アイデンティティ (ID) 技術の最新動向とこれから
21 likes•8,633 views
Prepared for 2018/03/23 クラウド時代の次世代認証セミナー http://openstandia.jp/event/event20180323.html
アイデンティティ (ID) 技術の最新動向とこれから
- 2. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 https://www.linkedin.com/in/tatsuokudo サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とするコンサルティングに従事 自己紹介
- 3. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. アイデンティティ & アクセス管理 (IAM)をとりまく状況
- 4. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証 アイデンティティ & アクセス管理 (IAM)の役割
- 5. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ連携 / SSO エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
- 6. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
- 7. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
- 8. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー アイデンティティ & アクセス管理 (IAM) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
- 9. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 最近のIAMのユースケース 「アイデンティティこそがペリメーター」 ネットワークや端末ではなく、ユーザーのアイデンティティを起点に アクセス制御を行うべきという考えかた “BeyondCorp” Google社は従業員向けシステムをすべてパブリックに配置し、ユー ザーとデバイスのアイデンティティを用いてアクセスを制御 セキュリティ & IAM Source: Cloud Identity Summit 2012 TOI http://www.slideshare.net/tkudo/cis2012toi, BeyondCorp: Beyond “fortress” security https://conferences.oreilly.com/security/sec-ny/public/schedule/detail/61327
- 10. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 最近のIAMのユースケース ユーザーからエッジゲートウェイ、サービスメッシュ、既存システムに至るまで、エンドツーエンドのアイデンティティが必要になる マイクロサービスアーキテクチャ & IAM 従来の3層アーキテクチャ これからのマイクロサービスアーキテクチャ • 既存システムの前段に、外部向けAPIの管理を行う層と、バックエンド接続のイ ンテグレーション層を配置 • ユーザー(APIクライアント)によらず単一のAPIを提供 • 外部向けのAPI管理層とは別に、マイクロサービスがそれぞれ自前のAPIゲート ウェイ(”side car”)を持つ → サービスメッシュ • エッジゲートウェイが、APIクライアント(デスクトップ、モバイル、パートナー、…) の特性に適したAPIセットを提供 Source: Microservices Solution Patterns https://medium.com/microservices-learning/microservices-solution-patterns-3a58526dbc9e
- 11. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 最近のIAMのユースケース ユーザーの設定や好みを、所有する・しない、あるいはクルマである・ないにかかわらず、移動手段に持ち込んでパーソナライズするこ とが期待される。また一方で、クルマに対してアクセスする人・組織が多様になっていく IoT & IAM Source: Key Success Factors for Connected Vehicle, Ride-share and Multi-Modal Transportation Models https://www.slideshare.net/covisint/key-success-factors-for-connected-vehicle-rideshare-and-multimodal-transportation-models
- 12. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 最近のIAMのユースケース ユーザーの同意に基づいて残高参照や取引機能をサードパーティに提供する「オープンAPI」への取り組みが広がっている Fintech & IAM Source:オープンAPIのあり方に関する全銀協の検討状況 http://www.fsa.go.jp/singi/singi_kinyu/financial_system/siryou/20161028/02.pdf
- 13. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMの進化・分化・融和
- 14. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 IAMに対する2種類の異なるニーズ 社内システムのIDを統一したい Windowsログオンと連携してSSOしたい 組織・職掌に基づいて権限を付与したい 不要になったID・権限を無効化したい OA機器や什器の手配と連携したい … 数千万ユーザーを管理したい 新規登録者を増やしたい いろいろなアクセス環境に対応したい 不正アクセスを検知・対応したい サービス展開までの期間を短縮したい … EIAM エンタープライズ IAM CIAM コンシューマー IAM
- 15. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 EIAM (エンタープライズIAM) ユーザー情報/アクセス権限情報の散在はエンドユーザー/運用の双方にとって問題となる システム A 従業員A 従業員B 従業員C ID パスワード A user_a as09135#$ B 10341 FbPlkh2d C tsato cliaKnGd ID パスワード B 10342 lkqg94sdc C hsawa lkqg94sdc ID パスワード C user_c abcd1234 C rmiki iloveyou システム B システム C ID パスワード 氏名 所属 … user_a as09135#$ 佐藤太郎 営業部 … user_c abcd1234 三木良 経理部 … … … … … … ID パスワード 氏名 ロール … 10341 FbPlkh2d 佐藤太郎 Sales … 10342 lkqg94sdc 沢博美 HR … … … … … … ID パスワード 氏名 拠点 … tsato cliaKnGd 佐藤太郎 東京 … hsawa lkqg94sdc 沢博美 大阪 … rmiki iloveyou 三木良 福岡 … … … … … … システムAのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムAのID/ パスワードで ログイン エンドユーザー側の問題 • 異なるID/パスワードで毎回ログインが必要 • 安易なパスワード文字列や使い回しが横行 • システムが利用可能になるまで時間を浪費 業務(運用)側の問題 • パスワード忘れへの問い合わせ対応 • ID/パスワードのシステム個別の管理 • ユーザ追加・削除対応/ユーザー情報/アクセ ス権限情報の最新化
- 16. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 EIAM (エンタープライズIAM) ユーザー認証を一元化する「認証基盤」の登場 「認証基盤」 システム A ID パスワード SSO tsato cliaKnGd ID パスワード SSO hsawa lkqg94sdc ID パスワード SSO rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン システムA にアクセス システムB にアクセス システムC にアクセス ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … エンドユーザーが意識するID/パス ワードが単一になるとともに、何度 もログインする必要がなくなる パスワード管理とユーザー認証が 不要になり、運用者の負担が軽減 される 従業員A 従業員B 従業員C
- 17. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 EIAM (エンタープライズIAM) 「認証基盤」だけでは組織全体のID/アクセス権限を管理しきれない 従業員A 従業員B 従業員C 「統合認証基盤」 システム A ID パスワード SSO tsato cliaKnGd D u101 98LKala@ ID パスワード SSO hsawa lkqg94sdc D u102 lkqg94sdc ID パスワード SSO rmiki p098aPPO D u103 happyday システム B システム C SSO システム ディレクトリ システム ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … システム D ID パスワード 氏 名 … u101 98LKala@ 佐藤 太郎 … u102 lkqg94sdc 沢 博美 … u103 happyday 三木 良 … … … … … … temp changeit 保守 担当 システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン 運用 担当者 追加、変更、 削除、… 認証基盤に集中化できないシステムのID/ アクセス管理が独立して残り続けてしまう ID/アクセス権限情報の管理を運用 担当者に任せてしまっている
- 18. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 EIAM (エンタープライズIAM) 「認証基盤」+「アイデンティティ管理」 へ 従業員A 従業員B 社外 パートナー 「統合認証基盤」 システム A ID パスワード 共通 tsato cliaKnGd ID パスワード 共通 hsawa lkqg94sdc ID パスワード 共通 rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム 共通ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki iloveyou 三木良 福岡 経理部 Finance … … … … … … システム D 「統合アイデンティティ管理」 アイデンティティ 管理システム 共通ID パスワード 氏 名 … tsato cliaKnGd 佐藤 太郎 … hsawa lkqg94sdc 沢 博美 … rmiki p098aPPO 三木 良 … … … … … … temp changeit 保守 担当 人事情報 システム パート ナー管理 システム 一般 社員 部門長 担当 役員 利用申請 承認 統制状況 の把握 ユーザー情報 /アクセス 権限情報の 設定・検証 マスター情報 の取り込み ユーザー情報/ アクセス権限 情報の設定・検証 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン
- 19. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 EIAM (エンタープライズIAM) エンタープライズIAMの進化 SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム A システム B システム C オンプレIAM クラウドIAM 社外 環境 パートナー 事務所等 社内 環境 SaaS B システム A システム B システム C オンプレIAM SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム B クラウドIAM 第1世代 伝統的オンプレ中心IAM 第2世代 ハイブリッドIAM 第3世代 クラウド中心IAM V P N V P N ID管理者 ID管理者 ID管理者 G会社 パートナー 多要素 認証 マネージドデバイス 多要素認証 CASB SSO ID同期(ユーザ情報配信)
- 20. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 CIAM (コンシューマーIAM) キャリアグレードのディレクトリ・サーバー (circa 2003) CIAMの萌芽は通信業界 Source: @IT:連載 次世代コミュニケーションサービスを担うJAIN(前編)http://www.atmarkit.co.jp/fjava/special/jain01/jain01.html
- 21. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 CIAM (コンシューマーIAM) たんなる「認証リポジトリ」から、顧客の体験とセキュリティを高めるための役割を担うように • スムーズな新規会員登録 • ログインの省力化・簡略化 • サービスのパーソナライゼーション • レスポンス時間の短縮 • 使いやすいWebサイト/モバイルアプリケーション • … 顧客体験を どう高めるか • リスクベース認証 • 不正検知 • 自己情報のコントロール • … 顧客に安心を どう提供するか
- 22. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 CIAM (コンシューマーIAM) コンシューマーIAMの機能 Source: The 8 Critical Areas of Consumer Identity and Access Management to Prepare for in 2018 https://www.kuppingercole.com/watch/ciam_critical_areas
- 23. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 EIAMとCIAMの比較 EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 高 ロール(役割・職掌) 複雑 単純 アプリケーション数 数十~数百 ~数十 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 高 ユーザー認証 確からしさ重視 利便性重視 ビジネスとの関係 業務効率化 売上最大化
- 24. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23 ITのコンシューマライゼーション、APIエコシステム、Bring Your Own、多要素認証、… オーバーラップするEIAMとCIAM EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 → 高 高 ロール(役割・職掌) 複雑 単純 → 複雑 アプリケーション数 数十~数百 ~数十 → 数千 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 → 高 高 ユーザー認証 確からしさと利便性も重視 利便性と確からしさも重視 ビジネスとの関係 業務効率化 売上最大化
- 25. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMを構成する技術仕様
- 26. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 EIAM/CIAMを構成する技術はどちらも同じようなものになってきている Source: Internet of Things Security & Privacy https://www.slideshare.net/ChrisAdriaensen/internet-of-things-security-privacy-82981990 EIAM CIAM いま API認可 WS-* 内製独自仕様 OAuth SSO/ID連携 製品独自仕様 or SAML 内製独自仕様 or SAML or OpenID OpenID Connect ID情報同期 CSV渡し/DB 製品独自仕様 独自データ連 携 SCIM ユーザー認証 製品独自仕様 内製独自仕様 FIDO
- 27. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
- 28. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 27 B2Eにおける適用例 業務 システム 社員 APP ID管理/ SSO/ API管理 ユーザー認証 アクセス試行 API アクセス Slack, Facebook at Work etc. 業務 SaaS アクセス試行 社員・組織情報 の伝播 社員ID情報の 同期 人事 システム 社員IDでクラウドサービスにSSO 業務システムの各種API へのアクセス許可要求 業務システム フロントエンド API ゲートウェイ レガシー 接続
- 29. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 28 B2Cサービスにおける適用例 各種API 一般生活者 APP サードパーティ APIクライアント (Webサイトなど) “Google Identity Platform” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 Googleの各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 Google Accountでログイン
- 30. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 29 API サーバー OAuthとOpenID Connectとの関係 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 (OpenID Connect) サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
- 31. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 30 金融機関 (サービス事業者) 資産管理サービスにおけるOAuth 2.0とOpenID Connect (OIDC) を用いた認証・認可フローの例 NRI ITソリューションフロンティア Vol.33 No.08 https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf に加筆 サードパーティはAPIアクセス許可依頼 とユーザー認証依頼を同時に実行 口座所有者 (エンドユーザー) 資産管理FinTech企業 (サードパーティ) サービス事業者はエンドユーザーに アクセス許可を確認 サービス事業者はサードパーティに 「アクセストークン(APIアクセス許可 情報)」と「IDトークン(認証結果)」を返却 サードパーティは認証結果をもとに エンドユーザーの当人確認を行い、 必要に応じてユーザーを新規登録 サードパーティはアクセストークンを 用いてサービス事業者のAPIを呼び出し サービス事業者はエンドユーザーを 認証
- 32. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 31 OpenID Foundation “Financial API (FAPI) WG” http://openid.net/wg/fapi/ 策定を進めている仕様 APIセキュリティ・プロファイル ▪ Part 1: 「読み出し専用」 API ▪ Part 2: 「読み書き」 API API仕様 ▪ Part 3: オープンデータAPI ▪ Part 4: 保護対象データAPIおよびスキーマ - 「読み出し専用」 ▪ Part 5: 保護対象データAPIおよびスキーマ - 「読み書き」 認可サーバー、クライアント、 リソースサーバーに対する 「セキュリティ条項 (Security Provisions)」を規定
- 33. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 32 これからのアイデンティティ & API セキュリティスタック Source: Forging a Modern Cloud-first Identity Ecosystem for a 125-year-old Startup https://www.slideshare.net/identityhutch/forging-a-modern-cloudfirst-identity-ecosystem-for-a-125yearold-startup アイデンティティ & 認証コンテクスト アイデンティティAPI セッション管理 クライアント登録 サービス・ディスカバリー 署名付きリクエスト アサーション認証 暗号化/署名/鍵 構造化トークン ミティゲーション & プルーフ 拡張認可フロー トークン・イントロスペクション トークン失効 ユーザー/クライアント認可 オブジェクト記法
- 34. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. まとめ
- 35. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 34 まとめ 新たなITサービスやアーキテクチャが多数登場する中、 アイデンティ&アクセス管理(IAM)の役割は従来以上に 高まっている エンタープライズIAM(EIAM)とコンシューマーIAM(CIAM) という2種類の異なるIAMがあるが、機能のオーバーラップが 進んでいる EIAMとCIAMは共通のアイデンティティ技術仕様の 採用に向かっている