カンターラ・イニシアティブ・シンポジウム 2009 ~ 事例研究 ~ <写真欄> 事例でみるID管理技術の使い分け(仮) 日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部 澤井真二, CISSP はじめに この資料の目的 – 事例や実績を引用しながら、ID管理 (アイデンティティ管理)に係わる技術を 考えてみること 今回の事例や実績は、弊社(Oracle)の視点で 書いています。 内容 – – 仮想世界 と IDの役割 SAMLを使用したフェデレーション利用の実績 – 整理 追加事例(XACML等) – まとめ – Copyright© 2009, Oracle. All rights reserved. 2 仮想世界 と IDの役割 ID とは? – – システム利用者を識別するための情報。 システム利用者の役割を表現するための情報。 現実世界における存在確認の方法 目 (表情・骨格・服装) 仮想世界における存在確認の方法 1.取得可能な情報 2.判断方法(処理) 個人が保持する情報 耳 (声を聞く、足音) 口 (声をかける) 脳 (判断) ・ ログインID ・ パスワード ・ 認証 ※ 個人の特定 ・ ICカードのID 鼻 (匂い) 脳 (記録) ・ 生体情報(指紋等) ・・・ アクセスポイントの情報 手 (触れる) 個人を特定する情報: ・ 氏名、住所、誕生日、性別、家系、国籍 等 証明書 権利(免許証、社員証) ・ IPアドレス ・ 認可 ※ 判断と制御 ・ 証跡(ログ) ・ ドメイン ※ 記録 ・ 個体の番号 (MACアドレス等) ・・・ Copyright© 2009, Oracle. All rights reserved. 3 SAMLを使用したフェデレーション利用の実績 by Oracle 過去の実例より、ID管理に関連する次のケースを参考にして考えてみます。 業種 国内 A社 製造 <部門間> 課題 ローカルの認証機能 ITコスト削減、利用者増や業務パートナー との共有基盤の推進、パスワード数削減。 フェーズ 海外 C社 金融 <企業間> 利用技術 特定の拠点(地域)の社員を、 2つの拠点のローカル認証 別事業部が管轄する ERP を利用させたい。 システム同士を連携する。 フェーズ 海外 B社 運輸 <企業間> 対策 ID情報の集約化 (LDAPデータの仮想統合) SAMLによる連携 情報系システムの 統合認証基盤を構築する。 統合認証(SSO) 金融サービスをアウトソース(外部委託)し、 標準技術による SSO化。 異なるドメイン間で SSO を実現する。 フェーズ ID情報の集約化(LDAP) 統合認証(SSO) SAML 1.1 アサーションによる 認証状態の連携 (SSO)。 LDAPによるID情報の集約化。Web SSOシステムとICカード認証(多要素 認証)。SAMLによる認証状態の連携 。 SAMLによる連携 SAML 2.0 による認証状態の連携。 不正アクセスへの対策。 SAMLによる連携 不正アクセス対策(なりすまし対策) 海外 D社 製造 <企業間> 従業員、販売パートナー、関連子会社と 連携するためのID基盤が存在しない。 フェーズ 統合ID(プロビジョニング) 段階的にID管理技術を導入 ID管理、統合認証、フェデレーションを して、業務効率を改善する。 段階的に導入して、網羅的な統合認証 人手に頼らない基盤作り。 基盤を整備した。 統合認証(SSO) Copyright© 2009, Oracle. All rights reserved. SAMLによる連携 4 ID管理(ID情報の保管/ライフサイクル管理) - MAP この図では、ID管理の実装方式の傾向を示しています。 – – 右上の領域(雲の形)がゴールを示しています。 円の大きさは、実装の規模感を示しています。(相対比較) 統合 Entitlement Management LDAP Server 業務や組織運用 と融合したモデル Role Management Meta Directory オープン標準 Provisioning System RDBMS Server File 分散 Copyright© 2009, Oracle. All rights reserved. 5 ID管理(ID情報の保管/ライフサイクル管理) - 実績 この図では、ID管理の利用実績の情報を追加しています。 近年は、SOX対応を背景にしてID管理に取り組むケースが 非常に増えています。 統合 業務や組織運用 と融合したモデル Entitlement Management LDAP Server Role Management Meta Directory ・・・ オープン標準 File RDBMS Server ID情報の管理方法 における現実解 Provisioning System 背景: SOX対応 = 業務ユーザと職責管理、特権ID対応等 分散 実績 Copyright© 2009, Oracle. All rights reserved. 6 認証技術(ID情報による識別と許可) - MAP この図では、認証技術(認可含む)の実装方式の傾向を示しています。 – 右上の領域(雲の形)がゴールを示しています。 認証 強度 統合 Traditional Web SSO PKI Risk-based Access Control (XACML) Kerberos 認証技術 Attribute-based Access Control セキュリティ コントロール OTP Biometrics ・ Liberty/SAML ・ OpenID ・ InformationCard ICカード 強固な認証技術 認可技術 Enterprise SSO オープン標準 Copyright© 2009, Oracle. All rights reserved. 分散 7 認証技術(ID情報による識別と許可) - 実績 この図では、認証技術(認可含む)の利用実績の情報を追加しています。 近年は、不正アクセス対策にも取り組むケースが増えて います。 認証 強度 統合 Attribute-based Access Control PKI Traditional Web SSO セキュリティ コントロール Risk-based Access Control (XACML) Kerberos OTP Biometrics ・ Liberty/SAML ・ OpenID ・ InformationCard 認証技術 ICカード 強固な認証技術 認可技術 個別対応 Enterprise SSO オープン標準 分散 実績 Copyright© 2009, Oracle. All rights reserved. 8 ここまでの整理 ここまでの話を下図のように整理してみます。 B社 A社 識別 機能 判断 値に基づく判断 不正の検出(発見) 権限による コントロール 多様な属性 によるコントロール リスク値による コントロール Need-To-Know の確認 認証機能 アクセス状況の確認 認可・アクセス制御(RBAC、ABAC/PBAC)機能 情報セキュリティ対策の強化 ID管理 不正の抑止(予防) 高度な制御(RAdAC) C社 IDと権限割当ての適正化 D社 質 の課題 機能の高度化を図る (強化・拡張) 量 の課題 集約して数を減らす (共通化) 想定される脅威とリスク に応じて対策を講じる 課題 この課題の優先度が高いケース ・B to C (消費者向けのような不特定多数の利用者) ・B to B (シェアードサービス/プライベートクラウド等) ※ 参考情報: アクセス制御の方式(RBAC、ABAC、PBAC、RAdAC)について Copyright© 2009, Oracle. All rights reserved. http://csrc.nist.gov/news_events/privilege-management-workshop/ 9 追加事例(1) XACML と リスク値に基づくアクセス制御 システムの適正なコントロールのためには、情報の精度 と 利用状態(サービスレベル)を 確保・維持することが重要と考えています。 – – 適切なアーキテクチャ(テクノロジー)を選択する 適切なアプローチを実施する 例1.金融機関(海外)のXACMLによるアクセス制御 例2.人材情報を扱う会社(海外)のリスクベースのアクセス制御 融資の判断 (銀行担当者) 当該案件の 関係者 人材情報の管理システム アプリケーション 顧客情報 (機密性 – 高) PEP XACML 2.0 の要求/応答 1,800万人以上の 人材データ 100万件以上の 仕事データ PDP、PIP アプリ数: 20以上 機密情報の 運用ポリシー リスクベースの アクセス制御システム リスク値の 算出エンジン BL情報 運用側 ポリシー変更 監査/棚卸し ※ 過去履歴を含めた「アクセス状況」から、リスクを判断する ため、固定的な保護ルールよりも安全性は高くなる。 Copyright© 2009, Oracle. All rights reserved. 10 追加事例(2) IGFによるID情報アクセスのコントロール 実用例ではありませんが、2008年11月に OpenLiberty の活動の一環で Oracle Virtual Directory (LDAPゲートウェイ・ソフトウェア)と ArisID API を組み合わせた 検証ケースが紹介されています。 – ArisID API は、IGF(Identity Governance Framework)仕様を実装したOSS。 CARML メッセージにより、ID情報を取得する機能を提供しています。 http://www.oracle.com/technology/tech/standards/idm/igf/arisid/index.html Copyright© 2009, Oracle. All rights reserved. 11 Oracle は何故、認証・認可(アクセス制御)を気にするのか? ~ OpenID や SAML を利用する事例が少ない? ~ Oracle にとっては、ID は「システムの利用者」「組織に所属する人を示す識別子」 として扱っており、情報セキュリティと効率化対策がID管理への取り組みのメイン。 ID管理をパブリックなプロバイダに委託することは、前提条件ではない。 ユーザ ERP(HR) ・ ID情報の源泉 ・ 業務ユーザの統制 情報系アプリ ・ 利用者の識別(個人認証) ・ 利用者のアクセス制限(認可) ERP ERP ERP Web 情報系アプリ 情報系アプリ 情報系アプリ AP DB Data 業務フロー(ワークフロー)の整備 RDBMS(データ) ・認証 ・認可 ・識別 ・認可 ・識別 ・認可 ・識別 ・認可 ・識別 ・認可 ・ オープン標準のI/Fによる連携 (SAMLによる認証状態の連携を含む) ・ 価値の高いデータの保護 Copyright© 2009, Oracle. All rights reserved. 12 まとめ 今回、次のことをお伝えしました。 – ID管理技術といっても、普遍のプロセスは存在しない。 – 事例をもとにご紹介しました ID管理とは、仮想世界で人をコントロールするための技術。 – 識別して、管理して、不正を抑止するための方法 IDの信頼度は、情報の精度、認証レベル(認証強度)、セキュリティ レベルに依存する。 IDに関して... 人の流れ 効率化 (自動化) IT 効率化 オープン標準 (共通化) Copyright© 2009, Oracle. All rights reserved. 13 参考情報1. 統合認証基盤のためのソフトウェア ~ Oracle セキュリティ・プラットフォーム ~ 企業の情報セキュリティ対策を支援するためのソフトウェアおよび機能 を提供しており、世界中で多くの実績を持っています。 1.統合認証基盤の基本機能 (Oracle Identity and Access Management Suite) Suite) アイデンティティ(ID)管理 認証・アクセス制御(アクセス管理) LDAP IDライフサイクル管理 統合型認証・アクセス制御 連携型認証(フェデレーション) Oracle Internet Directory Oracle Virtual Directory Oracle Identity Manager Oracle Access Manager Oracle Identity Federation 2.補完機能 ロール管理 シングル・サインオンの強化 認証・アクセス制御の強化 データ・セキュリティの強化 Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements Server Oracle Advanced Security Oracle Database Vault Oracle Label Security Oracle Audit Vault Webサービス・セキュリティ Oracle Web Services Manager 電子文書の取扱いに関するセキュリティの強化 Oracle Information Rights Management http://www.oracle.com/lang/jp/products/middleware/identity-management/identity-management.html Copyright© 2009, Oracle. All rights reserved. 14 参考情報2. おでんの具材 鍋に何を入れますか? ・ 大根 ・ たまご ・ こんにゃく ・ 牛すじ ・ 練りもの ・ ウインナー Copyright© 2009, Oracle. All rights reserved. 15 日本オラクル株式会社 無断転載を禁ず この文書はあくまでも参考資料であり、掲載されている情報は予告なしに変更されることがあります。 日本オラクル社は本書の内容に関していかなる保証もいたしません。また、本書の内容に関連したいかなる損害についても責任を 負いかねます。 Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその 子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標の可能性があります。
© Copyright 2024 Paperzz