Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Axies2017 「クラウド時代の認証基盤10のポイント」

478 vues

Publié le

Axies2017での講演資料です。認証基盤をIaaS/PaaS上で稼働させるか、SaaSを利用するか。選択肢はいくつかありますが、大学でのIDaaSの検討が本格化しています。本セッションでは、まず認証基盤とIDaaSの概要を解説します。さらに、大学のIT部門が教職員や学生に対して果たす新たな役割についても言及します。

Publié dans : Logiciels
  • Soyez le premier à commenter

Axies2017 「クラウド時代の認証基盤10のポイント」

  1. 1. クラウド時代の認証基盤 10のポイント (大学IT部門の新しい役割) 2017年12月13日 エクスジェン・ネットークス(株) AXIES2017
  2. 2. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.1 ① 認証基盤システムの概要 ② ID管理とライセンス管理 ③ 認証市場の五つの標準化技術 ④ IDaaSの概要 ⑤ EXGENのIDaaS~Extic(若干の宣伝) ⑥ クラウド的利益 ⑦ EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝) ⑧ 大学IT部門のクラウド対応 ⑨ 学認とトラストフレームワーク ⑩ 大学IT部門の新しい役割(私の提案) 10のポイント
  3. 3. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.2 IT部門担当者 アプリケーション ID管理 ・必要性①~システムの増殖 ・組織の中でシステムは増殖するもの アプリの中に「ID管理」のしくみが一緒に存在したまま、 システムが増殖すると、、 1. 認証基盤システムの概要
  4. 4. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・ID情報に対する入学 & 進級 & 卒業、人事異動の反映処理が 煩雑になる ①新入生の入学に伴う、ユーザIDの登録 (入学手続きの完了からシステムの利用開始までの期間が短かい) ②卒業に伴う、ユーザIDの無効化・削除 ③教職員の人事異動に伴う、アクセス権限の迅速な変更 ④教職員の退職に伴う、アクセス権限の迅速な無効化・削除 ⑤派遣社員、協力会社社員等の源泉DBに存在しないユーザの管理 ・ID情報の鮮度を維持するのが困難に ID運用管理業務の効率化=ID管理システムの整備が必要に ・必要性①~システムの増殖 3 1. 認証基盤システムの概要
  5. 5. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・最近はオンプレシステムだけでなくクラウド利用が増えている ID パスワード ID パスワード ID パスワード ID パスワード ID パスワード 4 クラウド ・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが 学外に出て行く IT部門担当者 ・必要性②~クラウドの増殖 1. 認証基盤システムの概要
  6. 6. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・セキュリティポリシーコントロールが困難に クラウドを利用する大学のセキュリティポリシーに応じた認証手段の 採用が困難 ・ID/パスワードの漏えいリスク セキュリティレベルの低いクラウドから漏えいするリスク ・IDとパスワードのセットをコントロール可能な場所に置く セキュリティレベルの低いクラウドにIDとパスワードのセットを預けず、 認証を行いたい フェデレーション技術の認証利用 5 ・必要性②~クラウドの増殖 1. 認証基盤システムの概要
  7. 7. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. IdP SP 1 2 3 4 大学 クラウドサービス 5 認証用 ID情報 6 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から大学への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 ・フェデレーション技術の認証利用 1. 認証基盤システムの概要
  8. 8. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. アプリケーション 認証基盤 ID管理 認証 認証基盤 アプリケーション ・「ID管理」のしくみと「認証」のしくみ ID情報 7 ・「認可」のしくみはアプリケーションと密着している場合が多い ~アプリから切り離すのはなかなか難しい ~属性情報連携(プロビジョニング)によるロール情報連携 ・「ID情報」の再利用が可能になる 認可 認可 認可 認可 認可 ~アプリケーションから切り離す ・概略 1. 認証基盤システムの概要
  9. 9. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ID管理機能 IaaS PaaS データセンター オンプレ 連携先 システム 学認 メガSaaS 業務系SaaS SaaS ID情報 マスタDB 認証機能 認証 認可 認可 認可 認可 認証基盤システム 8 1 2 3 『新鮮なID情報の維持』+『認証/認可』 必要なしくみ 1.認証基盤システム ①ID管理機能(IDM) ②認証機能(IdP) ③ID情報マスタDB 2.連携先システム ④認可機能 機能構成と実装場所 4 適切なアクセス権限管理の維持 認証基盤構築の目的 ・基本構成 1. 認証基盤システムの概要
  10. 10. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.9 ・サービス利用契約に応じたライセンス数分のIDの事前配布 ・ID情報自体が業務アプリのコンテンツとなっている場合が多い ・IT部門が学生/教職員/のID情報をメンテナンスする UI SP IdP ID情報 UI 個人 認証用 ID情報 学生/教職員 ID情報 学務/教務 システム ID管理 システム 大学 API API ID情報 ID情報 IdP SP SP セキュリティ ポリシー ID情報 マスター AD IT部門 ・組織におけるフェデレーションとプロビジョニングの併用 1. 認証基盤システムの概要
  11. 11. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. IdP SP ID管理 システム API0 1 2 3 4 大学 クラウドサービス 5 【プロビジョニング】ID情報の事前登録0 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から大学への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 認証用 ID情報 ID情報 (一部の情報) 10 ・組織におけるフェデレーションとプロビジョニングの併用 1. 認証基盤システムの概要
  12. 12. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.11 ID管理機能 認証機能 IaaS PaaS データセンター オンプレ 連携先 システム 学認 メガSaaS 業務系SaaS SaaS ID情報 マスタDB 認証 認可 認可 認可 認可 認証基盤システム 2. ID管理とライセンス管理 ① ①+② ②ライセンス管理 ・ライセンス付与/把握/剥奪 ①ID管理 ・属性情報管理 ・認可情報等のきめ細かな連携 ・グループ & メンバー情報管理
  13. 13. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.12 3. 認証市場の五つの標準化技術 フェデレーション プロビジョニング 多要素認証 FIDO SCIM OAuthOpenID Connect SAML(Shibboleth)
  14. 14. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.13 クラウドオンプレ 他大学との情報共有 認証基盤 SaaS化 マルチテナント化して クラウドサービスとして提供 ID情報マスターDB IDaaS ID管理機能 認証機能 4. IDaaSの概要 ・概略
  15. 15. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ID情報 (一部の情報) 大学 SaaS ID情報 マスターDB SaaS SaaS ID情報 (一部の情報)ID情報 (一部の情報) IDaaS 14 ID情報 マスターDB (全部の情報) セキュリティ境界 セキュリティ境界 セキュリティポリシーコントロールの効く範囲 ①統合型セキュリティツールを実装 ②24/365のインフラ & サービス監視 ③情報セキュリティマネージメント認定 ・ID情報マスターDBを保管する場所、IdPで認証を行う場所の安全性が課題 ・クラウドを利用する大学にとってはIDaaSまでがセキュリティ境界内 ・IDaaSのセキュリティレベルはクラウドを利用する大学と同等もしくは それ以上であることが必要 フェデレーション ・サービス監視の必要性 4. IDaaSの概要
  16. 16. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ID管理機能 認証機能 ID情報 マスタDB クラウドインフラ 1 2 3 15 4 5 SaaS SP API SaaS SP API SaaSエコシステム (IDaaSベース) 6 フェデレーションと プロビジョニングで 認証連携された 複数のSaaSの塊り IdP ・基本構成 4. IDaaSの概要
  17. 17. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.16 LDAP UNIX コマンド Active Directory 大学内 利用者 管理者 CSV AD PW Hook G Suite Office365 シングル サインオン シングル サインオン プロビジョ ニングSAML /Shibboleth ID管理機能 認証 & ID管理 ポータル ID情報 マスタDB 認証用 LDAP ID情報メンテナンス GUI ADCSV IdP機能 5. EXGENのIDaaS~Extic(若干の宣伝) ・概略
  18. 18. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.17 5. EXGENのIDaaS~Extic(若干の宣伝) ・コンセプト
  19. 19. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.18 ・変化に対する柔軟性(Flexibility)と機敏性(Agility)とコスト削減 6. クラウド的利益 ・手段と目的 ・大学はクラウドサービスを使うことが目的か? ・クラウドサービスを使うことは手段 ・大学の最終的な目的は、クラウドサービスを利用することで 発生する利益(以下、クラウド的利益)を享受すること ・クラウド的利益とは 認証基盤の 整備 クラウドの 有効活用 クラウド的 利益の享受
  20. 20. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.19 6. クラウド的利益 クラウド インフラ アプリ ◎クラウドサービスとして安価な月額従量料金で提供される点 △ ユーザ単位の月額固定料金 ◎クラウドサービスとして安価な月額従量料金で提供される点 ◎クラウドインフラとしての柔軟性 △ アプリ構築にはSIが発生 アプリ アプリ クラウド インフラ クラウド インフラ ・SaaSのクラウド的利益と短所 ・IaaS/PaaSのクラウド的利益と短所
  21. 21. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.20 6. クラウド的利益 クラウド インフラ アプリ アプリ構築費用(マルチテナント x 構築/展開自動化機能を実装) ◎クラウドサービスとして安価な月額従量料金で提供される点 インフラ構築費用(構築/展開自動化機能を実装) ◎クラウドサービスとして安価な月額従量料金で提供される点 インフラ構築費用(構築/展開自動化機能を実装) 複数のアプリでクラウドインフラを共有することが可能 ITリソース単位の価格体系で、繁忙期⇔閑散期のコスト調整が可能 ◎クラウドインフラとしての柔軟性 アプリ アプリ クラウド インフラ クラウド インフラ ・SaaSのクラウド的利益の源泉 ・IaaS/PaaSのクラウド的利益の源泉 SaaS業者のSI工数削減 △アプリ構築にはSIが発生:ここがリーズナブルであれば、、 Extic LM on Azure
  22. 22. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.2121 7. EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝) ・概略 Azure AD Office365 教職員 ID情報 学生 ID情報 AD GAKUEN ID情報 UNIVERSAL PASSPORT ID情報 LDAP Manager SAML 認証用DB EXGEN IdP SAML IdP LM on Azure ID情報 マスタDB ・標準パッケージ構成 ・LDAP Manager (無制限版) + Ofiice365 (AzureAD) 連携 + GAKUEN/UNIVERSAL PASSPORT 連携 + AD 連携 + LDAP 連携 + CSV 連携(IN/OUT) + EXGEN IdP 連携 ・EXGEN IdP お客様 LDAP プラグイン付き スペシャルエディション
  23. 23. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.22 Azure LDAP Manager SAML 認証用DB EXGEN IdP SAML IdP ID情報 マスタDB EXGENによる事前検証 結果の無償提供 大学様 EXGENによる設定テンプレーの提供 SIer様によるシステム構築+ LM on Azure プラグイン付 スペシャルエディションで 利用方法を限定して提示 Azure LDAP Manager ID情報 マスタDB SIer様による事前検証 大学様 SIer様によるシステム構築 LM + Azure SIer様による設計 (プラグイン選択) SI工数 削減 ・LM on Azure と LM + Azure の違い 7. EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝)
  24. 24. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. 設計/構築/運用 クラウド アプリ PC クラ ウド 23 8. 大学IT部門のクラウド対応 ・IT環境の変化 大学 学生 IT部門 大学 学生 IT部門 サーバ PC アプリ 設計/構築/運用 利用 利用 持ち込み 持ち込み (設計/構築/運用) サーバ PC スマホ 放置するとコントロール不能になる 変化への対応が必要 新たな対応が必要 調達業務/協力IT企業の変化、 放置するとIT競争力が低下する シャドウ(野良)IT状態 クラウド クラ ウド BYOD BYOCloud BYOID
  25. 25. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.24 8. 大学IT部門のクラウド対応 ・ 企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から) エンドユーザ 営業 部門 IT 部門 SaaS設定 利用 選定・契約 開発・機能評価 設計 要件定義 構築・設定 運用管理 野良IT状態
  26. 26. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.25 8. 大学IT部門のクラウド対応 ・企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から) エンドユーザ 営業 部門 IT 部門 ⑤利用 ③選定・契約 ①セキュリティ ポリシー作成に関与 ②利用規定作成に関与 ④設定 ⑥運用監視 非野良IT状態 SaaS
  27. 27. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.26 8. 大学IT部門のクラウド対応 ・企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から) エンドユーザ 営業 部門 IT 部門 SaaS IDaaS クラウド IDMID情報 メンテ クラウド 利用設定管理 ④設定 選定・契約 利用 メンテ ログ管理 ⑥運用監視
  28. 28. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.27 8. 大学IT部門のクラウド対応 ・企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から) エンドユーザ 営業 部門 IT 部門 SaaS IDaaS クラウドIDM クラウド SSO RP IdP クラウド 利用状況管理 認証ポータル 認証 ログ管理 ⑥運用監視 選定・契約 利用 セキュリティ ポリシー 利用規程
  29. 29. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.28 IDaaSの利用 + ポリシー策定&監視屋 従来型 社内システム何でも屋 8. 大学IT部門のクラウド対応 ・企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から)
  30. 30. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.29 ・企業⇔従業員/大学⇔学生の関係性の考察 企業 従業員 就業規則 給与 雇用契約 秘密保持契約 労働関係諸法規 シロウト考えです すみません 8. 大学IT部門のクラウド対応 大学 教職員 就業規則 給与 雇用契約 秘密保持契約 労働関係諸法規 学生 学則 学校教育法 学費 企業よりも大学のほうが、 シャドウ(野良)ITが 発生し易い環境なのでは?
  31. 31. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.30 9. 学認とトラストフレームワーク Policy Maker (ポリシー策定者) Trust Framework Provider (トラストフレームワーク提供者) 監査人 Relying Party (サービス提供者) Identity Provider (認証サービス提供者) 利用者 契約 契約 認証 認定 監査 認定 利用
  32. 32. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. Identity Provider (認証サービス提供者) 利用者 C大学 Identity Provider (認証サービス提供者) 利用者 B大学 A大学 31 利用者 Identity Provider (認証サービス提供者) Relying Party (サービス提供者) 各校が管理するIDを利用して クラウドサービスで情報共有を行う IDM & IdP & 共通ポリシー ・複数の大学がセキュアに情報共有を行う場合、各校でセキュリティレベルを 統一し、ID情報の鮮度を維持する必要がある。 ・そのためには、共通ポリシー(セキュリティポリシーやID運用管理ポリシー)を 策定し、遵守するしくみが必要。 9. 学認とトラストフレームワーク
  33. 33. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.32 Policy Maker (ポリシー策定者) Trust Framework Provider (トラストフレームワーク提供者) 監査人 Relying Party (サービス提供者) Identity Provider (認証サービス提供者) 利用者 契約 契約 認証 認定 監査 認定 利用 IDM & IdPという テクノロジーの提供 + トラストフレームワークという ガバナンス(しくみ)の提供 9. 学認とトラストフレームワーク NIIの仕事= NII 大学 Shibboleth (標準化技術)
  34. 34. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.33 Policy Maker (ポリシー策定者) Trust Framework Provider (トラストフレームワーク提供者) 監査人 Relying Party (サービス提供者) Identity Provider (認証サービス提供者) 利用者 契約 契約 認証 認定 監査 認定 利用 IDM & IdPという テクノロジーの提供 + トラストフレームワークという ガバナンス(しくみ)の提供 IT部門の 新しい役割 = 10. 大学IT部門の新しい役割(私の提案) 大学IT部門 学生/教職員
  35. 35. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ①セキュリティポリシー 作成に関与 ②利用規定作成に関与 ⑥運用監視 IDaaS 34 ・IT部門が提供するもの 大学 学生 IT 部門 SaaS ID情報 メンテ 選定・契約 利用 メンテ ログ管理 RP IdP 認証ポータル クラウド IDM クラウドSSO ④設定 学生/教職員が 快適かつセキュアに システム/サービスを 利用するには、 システムだけでなく しくみの併用が必要。 大学IT部門は そのしくみ作りや しくみを維持するための 運用に積極的に関与する。 10. 大学IT部門の新しい役割(私の提案)
  36. 36. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.35 ・IT部門が提供するもの ・(例)ISMS取得を主幹する ・(例)LoA(NIST800-63)に沿った Identity Proofingのしくみを構築する 10. 大学IT部門の新しい役割(私の提案) 学生/教職員が 快適かつセキュアに システム/サービスを 利用するには、 システムだけでなく しくみの併用が必要。 大学IT部門は そのしくみ作りや しくみを維持するための 運用に積極的に関与する。
  37. 37. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.36 ・SP800-63-3(NIST)/2017年6月22日に改訂(最終)版が公開 Digital Identity Guidelines Enrollment & Identity Proofing Authentication & Lifecycle Management Federation & Assertions SP800-63A SP800-63B IAL:Identity Assurance Level SP800-63C AAL:Authenticator Assurance Level FAL:Federation Assurance Level 10. 大学IT部門の新しい役割(私の提案)
  38. 38. Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.37 ・IT部門が提供するもの ・(例)ISMS取得を主幹する ・(例)LoA(NIST800-63)に沿った Identity Proofingのしくみを構築する ID パスワード 属性 情報① 属性 情報② 認可利用 認可利用 認可利用 認証利用 認証利用 (ID情報=属性情報の塊) ・(例)『IT部門が保証するものはID情報です。』 10. 大学IT部門の新しい役割(私の提案) 学生/教職員が 快適かつセキュアに システム/サービスを 利用するには、 システムだけでなく しくみの併用が必要。 大学IT部門は そのしくみ作りや しくみを維持するための 運用に積極的に関与する。 大学内のNIIになる

×