SlideShare a Scribd company logo
1 of 29
Download to read offline
インターネットにおける
 ID管理に関する考察




              1
概要

利⽤者が管理するIDが増加
 サービスごとにID情報を登録
                  個⼈         個⼈
 利⽤するサービスが増えると    情報         情報
 IDの管理が⼤変になる
                              個⼈
ID管理の削減                       情報

 シングルサインオンの現状
                        ID
 OpenIDの課題と解決策


                       利⽤者
                                  2
1. 背景




        3
はじめに
                        オンラインバンキング
オンライン上のサービス                    個⼈
                    Webメール     情報
 銀⾏、ショッピング               個⼈
                         情報
 Webメール、Blog、SNS
管理するIDが増加                            SNS
                                      個⼈
 オンラインでは認証が重要                         情報

ID情報の重要性
 フィッシング詐欺               ID
 IDの不正利⽤                 ID     ID
 個⼈情報保護法
                   脅威
                              利⽤者
                                       4
2. ID分類モデル




             5
既存研究 - ID分類モデル (1)

 ⻫藤らによるID情報の分類 (1)
          定義            例
 カテゴリ1    識別⼦としてのID     名前、社員番号、電話番号
 カテゴリ2    存在、能⼒、権利      ⼾籍、社員証、ライセンス
          を⽰すID
 カテゴリ3    権利の⾏使、認証      予約番号、引換券、家の鍵
          のID
 カテゴリ4    IDの使⽤によって     履歴のID、申し込み記録
          ⽣じるID


 出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、
 「ネットワーク社会におけるID氾濫の課題分析」、情報処理学会 研究報告、2006
                                            6
既存研究 - ID分類モデル (2)

  ⻫藤らによるID情報の分類 (2)
    IDを無くすアプローチ
    本⼈確認なしの情報を収集し、緩い本⼈性の確
    認を実現
    本⼈性         考え⽅
    厳密な本⼈性      本⼈とバンドル。
                バイオメトリクス、ICカード
    緩い本⼈性       本⼈とのバンドルはトラブル時のみ
    本⼈確認なし      トラブルがない、⼩さいことを前提
出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、
「多様なアイデンティティを実現する認証⽅式の提案」、情報処理学会 研究報告、2007
                                         7
ID管理の負担を低減するために

          ID管理の負担低減
 【既存研究】               【今回の考察】


                   IDを減らす
  IDを無くす
                 (複数のIDを連携)


どのIDを減らせば効果的か?
  検討のためにID分類モデルを再分類する
                                8
ID情報の再分類 (1)

 サービス利⽤時の認証⼿順
  識別 … ⼀意に識別できるIDを提⽰
  認証 … 秘密情報でIDの所有者であることを確認
  認可 … IDに結びついた属性情報でアクセス可否を判定
                       (1) 識別
   利⽤者                                    サービス提供者
                     Identification
                       識別⼦
                     (ログインID)


  秘密情報 (2) 認証                     (3) 認可       属性情報
 (パスワード) Authentication       Authorization   (会員情報)

                                                       9
ID情報の再分類 (2)
 以下の2つの観点から再分類した
     識別、認証、認可
     本⼈性の確認レベル
                  本⼈性の確認
     確認しない      緩い確認         厳密な確認
識別   IPアドレス     ログインID       住⺠基本台帳番号
     セッションID    メールアドレス      社員番号
認証   Cookie     パスワード        バイオメトリクス
                セキュリティトークン   住基ICカード
認可   DNS逆引き情報   会員情報         住所、電話番号、
     ドメイン情報など   ⽀払い能⼒の提⽰     ⽣年⽉⽇
                (クレジットカード)

       利⽤者は       ID削減が      IDの数が
      意識しない        効果的       多くない
                                        10
3. シングルサインオンの現状




                  11
シングルサインオンの登場⼈物
                      免許センター
         IdP          (公安委員会)   SP
        ID     ID情報                       レンタル
利⽤者                                       ビデオ
         パスワード                       属性
                                     情報
                    認証結果
                                          銀⾏
                    認証結果             属性 (⼝座開設)
                                     情報

名称             役割
IdP                 利⽤者を認証する。
(Identity Provider)
SP                 IdPから認証結果を受け取り、利⽤者に
(Service Provider) サービスを提供する。
利⽤者 (User)     SPからサービスを受けるために、IdPを
               使って⾃⾝を認証してもらう。                    12
統合認証モデル (1)
 ⼀つのIdPが全てのIDを管理
 必要条件
   利⽤者を⼀意に識別できる
   利⽤者およびSPがIdPを信頼できる
 単⼀組織内での利⽤に適している
                    IdP 認証サーバ
                        (⼈事DB)     SP
   利⽤者       グ イン   ID情報                  社内システム
         ロ
                           信                (経理)
                               頼
               信頼
                    利⽤
                                        社内システム
⼀つのIDと                                   (勤務管理)
パスワード                                             13
統合認証モデル (2)

 インターネットでの利⽤
   .NET Passport (Microsoft社)
   TypeKey (Six Apart社)
 以下の懸念により普及していない
 1. 商業的懸念: IdPがサービス終了したら?
 2. プライバシー: 利⽤者の情報をIdPが集約

  利⽤者
                      IdP       SP

                      ID情報



                                     14
分散認証モデル




インターネットに向いたモデルは?
 不特定多数の利⽤者やSPが存在




                   15
分散認証モデル

 複数のIdPが利⽤者の情報を管理
   利⽤者、SPともにIdPの選択が可能
 インターネット向きの⽅式
        IdP        IdP ポータル
ポータル
                       サイトB          SP
サイトA
          ID情報
                       ID情報
                                     Webメール

  利⽤者            利⽤者


                              Blog    カレンダー
                                              16
分散認証モデル例1 – Liberty Alliance
 .NET Passportへの対抗
  Sun Microsystemsなど
 事前にID情報を交換 (Federation)
 中間IDを⽤いることで名寄せを防ぐ
                       連携        SP
       IdP    ID: A
                      中間ID            ID: B


              ID情報                     ID情報

   ID: Aとして                   ID: Bとして
    ログイン       利⽤者           ⾃動的にログイン

              ID: A          ID: B
                                              17
分散認証モデル例2 - CardSpace

 Windows Vistaに標準搭載
 SPのポリシーによってIdPが決定する

 IdP A     IdP B                     SP     SP


                           認証結果
   ID情報         ID情報



                               利⽤者
                                     ポリシー
         ログイン      ID: A
                       ID: B
                                                 18
分散認証モデル例3 - OpenID

    URLをIDとして使う
    利⽤者が選択したIdPでログインする
                                           IdP B
          IdP A
                                   http://openid.ne.jp/
http://auth.livedoor.com/

                                                          SP
            ID情報                              ID情報



  ID: profile.livefoor.com/alice

                        利⽤者

                                                               19
ID分類とのマッピング
       統合認証モデル                           分散認証モデル

カテゴリ .NET Passport   Liberty Alliance   CardSpace   OpenID
識別     利⽤者の          IdPとSPそれぞれ         IdPごとに      利⽤者が
       メールアドレス       に個別のID             個別のID       指定したURL
認証     中央の認証サーバ      SPが信頼するIdP         SPのポリシーに 利⽤者が指定
       が⼀元的に認証                          ⼀致するIdP  したIdP
                                                 (変更可能)
認可     なし            拡張仕様               なし          拡張仕様
                     (ID-WSF)                       (策定中)

    IDと                          IDとパスワードが複数
 パスワードが⼀つ                       (ポリシーが複数の場合)

               IDは複数                           IDとパスワードが⼀つ
             パスワードは⼀つ

                                                              20
4. OpenIDの特徴と課題




                  21
OpenIDの概要
 2005年秋に登場
      Liberty AllianceやCardSpaceよりシンプル
      Web2.0サービスにて普及の兆し
組織                 サポート状況
Sun Microsystems   Sunの社員に対してOpenIDアカウントを発⾏
Microsoft          CardSpaceをOpenIDに対応させることを表明。
FireFox            Webブラウザの次期バージョンにおいて
                   OpenIDをサポート。
AOL                AOLの会員に対してOpenIDアカウントを発⾏。
livedoor           livedoorの会員に対してOpenIDアカウントを発
                   ⾏。
LiveJounal         OpenIDアカウントによってログインしコメント
                   を残すことが可能。
                                                  22
OpenIDの特徴

   IDとIdPを分離 (delegate)
   利⽤しているIdPがサービス終了
         他のIdPにdelegateすればIDを変えなくてよい
         IdP A                     IdP B
 http://auth.livedoor.com/   http://openid.ne.jp/
                                                                               SP

                                           ID情報
             ID情報




                  alice.example.com                 HTML
                                                                       IdPのURL
                                         利⽤者のWebサイト http://auth.livedoor.com/
                                                               http://openid.ne.jp/alice/
利⽤者
                                      http://alice.example.com/                         23
OpenIDの課題 (1)
  フィッシング詐欺の懸念
      SPが偽の認証サーバに誘導する
  対策
      Verisign Seatbelt … Webブラウザの拡張機能
      登録していないIdPに誘導されると警告する
                    SP                   IdP

 (1) IDの⼊⼒               (2) 偽の認証サーバに            認証サーバ
                             リダイレクト      http://alice.example.com
alice.example.com

利⽤者                                             偽の認証サーバ
                                                http://fake.com
                                        ログイン
                    パスワード
                                                            24
OpenIDの課題 (2)

 SPとIdP(認証サーバ)の関係が不定
  OpenIDは利⽤者の識別・認証のみ
  どのIdPを使うかは、利⽤者次第
  SPはどのIdPが信頼できるかが分からない
  → オレオレIdPも可能
                     IdP

  利⽤者                            SP
         IdP
               IdP         IdP


                                      25
OpenIDの課題とIDの削減

OpenIDは認証の信頼性が低い
 ○ 利⽤者が同⼀⼈物であることの確認
 × 利⽤者が信⽤できるかの確認
現状では信頼性が低い領域のみの適⽤
  Blogでのコメントなど               信頼性
                      適⽤領域


IDを削減するためには…
  信頼性を⾼め、適⽤領域を広げる      現状

                              26
対策 - 信頼性強化 (1)

  評価サービスの導⼊
      利⽤者の評判を数値化
      Reputation Framework

       Reputation Framework
                                      出典: Phillip J. Windley, Kevin Tew, Devlin Daley,
評価情報の収集                       [認可]    “A Framework for Building Reputation”


                      IdP               SP
利⽤者
          IdP
                            [識別・認証]
                IdP          IdP

                                                                                27
対策 - 信頼性強化 (2)
 IdPが属性情報を提供
  属性情報を⽤いて利⽤者を信頼
  例: オークションの評価がよければコメント投稿可能な
  Blog
 SPがIdPを信頼する仕組みが必要
                    IdP

 利⽤者                              信頼
         [識別・認証]                         SP

            alice.example.com
         [認可]
                 関連付け
       オークションの                 所属
         評価                ex: sun.com
                 属性情報                         28
まとめ

 ID削減に向けた考察を⾏った
1. IDの分類モデルを再分類
   識別・認証・認可と本⼈性の観点
2. シングルサインオンサービスの調査
3. OpenIDの課題と対策案の考察
 今後は本⼈性担保の強化⽅法を検討
  IdPが属性情報を提供するための要件を整理
  実現案の提⾔

                          29

More Related Content

What's hot

Yahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得についてYahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得についてMasaru Kurahayashi
 
諸外国の国民ID制度 #idcon 13th
諸外国の国民ID制度 #idcon 13th諸外国の国民ID制度 #idcon 13th
諸外国の国民ID制度 #idcon 13thNov Matake
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料 daiyaito
 
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)Naohiro Fujie
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜Masaru Kurahayashi
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE LoginNaohiro Fujie
 
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向Naohiro Fujie
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020OpenID Foundation Japan
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7OpenID Foundation Japan
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOITatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルMasaru Kurahayashi
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用Naohiro Fujie
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Naohiro Fujie
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYCNaohiro Fujie
 

What's hot (20)

Yahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得についてYahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得について
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
 
諸外国の国民ID制度 #idcon 13th
諸外国の国民ID制度 #idcon 13th諸外国の国民ID制度 #idcon 13th
諸外国の国民ID制度 #idcon 13th
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料
 
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login
 
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOI
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC
 

Viewers also liked

Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Naohiro Fujie
 
System centerを中心とした統合管理-オンプレミスからクラウドまで
System centerを中心とした統合管理-オンプレミスからクラウドまでSystem centerを中心とした統合管理-オンプレミスからクラウドまで
System centerを中心とした統合管理-オンプレミスからクラウドまでMasahiko Ebisuda
 
THE日本のID管理(ID&IT Management Conference 2013)
THE日本のID管理(ID&IT Management Conference 2013)THE日本のID管理(ID&IT Management Conference 2013)
THE日本のID管理(ID&IT Management Conference 2013)Naohiro Fujie
 
Panel fujie 20120828
Panel fujie 20120828Panel fujie 20120828
Panel fujie 20120828Naohiro Fujie
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveAzure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveNaohiro Fujie
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護Naohiro Fujie
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】MOCKS | Yuta Morishige
 
見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版MOCKS | Yuta Morishige
 

Viewers also liked (14)

Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011
 
System centerを中心とした統合管理-オンプレミスからクラウドまで
System centerを中心とした統合管理-オンプレミスからクラウドまでSystem centerを中心とした統合管理-オンプレミスからクラウドまで
System centerを中心とした統合管理-オンプレミスからクラウドまで
 
Id基盤構築101
Id基盤構築101Id基盤構築101
Id基盤構築101
 
Tokbind-fido
Tokbind-fidoTokbind-fido
Tokbind-fido
 
THE日本のID管理(ID&IT Management Conference 2013)
THE日本のID管理(ID&IT Management Conference 2013)THE日本のID管理(ID&IT Management Conference 2013)
THE日本のID管理(ID&IT Management Conference 2013)
 
Panel fujie 20120828
Panel fujie 20120828Panel fujie 20120828
Panel fujie 20120828
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveAzure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep Dive
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
 
見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版
 

Similar to ID Management

クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料KAYATO SAITO
 
テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察FIDO Alliance
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
PID:the Protocol for Programmable Identity.pdf
PID:the Protocol for Programmable Identity.pdfPID:the Protocol for Programmable Identity.pdf
PID:the Protocol for Programmable Identity.pdfKAYATO SAITO
 
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方MPN Japan
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9OpenID Foundation Japan
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 

Similar to ID Management (20)

クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 
指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみる
 
SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料
 
テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
PID:the Protocol for Programmable Identity.pdf
PID:the Protocol for Programmable Identity.pdfPID:the Protocol for Programmable Identity.pdf
PID:the Protocol for Programmable Identity.pdf
 
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要
 
Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化
 
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
 
What's CodeSign
What's CodeSignWhat's CodeSign
What's CodeSign
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014
 

More from Kohei MATSUOKA

RubyからJavaScriptへ (!tDiary会議 2011)
RubyからJavaScriptへ (!tDiary会議 2011)RubyからJavaScriptへ (!tDiary会議 2011)
RubyからJavaScriptへ (!tDiary会議 2011)Kohei MATSUOKA
 
PStore and Memcached benchmark
PStore and Memcached benchmarkPStore and Memcached benchmark
PStore and Memcached benchmarkKohei MATSUOKA
 
How does the Waterfall model survive?
How does the Waterfall model survive?How does the Waterfall model survive?
How does the Waterfall model survive?Kohei MATSUOKA
 
Secured Authentication Method for Managing Consumer-Generated Information in ...
Secured Authentication Method for Managing Consumer-Generated Information in ...Secured Authentication Method for Managing Consumer-Generated Information in ...
Secured Authentication Method for Managing Consumer-Generated Information in ...Kohei MATSUOKA
 
about Shibuya.trac naming
about Shibuya.trac namingabout Shibuya.trac naming
about Shibuya.trac namingKohei MATSUOKA
 

More from Kohei MATSUOKA (7)

RubyからJavaScriptへ (!tDiary会議 2011)
RubyからJavaScriptへ (!tDiary会議 2011)RubyからJavaScriptへ (!tDiary会議 2011)
RubyからJavaScriptへ (!tDiary会議 2011)
 
PStore and Memcached benchmark
PStore and Memcached benchmarkPStore and Memcached benchmark
PStore and Memcached benchmark
 
How does the Waterfall model survive?
How does the Waterfall model survive?How does the Waterfall model survive?
How does the Waterfall model survive?
 
OpenID Introduction
OpenID IntroductionOpenID Introduction
OpenID Introduction
 
Secured Authentication Method for Managing Consumer-Generated Information in ...
Secured Authentication Method for Managing Consumer-Generated Information in ...Secured Authentication Method for Managing Consumer-Generated Information in ...
Secured Authentication Method for Managing Consumer-Generated Information in ...
 
about Shibuya.trac naming
about Shibuya.trac namingabout Shibuya.trac naming
about Shibuya.trac naming
 
yet another TDD
yet another TDDyet another TDD
yet another TDD
 

Recently uploaded

ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦Sadao Tokuyama
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfMatsushita Laboratory
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法ssuser370dd7
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見Shumpei Kishi
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-LoopへTetsuya Nihonmatsu
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~arts yokohama
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdfAyachika Kitazaki
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor arts yokohama
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)ssuser539845
 

Recently uploaded (12)

What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
 
2024 03 CTEA
2024 03 CTEA2024 03 CTEA
2024 03 CTEA
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
 
2024 04 minnanoito
2024 04 minnanoito2024 04 minnanoito
2024 04 minnanoito
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
 

ID Management

  • 2. 概要 利⽤者が管理するIDが増加 サービスごとにID情報を登録 個⼈ 個⼈ 利⽤するサービスが増えると 情報 情報 IDの管理が⼤変になる 個⼈ ID管理の削減 情報 シングルサインオンの現状 ID OpenIDの課題と解決策 利⽤者 2
  • 4. はじめに オンラインバンキング オンライン上のサービス 個⼈ Webメール 情報 銀⾏、ショッピング 個⼈ 情報 Webメール、Blog、SNS 管理するIDが増加 SNS 個⼈ オンラインでは認証が重要 情報 ID情報の重要性 フィッシング詐欺 ID IDの不正利⽤ ID ID 個⼈情報保護法 脅威 利⽤者 4
  • 6. 既存研究 - ID分類モデル (1) ⻫藤らによるID情報の分類 (1) 定義 例 カテゴリ1 識別⼦としてのID 名前、社員番号、電話番号 カテゴリ2 存在、能⼒、権利 ⼾籍、社員証、ライセンス を⽰すID カテゴリ3 権利の⾏使、認証 予約番号、引換券、家の鍵 のID カテゴリ4 IDの使⽤によって 履歴のID、申し込み記録 ⽣じるID 出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、 「ネットワーク社会におけるID氾濫の課題分析」、情報処理学会 研究報告、2006 6
  • 7. 既存研究 - ID分類モデル (2) ⻫藤らによるID情報の分類 (2) IDを無くすアプローチ 本⼈確認なしの情報を収集し、緩い本⼈性の確 認を実現 本⼈性 考え⽅ 厳密な本⼈性 本⼈とバンドル。 バイオメトリクス、ICカード 緩い本⼈性 本⼈とのバンドルはトラブル時のみ 本⼈確認なし トラブルがない、⼩さいことを前提 出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、 「多様なアイデンティティを実現する認証⽅式の提案」、情報処理学会 研究報告、2007 7
  • 8. ID管理の負担を低減するために ID管理の負担低減 【既存研究】 【今回の考察】 IDを減らす IDを無くす (複数のIDを連携) どのIDを減らせば効果的か? 検討のためにID分類モデルを再分類する 8
  • 9. ID情報の再分類 (1) サービス利⽤時の認証⼿順 識別 … ⼀意に識別できるIDを提⽰ 認証 … 秘密情報でIDの所有者であることを確認 認可 … IDに結びついた属性情報でアクセス可否を判定 (1) 識別 利⽤者 サービス提供者 Identification 識別⼦ (ログインID) 秘密情報 (2) 認証 (3) 認可 属性情報 (パスワード) Authentication Authorization (会員情報) 9
  • 10. ID情報の再分類 (2) 以下の2つの観点から再分類した 識別、認証、認可 本⼈性の確認レベル 本⼈性の確認 確認しない 緩い確認 厳密な確認 識別 IPアドレス ログインID 住⺠基本台帳番号 セッションID メールアドレス 社員番号 認証 Cookie パスワード バイオメトリクス セキュリティトークン 住基ICカード 認可 DNS逆引き情報 会員情報 住所、電話番号、 ドメイン情報など ⽀払い能⼒の提⽰ ⽣年⽉⽇ (クレジットカード) 利⽤者は ID削減が IDの数が 意識しない 効果的 多くない 10
  • 12. シングルサインオンの登場⼈物 免許センター IdP (公安委員会) SP ID ID情報 レンタル 利⽤者 ビデオ パスワード 属性 情報 認証結果 銀⾏ 認証結果 属性 (⼝座開設) 情報 名称 役割 IdP 利⽤者を認証する。 (Identity Provider) SP IdPから認証結果を受け取り、利⽤者に (Service Provider) サービスを提供する。 利⽤者 (User) SPからサービスを受けるために、IdPを 使って⾃⾝を認証してもらう。 12
  • 13. 統合認証モデル (1) ⼀つのIdPが全てのIDを管理 必要条件 利⽤者を⼀意に識別できる 利⽤者およびSPがIdPを信頼できる 単⼀組織内での利⽤に適している IdP 認証サーバ (⼈事DB) SP 利⽤者 グ イン ID情報 社内システム ロ 信 (経理) 頼 信頼 利⽤ 社内システム ⼀つのIDと (勤務管理) パスワード 13
  • 14. 統合認証モデル (2) インターネットでの利⽤ .NET Passport (Microsoft社) TypeKey (Six Apart社) 以下の懸念により普及していない 1. 商業的懸念: IdPがサービス終了したら? 2. プライバシー: 利⽤者の情報をIdPが集約 利⽤者 IdP SP ID情報 14
  • 16. 分散認証モデル 複数のIdPが利⽤者の情報を管理 利⽤者、SPともにIdPの選択が可能 インターネット向きの⽅式 IdP IdP ポータル ポータル サイトB SP サイトA ID情報 ID情報 Webメール 利⽤者 利⽤者 Blog カレンダー 16
  • 17. 分散認証モデル例1 – Liberty Alliance .NET Passportへの対抗 Sun Microsystemsなど 事前にID情報を交換 (Federation) 中間IDを⽤いることで名寄せを防ぐ 連携 SP IdP ID: A 中間ID ID: B ID情報 ID情報 ID: Aとして ID: Bとして ログイン 利⽤者 ⾃動的にログイン ID: A ID: B 17
  • 18. 分散認証モデル例2 - CardSpace Windows Vistaに標準搭載 SPのポリシーによってIdPが決定する IdP A IdP B SP SP 認証結果 ID情報 ID情報 利⽤者 ポリシー ログイン ID: A ID: B 18
  • 19. 分散認証モデル例3 - OpenID URLをIDとして使う 利⽤者が選択したIdPでログインする IdP B IdP A http://openid.ne.jp/ http://auth.livedoor.com/ SP ID情報 ID情報 ID: profile.livefoor.com/alice 利⽤者 19
  • 20. ID分類とのマッピング 統合認証モデル 分散認証モデル カテゴリ .NET Passport Liberty Alliance CardSpace OpenID 識別 利⽤者の IdPとSPそれぞれ IdPごとに 利⽤者が メールアドレス に個別のID 個別のID 指定したURL 認証 中央の認証サーバ SPが信頼するIdP SPのポリシーに 利⽤者が指定 が⼀元的に認証 ⼀致するIdP したIdP (変更可能) 認可 なし 拡張仕様 なし 拡張仕様 (ID-WSF) (策定中) IDと IDとパスワードが複数 パスワードが⼀つ (ポリシーが複数の場合) IDは複数 IDとパスワードが⼀つ パスワードは⼀つ 20
  • 22. OpenIDの概要 2005年秋に登場 Liberty AllianceやCardSpaceよりシンプル Web2.0サービスにて普及の兆し 組織 サポート状況 Sun Microsystems Sunの社員に対してOpenIDアカウントを発⾏ Microsoft CardSpaceをOpenIDに対応させることを表明。 FireFox Webブラウザの次期バージョンにおいて OpenIDをサポート。 AOL AOLの会員に対してOpenIDアカウントを発⾏。 livedoor livedoorの会員に対してOpenIDアカウントを発 ⾏。 LiveJounal OpenIDアカウントによってログインしコメント を残すことが可能。 22
  • 23. OpenIDの特徴 IDとIdPを分離 (delegate) 利⽤しているIdPがサービス終了 他のIdPにdelegateすればIDを変えなくてよい IdP A IdP B http://auth.livedoor.com/ http://openid.ne.jp/ SP ID情報 ID情報 alice.example.com HTML IdPのURL 利⽤者のWebサイト http://auth.livedoor.com/ http://openid.ne.jp/alice/ 利⽤者 http://alice.example.com/ 23
  • 24. OpenIDの課題 (1) フィッシング詐欺の懸念 SPが偽の認証サーバに誘導する 対策 Verisign Seatbelt … Webブラウザの拡張機能 登録していないIdPに誘導されると警告する SP IdP (1) IDの⼊⼒ (2) 偽の認証サーバに 認証サーバ リダイレクト http://alice.example.com alice.example.com 利⽤者 偽の認証サーバ http://fake.com ログイン パスワード 24
  • 25. OpenIDの課題 (2) SPとIdP(認証サーバ)の関係が不定 OpenIDは利⽤者の識別・認証のみ どのIdPを使うかは、利⽤者次第 SPはどのIdPが信頼できるかが分からない → オレオレIdPも可能 IdP 利⽤者 SP IdP IdP IdP 25
  • 26. OpenIDの課題とIDの削減 OpenIDは認証の信頼性が低い ○ 利⽤者が同⼀⼈物であることの確認 × 利⽤者が信⽤できるかの確認 現状では信頼性が低い領域のみの適⽤ Blogでのコメントなど 信頼性 適⽤領域 IDを削減するためには… 信頼性を⾼め、適⽤領域を広げる 現状 26
  • 27. 対策 - 信頼性強化 (1) 評価サービスの導⼊ 利⽤者の評判を数値化 Reputation Framework Reputation Framework 出典: Phillip J. Windley, Kevin Tew, Devlin Daley, 評価情報の収集 [認可] “A Framework for Building Reputation” IdP SP 利⽤者 IdP [識別・認証] IdP IdP 27
  • 28. 対策 - 信頼性強化 (2) IdPが属性情報を提供 属性情報を⽤いて利⽤者を信頼 例: オークションの評価がよければコメント投稿可能な Blog SPがIdPを信頼する仕組みが必要 IdP 利⽤者 信頼 [識別・認証] SP alice.example.com [認可] 関連付け オークションの 所属 評価 ex: sun.com 属性情報 28
  • 29. まとめ ID削減に向けた考察を⾏った 1. IDの分類モデルを再分類 識別・認証・認可と本⼈性の観点 2. シングルサインオンサービスの調査 3. OpenIDの課題と対策案の考察 今後は本⼈性担保の強化⽅法を検討 IdPが属性情報を提供するための要件を整理 実現案の提⾔ 29