IAM管理の最新動向 2015年9月25日 エクスジェンネットワークス株式会社 代表取締役 江川 淳一 [email protected] Copyright© 2015 EXGEN NETWORKS Co.,LTD. All Rights Reserved. 1. クラウド普及による新たなセキュリティ対策 1.1 クラウド普及 クラウドサービス事業者 クラウドサービス利用企業 業務システムA 機密情報 機密情報をクラウド 事業者に預けたくな い 業務サービスB クラウド利用 機密情報 クラウド利用企業の 機密情報を預かりた くない ミッションクリティカルな業務のクラウドサービス利用進む セキュリティ・ポリシーによる統制力が及ぶ範囲外に機密情報 を預けることを前提とした、新たなセキュリティ対策が必要 クラウド事業者に預けないで済む機密情報は何かあるか? 1 1. クラウド普及による新たなセキュリティ対策 1.コンシューマ市場でのフェデレーション活用例 1.2 コンシューマ市場でのフェデレーション活用例 1 2 入力 ログイン 3 4 選択 SSO 2 1. クラウド普及による新たなセキュリティ対策 1.2 コンシューマ市場でのフェデレーション活用例 6 5 選択 フェデレーションの役割と効果 属性情報自動入力 ①認証=複数のWebサイトへのシングルサインオン ②ID情報連携=属性情報の自動入力 3 1. クラウド普及による新たなセキュリティ対策 1.3 エンタープライズ市場でのフェデレーション応用 ローカル認証方式 クラウドサービス事業者 クラウドサービス利用企業 業務システムA 業務サービスB クラウド利用 ID情報 ID情報 フェデレーションによる認証情報連携 業務サービスC ID情報 (一部) IdP フェデレーション RP ID情報 (一部) セキュリティ・ポリシーの及ぶ範囲内にID情報 の一部を残す 4 1. クラウド普及による新たなセキュリティ対策 1.3 エンタープライズ市場でのフェデレーション応用 クラウドサービス利用企業 ID管理 システム クラウドサービス事業者 1 IdP ID情報 (全部の情報) 4 API 3 ID情報 (一部の情報) RP 5 2 6 1 【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録 2 【アクセス試行】クラウドサービスへのアクセス 3 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲 4 【認証処理】エンドユーザによる認証処理 5 【IDトークン返却】クラウドサービスへの認証結果の連携 6 【クラウドサービス利用】エンドユーザによるクラウドサービス利用 5 2. エンプラ市場でのフェデレーション利用のポイント 2.1 ID管理システムの必要性①~コンシューマ市場との違いから IdP 個人 UI ID情報 UI RP 企業 プロビジョニング併用でのID情報連携が必要 ・サービス利用契約に応じたライセンス数分のIDの事前配布。 ・営業支援システムやスケジュール共有システムのようにID 情報自体が業務アプリのコンテンツとなっている場合が セキュリティ 多い。 ポリシー 人事 システム API ID管理 システム ID情報 RP 人事システム ID情報 IdP AD ID情報 マスター ID情報 API ID情報 RP 6 2. エンプラ市場でのフェデレーション利用のポイント 2.1 ID管理システムの必要性②~コンシューマ市場との違いから IdP 個人 UI ID情報 UI RP 企業 源泉DB IDライフサイクル管理 ・定期的な人事異動や組織改編への対応。 セキュリティ ポリシー 人事 システム API ID管理 システム ID情報 RP 人事システム ID情報 IdP AD ID情報 マスター ID情報 API ID情報 RP 7 2. エンプラ市場でのフェデレーション利用のポイント 2.1 ID管理システムの必要性③~コンシューマ市場との違いから IdP 個人 UI ID情報 UI RP 企業 内部統制対策としての認証基盤整備の一環 ・IDはセキュリティポリシーに準拠してIT部門の管理者により 運用管理される従業員ID管理。 セキュリティ ポリシー 人事 システム API ID管理 システム ID情報 RP 人事システム ID情報 IdP AD ID情報 マスター ID情報 API ID情報 RP 8 2. エンプラ市場でのフェデレーション利用のポイント 2.1 ID管理システムの必要性④~コンシューマ市場との違いから IdP 個人 UI ID情報 UI RP 企業 既存システムIDとの統合運用管理が必要 ・クラウドサービスで利用するIDは社内の既存システムで 利用するIDも含めた統合運用管理が必要。 セキュリティ ポリシー 人事 システム API ID管理 システム ID情報 RP 人事システム ID情報 IdP AD ID情報 マスター ID情報 API ID情報 RP 9 3. 認証基盤システム概要 3.1 認証基盤システム整備の目的 様々なシステムのユーザ情報を正 しく整える必要が.. しかもリアルタイムに... 源泉情報 ID システム毎にパスワードを 変更する必要が... P 認 何度もログインが必要、 何種もパスワードを覚える 必要が... 「ユーザ利便性の向上」「管理効率の向上」 「管理品質の確保」「セキュリティリスクの低減」 10 3. 認証基盤システム概要 3.2 認証基盤システム概要図 源泉情報 ID P 認 IDM IDライフ サイクル管理 連携 ID情報 マスター (認証サーバ) 認証基盤システム構成 ①ID情報マスター SSO ②ID管理システム (IDライフサイクル管理& ID連携( プロビジョニング)) ③シングル・サインオンシステム 11 4. IDaaS概要 4.1 IDaaSの出現(US) SaaSへのシングル・サインオン 12 4. IDaaS概要 (注)Webに公開されている情報をもとに江川が考察を加えました。 4.2 OktaのIDaaS 専業SaaS エンドユーザ IDaaS LDAP IdP AD 管理者 RP AD連携 1.オンプレ⇒IDaaS 2.IDaaS⇒オンプレ (SCIM) $4~$8/月 クラウド用 ID情報マスタ RP RP エンドユーザ RP RP 1000以上のSaaSに 対するSSOが主機能 25のSaaSに対する プロビジョニング RP RP ID情報 13 4. IDaaS概要 4.3 IDaaSの機能 エンドユーザ ①シングル・サインオン・サービス (多要素認証 & フェデレーション) ②ID管理サービス 源泉ID情報 DB ワーク フロー IDライフ サイクル管理 ID情報 プロビジョニング マスターDB ③インフラ提供 IaaS PaaS SaaS プライベート クラウド オン プレミス ④インフラ&サービス監視 14 5. 日本のIDaaS 5.1 ID Federation(NTTコミュニケーションズ) Microsoft Office365、Salesforce、box、GoogleApps等のメジャーなクラウド型ア プリケーション(SaaS)はもちろんのこと、その他、NTT Comが提供するSaaS、 他社が提供するSaaSを含め多様なSaaSへのシングルサインオンを実現します。 15 5. 日本のIDaaS 5.1 ID Federation(NTTコミュニケーションズ) IaaS PaaS エンドユーザ 源泉ID情報 DB ワーク フロー IDaaS シングル・サインオン (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 プロビジョニング マスターDB SaaS プライベート クラウド オン プレミス インフラ監視 16 5. 日本のIDaaS 5.1 ID Federation(NTTコミュニケーションズ) IaaS PaaS エンドユーザ 源泉ID情報 DB ワーク フロー IDaaS シングル・サインオン (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 プロビジョニング マスターDB SaaS プライベート クラウド オン プレミス インフラ監視 17 5. 日本のIDaaS 5.2 Business ID (KDDI) 連携サービス: 「Google Drive for Work」、「Google Apps for Work」、 「Office 365 with KDDI」、「KDDI ChatWork」、「KDDI Knowledge Suite」 18 5. 日本のIDaaS 5.2 Business ID (KDDI) IaaS PaaS エンドユーザ 源泉ID情報 DB ワーク フロー IDaaS シングル・サインオン (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 プロビジョニング マスターDB SaaS プライベート クラウド オン プレミス インフラ監視 19 5. 日本のIDaaS 5.2 Business ID (KDDI) IaaS PaaS エンドユーザ 源泉ID情報 DB ワーク フロー IDaaS シングル・サインオン (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 プロビジョニング マスターDB SaaS プライベート クラウド オン プレミス インフラ監視 20 5. 日本のIDaaS 5.3 extic(EXGEN Trusted Identity Center) シングルサインオン 【SSO】 OpenAM/Shibboleth 【IDM】CIM(Java) ID情報マスタDB (PostgreSQL) OpenLDAP プロビジョニング 【ポータル】 extic ポータル シングル サインオン 認証 メンテ GUI CSV CSV 利用者 管理者 AD パスワード フック AD PW Hook Active Directory LDAP UNIX コマンド オンプレミス 21 5. 日本のIDaaS 5.3 extic(EXGEN Trusted Identity Center) ①EXGEN社がサービス提供 ②ターゲットは大学 ③まずAWS版、その後Azure版(それぞれの良さを訴える) プレミアムサポートや包括ライセンス契約の有無 ③日本のエンタープライズクラウド市場で要求されるIDaaS構成を探る ④機能構成 1)IDM:CIM(Java) 2)SSO:OpenAM /SAML(Shibboleth) IdP 3)ID情報マスターDB(PostgreSQL) 4)多様素認証(今後、実装予定) 5)ログ管理(認証ログとIDメンテログの統合管理) (今後、実装予定) 6)クラウドインフラ監視(Xseed社+Deep Security) 7)ID運用管理ヘルプデスク(Xseed社+ID運用管理手順書) 22 6. 情報共有機会の増大に対する認証方式 情報共有企業A 現 状 情報オーナー企業C 情報共有 システム (ローカル認証) ID発行 ローカル認証 ~システム利用 情報共有企業B ID情報 情報共有企業A 理 想 論 ID情報 ID未発行 IdP フェデレーション RP 情報共有企業B ID情報 情報共有企業A 禁 じ 手 情報オーナー企業C ID情報 IdP ・共有システムの改修が大変 ・ID、パスワードが情報オーナー企業にわたり、 F/Wの外から認証が戻ってくることになる 情報オーナー企業C ID情報 情報共有 システム (LDAP 外部認証) 情報共有企業B ID未発行 ID情報 情報共有 システム (フェデレー ション対応) ID情報 23
© Copyright 2024 ExpyDoc