Your SlideShare is downloading. ×
0
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

110728 Trust Framework - Shingo Yamanaka

8,941

Published on

「信頼フレームワーク最新動向」~Open Government, Open Economy, Open Identity~ …

「信頼フレームワーク最新動向」~Open Government, Open Economy, Open Identity~
2011年7月28日(木)

「トラストフレームワークの国際動向」 山中 進吾(OpenIDファウンデーション・ジャパン)

http://www.openid.or.jp/modules/news/details.php?bid=41
http://www.ustream.tv/recorded/16287210

Published in: Technology
0 Comments
8 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
8,941
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
113
Comments
0
Likes
8
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. トラストフレームワーク最新動向2011/07/28 Shingo Yamanaka OpenID Foundation Japan @shingoym
  • 2. はじめに ハッシュタグ: #trustfw 本日は導入編。トラストフレームワークについて、全般 的な内容を広くお話しします  トラストフレームワークとは何なのか?  何がうれしいのか?  海の向こうで何が起きているのか? 以下については、他の方がお話されます  米国のNSTICとプライバシーについて(折田さん)  トラストフレームワークの歴史的背景について(下道さん)  ソーシャルウェブのIDについて(高橋さん) Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 1
  • 3. Big Data? McKinsey Global Institute 数十テラバイト~数ペタバイトの非構造化データを 解析することによるビジネス機会の創出 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 2
  • 4. Big Data? 野村総合研究所 シニアフェロー 村上輝康氏 “….大規模データ処理の世界が今、クラウドコンピューティングの普及とともにBig Dataとし て新たな光を当てられようとしている。その引き金となっているのは、突如出現した、ソシア ルメディアのグローバルプラットフォーム上で、高機能携帯端末を駆使する利用形態の急成 長によって生み出されるBig Dataである。 …期待されるのは…公的な大規模データの利活 用の分野である。この分野には、医療分野におけるPHR(パーソナル・ヘルスレコード)や、 自動車のプローブ情報や信号情報等を統合する都市交通制御、携帯電話事業におけるモ バイル空間統計等、利用可能になれば大きな社会的効用を生み出しそうな公的な情報が多 々存在する。この分野のBig Dataの問題は、複雑な利害関係や規 制の存在によって塀の中から出てこないBig Dataをいかに 利用可能にしていくか、ということである。” Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 3
  • 5. Personal Data Ecosystem? ダボス会議: “パーソナルデータ再考” プロジェクト new oil of the Internet “Personal data is the and the new currency of the digital world.” Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 4
  • 6. 最近、ID連携を必要とするサービスが増えてきた Google、Yahoo、Facebook、Twitter、MixiなどのIDでサービ スを連携させて、ログインしたりデータ連携させる機会の増加 認証連携(TwitterアカウントでTogetterにログイン) データ連携(Twitterの情報をTogetterに取り込み) Togetter Twitter API公開しておくかIDの管理面倒くさい! ら、IDとデータを 使ってサービスどん外部のプラットフォー どん開発して!ムサービスの情報を活用したい! ユーザ本人の同意 この仕組みをよりセキュリティやプライバシーが求められる サービスにも利用できないか? Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 5
  • 7. パーソナルデータ経済の興隆 Big Data の出現  それを解析することで生まれる経済価値  それを流通させることで生まれる経済価値 その中でもPersonal Dataこそが価値を持つ  ID情報の価値が企業価値に直接反映される時代 ▪facebook の例:7兆円の企業価値/7 億のユーザ ソーシャルウェブのBig Dataは動き始めたが…  規制・プライバシー・利害関係の問題で塀の外に出て こないBig Dataをどう動かすかが、今後の課題 今後、大量のPersonal Dataを速やかに錯誤なく流通できる 仕組みを持つ国・企業が競争優位に立ちそうだ Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 6
  • 8. 一方で、サイバー犯罪は増加の一途 「平成23年警察白書」(5年ぶりのインターネット特集)  サイバー犯罪は増加の一途(22年度で6933件)  「サイバー空間」をめぐる捜査環境 ▪匿名性が高く、痕跡が残りにくい ▪地理的・時間的制約を受けることが少ない  全国協働調査や国際連携が重要に  サイバーテロの脅威が現実のものに ▪サイバーテロ=「重要インフラの基幹システムに対する電子的攻撃」 PlayStation Network への侵入事件  Sony/SCEの本社は日本  PSNのサーバは米国に。22州の検事総長とFBIが調査  アノニマスの3人がスペイン警察に捕まる(その後証拠不十分で保釈) サイバー犯罪からサイバーテロ対策へ 国境を超える広大なサイバー空間に対する取締りが課題 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 7
  • 9. トラスト(信頼)=インターネットに長年求められてきたもの Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 8
  • 10. トラストとは? 情報量 から生まれるトラスト よく知っているもの、慣れ親しんだもの 同質性 利害の一致 から生まれるトラスト から生まれるトラスト 自分と似ているもの ステークホルダー間の期待 評判 契約 から生まれるトラスト から生まれるトラスト みんながいいと言っているからいい 事前に取り決められた合意に基づく Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 9
  • 11. これまでも様々なトラストフレームワークがあった Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 10
  • 12. トラストフレームワークとは? オンラインで パーソナル・データを 認定された事業者(Entity)の間で 利用者本人の同意に基づき 安全に流通させる 枠組み Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 11
  • 13. トラストフレームワークの代表例Open Identity Trust Framework Policy Maker (ポリシー策定者) 認定 Trust Framework Provider(TFP) 契約 監査結果通知 認定 契約 監査 認定監査人 認定IdPリスト 取得 Identity Provider Relying Party データ連携 (IdP) (RP) ID登録 サービス /認証 利用者 利用 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 12
  • 14. 登場人物(言葉の整理) エンティティ: Entity  人、デバイス、組織、サーバなど識別される実体 アイデンティティ(ID)プロバイダー: IdP  Entityが自身のアイデンティティ情報を預け、提供する事業者 (認証事業者) リライング・パーティ: RP  IdPの認証結果を受け入れ、アイデンティティ情報を利用する事業者 アトリビュート(属性)プロバイダー: AP  Entityの属性情報を管理・提供する事業者 ポリシーメーカー  トラストフレームワークのポリシー策定者 トラストフレームワークプロバイダー: TFP  ポリシーに基づいて、トラストフレームワークを策定しIdP, RP, AP の信頼関係構築の仲介をする事業者 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 13
  • 15. なぜトラストフレームワーク? 情報の非対称性の問題に対する解決 長野産の 桜桃です レモン?ピーチ? 監査人 甘いよ~ (本当は酸っぱいけど) どっち? 品質監査 品質情報提供 提供者 利用者 提供者 利用者提供者は、自分の情報 利用者は、相手の言っ 説明コストの削減 調査コストの削減の質を知っているが ていることを信じるし かない? Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 14
  • 16. なぜトラストフレームワーク? 契約の複雑性の問題に対する解決提供者 利用者 提供者 提供者 約款 約款提供者 利用者 提供者 提供者 約款 TFP 約款提供者 利用者 提供者 約款 約款 提供者 約款 約款提供者 利用者 提供者 提供者 n ×m n+m 煩雑で膨大な契約交渉 約款の定型化と 契約コストの削減 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 15
  • 17. トラストフレームワークのユースケース #1サービスにあったクレデンシャルの選択 IDプロバイダー 銀行 メール 大学 SNS サービスに応じて ID・クレデンシャルを使い分け 料金支払 利用者 医療 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. リライング・パーティ 16
  • 18. トラストフレームワークのユースケース #2必要な資格情報のみ取得し匿名でアクセス 学校 属性プロバイダー 子供向けチャットルーム 12歳~17歳の証明 匿名での利用 (利用資格のみ証明) 利用者 リライング・パーティ Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 17
  • 19. トラストフレームワークのユースケース #3資格証明と非常時のアクセス許可 病院、警察など ID プロバイダー & 属性プロバイダー 医師資格、専門性 緊急医 災害緊急ポータル 資格に応じた情報提供 利用者 リライング・パーティ Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 18
  • 20. トラストフレームワークのユースケース #4IDプロバイダーの許可によって第三者から属性を提供 ミネソタ州の病院 (過去のかかりつけ) PHRサイト IDプロバイダー 属性プロバイダー マサチューセッツ州の病院 (現在のかかりつけ) 電子カルテの提供 利用者 リライング・パーティ Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 19
  • 21. 米国政府のサイバースペースに関する戦略2002 ・・・ 2009 ・・・ 2011 Open Governmente-Goverment Act Directive Cyberspace Policy International Strategy Review for Cyberspace National Strategy International Strategy for Trusted Identity for Trusted Identity in in Cyberspace Cyberspace??? OMB M-04-04 NIST SP 800 63 Open Identity Trust Framework HSPD12 / Fed-PKI / PIV Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 20
  • 22. 米国政府のサイバー空間戦略International Strategy for Cyberspace (ISCS) 未来のサイバー空間を繁栄 させ、安全性とオープンさ を保持するための国際戦略 7つの重点ポリシー  経済、安全、法的処置、軍事 、ガバナンス、国際開発、イ ンターネットフリーダム 本サイバー戦略を外交を通 じて各国連携を図っていく (ヒラリー国務長官が主導) Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 21
  • 23. ISCS: 7つの重点ポリシー •グローバルな自由貿易の維持、イノベーションを促進する1. 経済 •知的財産の保護を徹底する •国際的な技術標準を作成する •多国的なサイバーセキュリティの規範を作る •米国ネットワークへの不正侵入を減少させる2. 安全 •強固なインシデント管理とシステム復旧能力を確保する •民間企業からのセキュリティ製品が安定供給されるようにする •サイバー犯罪に対するポリシーの国際的な開発をする •ブダペスト条約に合致するサイバー犯罪法の国際協調を行う3. 法的処理 •不法アクセスに対する戦闘に関する法を検討する •インターネットを使ったテロ計画、実行、資金収集に対すて断固拒否する •信頼できるネットワークに関する軍からの要求を認識する4. 軍事 •現在のアライアンスをサイバー空間の脅威に対しても強化する •サイバー空間における安全強化を同盟国と協力する •オープンさとイノベーションを最優先に位置づける5. インターネット •DNSを含めた、ネットワークのセキュリティと持続性を維持する ガバナンス •インターネットガバナンスを議論する場を各ステークホルダーに提供する •サイバーセキュリティを求める他国に必要なナレッジやトレーニングを提供する •国際的なサイバーセキュリティのベストプラクティスを継続的に共有する6. 国際開発 •サイバー犯罪と戦う国の能力を強化する(犯罪学者や法執行者、立法者のトレーニング) •ポリシー策定者間での定期的、継続的な情報交換を行う •市民社会が信頼と安心のできる自由なプラットフォームを実現できるために支援する7. インターネット •不法なネット侵入から市民社会の活動を守るために企業やNPOと協働する フリーダム •効率的なデータプライバシー保護のために国際的に協調する •インターネットが全ての人にアクセスしやすいように全てにおいて相互運用性を確保する22 Copyright 2011 OpenID Foundation Japan - All Rights Reserved.
  • 24. 米国政府のID戦略National Strategy for Trusted Identities in Cyberspase (NSTIC)利用者の信頼できるアイデンテ ィティに紐付き、安全にデータ を流通させるためのエコシステ ムを実現する国家戦略 過去の失敗を教訓にしている  既に普及している民間プロバイダーのイ ンターネットIDを活用(利用者中心の発 想)  民間のステークホルダーの利益を念頭に 置いた、エコシステム的アプローチ( Identity Ecosystem)  セキュリティレベルが低くてもよい サービスから対象にスモールスター ト(初年度予算は20億円程度) Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 23
  • 25. Open Identity Trust Framework:米国政府での適用例 GSA (一般調達局) ICAM Policy Maker (ポリシー策定者) • Open Identity Exchange 認定 • Kantara Initiative • InCommon Foundation• Federal PKI(政府関係者向け) Trust Framework• Google, Paypal, Provider(TFP) • NIH(国立衛生研究所) AT&T, Verizon(国民向け) 契約 監査結果通知 認定 • NLM(国立医学図書館) 契約• Shibboleth IdP(大学関係者向け) • LOC(米国議会図書館) ・・・ 認定IdPリスト 監査 認定監査人 取得 ・・・ Identity Provider Relying Party データ連携 (IdP) (RP) ID登録 サービス /認証 利用者 利用 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 24
  • 26. ICAM認定のTFPとOIXの参加企業 ICAM TFPとして承認済 OIXの主要メンバー 申請審査中 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 25
  • 27. 米国の国民ID制度・ガイドラインとTFP/IdP認定までの流れ National Strategy for 政 府 民 間法律による規定 Trusted Identities in Cyberspace (NSTIC) 指令(Directive)による規定 電子政府法 (2002) オープンガバメント指令 IDプロバイダー IDプロバイダー (2009) 政府紙書類削減法 (1998) ・民間との連携・ソーシャルの利活用 契約 ガイドラインによる通達 Open Identity Exchange GSA ICAM Trust Framework Provider OMB (行政管理予算局) Assessment Package (一般調達局 Identity Credential and Access Mgmt) M-04-04 (信頼フレームワーク提供事業者(連邦機関向け電子認証ガイドライン) Trust Framework Provider 評価パッケージ)・4つの保証レベル Adoption Process ・ICAMの要件に基づき、自身の組織 や業務を評価しICAMに申請・5つのステップ (信頼フレームワーク提供事業者 認定 ・保証レベル1までを定義、レベル2~4 検査・外部認証サービスの認定と受入れ 適用プロセス) はKantara Identity Assurance ・現状は保証レベル1~3までを定義 Frameworkを利用 NIST (国立標準技術研究所) Adopted Scheme Profile その他各種ドキュメント (各適用スキームのプロファイル) ・IDプロバイダー検査マニュアル SP 800-XX ・OpenID 2.0 Profile ・IDプロバイダー契約書 (各種電子認証ガイドライン群) ・SAML 2.0 Profile ・ID受入サイト契約書 認定 ・IMI 1.0 Profile ・・・ 契約 ID受入サイト 認定検査人 (各連邦機関) Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 26
  • 28. Level of Assurance(保証レベル) IdPが発行するIDの保証レベルは、本人確認の方法や認証技術の 強度の高低でレベル1~4まで規定される RPのサービス内容に応じてリスクレベルを規定し、それに対応 するIDを保証レベルに応じて選択する NSTIC / OITFでは、LoA1~4までをサポート GoogleやPayPalなどのIdPも、 LoA2以上に対応予定 LoA4 LoA3 FBI捜査官による犯罪捜査DBの閲覧 医者による電子カルテの閲覧 LoA2 給付金や補助金の申請 LoA1 匿名Wikiへの書き込み Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 27
  • 29. どのようにガバナンスを効かせるか NSTICのガバナンスワークショップでの視点 1. 法規制、強制力、責任分界 2. ステークホルダーの参画・利害調整・合意手続 3. 組織構成・体制 (監査を含む) 4. 技術・運用における標準 5. プライバシー保護 Harvard Law Labs “Governance as an Open Platform”  法律だけによるガバナンスに頼らない、インターネット的/OSS的ガバナ ンスモデルの在り方についての研究 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 28
  • 30. 米国以外のトラストフレームワーク採用の動き ダボス会議  “パーソナルデータ再考” プロジェクト 他国も次期国民IDとして検討開始  英国、カナダ、オランダ、オーストリ ア、ニュージーランド… ISO / ITU-T による国際標準化  ISO 29115 / x.eaa  x.oitf 学認 / NORDUnet… Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 29
  • 31. JASモデル ≒ トラストフレームワーク有機食品認定制度 農林水産大臣 登録申請 登録 ※JAS法17条の2の基準に基づき判断 登録認定機関(NPO、財団等を含む法人) 検査(調査)機関 独立行政法人 農林水産消費安全技術センター 申請 認定・調査 申請 認定・調査 ※認定の技術的基準に関する 農水省告示に基づき認定 生産農家 製造業者 (農産物) (加工食品) ※自ら生産した農産物、製造した加工食品を格付 格付情報 格付情報 するもの。告示の認定基準において、格付規程の 具備を明記 小売業者 消費者 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 30
  • 32. トラストフレームワーク成功のためのヒント1. ブートストラップするために、まず政府サイトを対象にしたパイロッ トを始める2. 但し、政府は民間をクラウディングアウトすることはしない。政府の 役割はポリシー策定に留め、民間サービスにあるを活用する3. リスクの低いところから着手し、徐々に高いところへ(LoA1から)4. ポリシーは個別技術に依存しないようにする。一方、技術はその時々 で旬のものを使う5. ポリシー策定の段階から民間企業(特にIdP候補企業)を巻き込むこ とが前提6. みんなが集まって公開で議論する(結果みんなが乗れるスキームに)7. 各種ガイドラインの位置付けの明確化、バージョニング/ナンバリン グは重要8. IdPもTFPも、公平なルールの下競争原理を働かせる。入退出可能な オープン市場によって、ガバナンスが効き、持続性が高く普及しやす くなる9. 利用者にとっても事業者にとっても複数の選択肢を提供する Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 31
  • 33. 本日の論点(後のパネルで議論したいこと) なぜトラストが必要なのか? なぜトラストフレームワークが必要なのか? トラストフレームワークがあると何がうれしい のか? 日本版トラストフレームワークはどうあるべき か? Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 32
  • 34. 最後に そんな サイバースペース・ポリシー(注) で大丈夫か? (キリッ 大丈夫だ、問題ない。(注) 部分は「個人情報保護法」「国民ID」でも代用可。 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 33
  • 35. In Cyberspace 201X…. Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 34
  • 36. 米国が口火を切ったサイバースペースフロンティア攻防戦~ 今、第8の大陸で起きつつあること(イメージ) Yes, We Can in Cyberspece! ….. Cyberspace is Diplomatic Agenda. Protect from Cyber-terror. Good ForNational ID. Identity is our Competitive Advantage. Um… American Next Asset, Let’s Standardize Good For Imperialism… Next Oil. this Framework. National ID. Technically good. Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 35
  • 37. もう一度 そんな サイバースペース・ポリシー で大丈夫か? 一番いいの(注)を頼む。(注)いまのところ一番よさそうなの= Open Identity Trust Framework Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 36
  • 38. 今後 今後もトラスフレームワークの在り方について、 みなさんと一緒に考えていきたいと思います  2回目のセミナー/パネル:10月頃 ▪米国政府以外の取り組みも題材に ▪ガバナンス、プライバシー、テクノロジーのいずれかに絞 った内容で  12/1に Trust Framework Summit を実施します ▪OpenID Summit Tokyo と併催 ▪US政府やOIX(Google、PayPal、Symantec等)の担当者 が多数来日予定 Copyright 2011 OpenID Foundation Japan - All Rights Reserved. 37

×