Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

2,264 views

Published on

InternetWeek2016で公演した際のスライドです。


以下のトピックスについて述べています。

CASB(Cloud Access Security Broker)
シャドウITとサンクチュアリIT、DLP(Data Leak Prevention)
SCIM(Simple Cloud Identity Management)
IDaaS(Identity as a Service)
SAML、OAuth、OpenID
BeyondCorp
SDP(Software Defined Perimeter)

Published in: Technology
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

  1. 1. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - Internet Week 2016 @ 11/30 サイバーセキュリティサービス事業本部 勝原 達也
  2. 2. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1 自己紹介 勝原達也 https://www.linkedin.com/in/kthrtty , katsuhara[AT]nri-secure.co.jp 所属 野村総合研究所(2007~) NRIセキュアテクノロジーズ(2014~) 活動 Digital Identityに関わるビジネス企画・コンサル・開発運用  CIAM(Consumer Identity and Access Management)  認証・認可、OpenID/OAuth、APIエコノミー OpenIDファウンデーション・ジャパン  法人立ち上げ、教育・翻訳WG 新領域開拓中 ペネトレーションテスター デバイス・制御セキュリティ
  3. 3. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2 はじめに - Identity Is The New Perimeter Source: Cloud Identity Summit 2012, http://www.slideshare.net/tkudo/cis2012toi (web.archive.org/web/20120808171917/http://www.cloudidentitysummit.com/) ペリメタ(境界)はもはやネットワークによって定義される ものではない。セキュア/非セキュア、内部/外部という定 義は意味がない。 企業の流動化で、重要なデータにアクセスするユーザーやデ バイスが急増している。 仮想化、パブリック/プライベート/ハイブリッドクラウド 環境を混ぜ合わせ、揮発性、不確実性、複雑性、あいまい性 (VUCA)を持ったネットワークを取り扱うことになった。 物理的な統制がより難しいのは、Firewallの内側にあるもの をセキュアにすることではなく、Firewallの先にあるものを セキュアにしていくことなのだ。
  4. 4. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3 とある憂鬱な企業システムの例 クラウドサービスのアカウントは社内と統合されておらず個別ログイン 高コスト・低信頼性のクラウドサービスのアカウント管理がまかりとおる 生産性向上を目的としてShadow IT利用が増え、潜在リスクが増加 モバイルからVPN経由で社内システムを利用できるが、制限が多い スマートデバイスのネイティブアプリから利用できる業務はほとんどない
  5. 5. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 4 企業内ネットワーク 課題を解決するために何をするべきか 目指す姿 マルチクラウドと社内システム間でのSSO クラウドに対するID管理の自動化 Shadow ITからSanctioned ITへのシフト どこからでもアクセスできる企業システム アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 Shadow IT問題 VPN CSVによる高コスト 低信頼性のID管理 モバイル NWペリメタ依存の 低ユーザビリティ リモートアクセス クラウド毎に別々の ID/PWで認証
  6. 6. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 5 企業内ネットワーク ユーザビリティの低いクラウドサービスの利用は進まない システム毎に異なるID/PWを入力するフラストレーションは すでに企業内で体験済み クラウドを企業内で実現されている統合認証の傘下におさめたい アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル クラウド毎に別々の ID/PWで認証
  7. 7. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6 クラウドサービスが備える連携機能 コンシューマ向けSSO  OAuth2/OpenID Connectベース一択  当然ながら、SAMLよりもAPI化との相性が良いプ ロトコルが好まれる 企業向けSSO  復活したSAMLニーズ 歴史的にエンタープライズIAM製品の多くが対応済 利用しているのはSSOプロファイルだけ 操作・管理API  今更SAML対応APIなんて作りたくはない(はず)  コンシューマ/スマホアプリ向けAPIを作って、 あとから”for Business”と題してSAML対応する  レガシー対応 CSVでのID管理機能 企業向け SSO 操作・管理 API コンシューマ 向けSSO
  8. 8. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7 マルチクラウドを束ねるIdentity as a Service Cloud/SaaS IDaaSに認証を移譲(結果のID情報を受け入れ) 認証結果に基づき、サービス利用及びAPIアクセ ス認可 IDaaS ID管理、セキュリティトークン、アサーションの 生成・変換 IdP(対SaaS)であり、RP(対社内IdP)でもある 高付加価値:多要素認証、リスクベース認証 社内IdP 従業員の認証を行い、IDaaSやSaaSにID情報を 返却 7 認証結果 ID情報 サービス APIアクセス認可 Cloud/ SaaS IDaaS Enterprise *** 認証結果 ID情報 サービス APIアクセス認可 IDaaSに認証 を依頼して SSOしよう! 社内IdPに認証 を依頼して SSOしよう! IDaaSに認証 結果を返して SSOしよう!
  9. 9. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8 企業内ネットワーク ID連携・IDaaS導入によるSSO実現はクラウド統制の大きな一歩 ID連携・IDaaSで、マルチクラウドの認証・認可をコントロール ユーザビリティ向上 アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル マルチクラウド 認証・認可・管理 (IDaaS) ユーザビリティ 認証セキュリティ
  10. 10. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9 企業内ネットワーク 現場部門によるCSV手動メンテナンスはもうやめよう そのコストを正当化していないだろうか? 改善を諦めていないだろうか? アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル CSVによる高コスト 低信頼性のID管理 マルチクラウド 認証・認可・管理 (IDaaS)
  11. 11. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10 ネットワーク境界の先とを繋ぐIDM SCIM - System for Cross-domain Identity Management Enterprize IAMにおけるアカウントプロビジョニングを、 SaaSやCloudなど異なるドメイン/事業者間でも実現でき るようにする仕様。 2011年 SCIM1.0発表 2015年 SCIM2.0(RFC7642、RFC7643) 標準スキーマ(スキーマ拡張可能) JSON/RESTベースのAPI 操作:作成、検索・参照、変更・削除、バルク処理 API認可手段としてOAuth2.0トークン利用を推奨 SCIM APIエンドポイントにJSONメッセージを送信し、 プロビジョニング実施 http://www.simplecloud.info SCIMクライアント SCIMサーバ JSON Method 操作 POST 作成 GET 参照 PUT 変更(全体) PATCH 変更(一部分) DELETE 削除
  12. 12. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11 クラウドはSCIM I/Fを備え、IDaaSはSCIMを取り込み始めた 著名SaaS/CSPやIDM製品が実装するなど、 今のところ利用拡大の見込みあり 過去にも類似仕様はあったが・・・ SPML:Service Provisioning Markup Language 対象が広範かつ汎用的で複雑 SCIMはシンプルゆえに、浸透していく? G suiteのプロビジョニング例 G suiteはIDaaSでもある 外部のSaaSサービス(Slackなど)へSCIMで プロビジョニング オンプレ側からはプロプライエタリな Directory API利用 社内IdPとのID連携構成にすれば、 社内IdPで認証して、一気にSaaSへSSO Directory API (OAuth2ベース) 社内 プロビジョニング SSO(Google→SaaS) プロビジョニング SSO(社内→Google)
  13. 13. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 12 企業内ネットワーク アイデンティティ管理はNW境界を超えることができる アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  14. 14. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 13 企業内ネットワーク Shadow ITを、どのようにSanctioned ITへ変えていけばよいだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除 マルチクラウド 認証・認可・管理 (IDaaS) 登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル Shadow IT問題 ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング)
  15. 15. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 14 情報システム部は悩んでいる クラウド利用におけるジレンマ Monitoring 利用されているクラウドサービスを発見し、潜在 リスクを把握したい。ハイリスクサービスはブロ ックしたい。 Sanctioned IT(↔Shadow IT) 生産性向上を邪魔したいわけではない 安全性を予め確認したサービスを使ってほしい Control 全てのクラウド・サービスにおけるアクティビテ ィ・データに対するIT統制をかけたい ポリシー違反、データ漏洩などに対する予防的・ 発見的統制 Source: Top Strategic Predictions for 2016 and Beyond http://www.gartner.com/newsroom/id/3143718 2020年における、クラウド・セキュ リティにおける失敗の95%は、利用者 の過失によるものとなる 2018年には、利用者が1000人以上の 企業の50%が、CASBを活用しSaaS等 のパブリック・クラウド利用をモニタ リング・管理するようになる。 クラウドは通常安全であるが、パブ リック・クラウドの利用を安全にする ためには、クラウド利用者側の明示的 な努力が必要であるという認識が高 まっていく。
  16. 16. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 15 IT統制はクラウドと協調しながら行う時代へ CASB – Cloud Access Service Broker 可視化 クラウドサービスの発見/評価 クラウドと連携し、ユーザのアイデンテ ィティに基づく活動把握 データ・セキュリティ 機微情報の暗号化 管理外のファイルはあってはならない DLP(Data Loss Prevention)との連携 脅威防御 ユーザ/デバイスのアイデンティティ情 報を元にしたアノマリ検知 コンプライアンス 監査のための適切な情報記録・提供 ワークフロー Cloud Access Service Broker Private Cloud 社内モバイル アクセス Source: Gartner – The growing importance of Cloud Access Security Broker アクセス制御 情報保護 可視化 統制 セキュリティ コンプライアンス 管理・監査用 API提供
  17. 17. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 16 広義のIdP CASB動作概要 利用者 CASB IDaaS 認証サーバ (オンプレミス) 1.サービス利用要求(login.saas.com) 2. ID連携要求(SaaS➙CASB) 3. 認証を移譲するため、 更にID連携要求 (CASB➙IDaaS/社内IdP) 4. ユーザ 認証実施 5. ID連携応答 (対CASB) 6. CASB経由でクラウドにアクセス (リバースプロキシ:saas.casb.com) 7. 直接クラウドにアクセスさ れても、クラウド側が用意 したAPI経由で監査・分析 ***
  18. 18. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17 アイデンティティを軸に拡張された企業ネットワーク 企業内ネットワーク アイデンティティを軸にしたIT統制で企業NWは拡張していく アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS)
  19. 19. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 18 企業内ネットワーク モバイルと社内のネットワーク境界を感じさせないようにできないだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS) NWペリメタ依存の 低ユーザビリティ リモートアクセス
  20. 20. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 19 Googleが推進するイニシアチブ BeyondCorp – A new Approach to Enterprise Security “Zero Trust” エンタープライズ・ネットワークは、もはやインターネ ット同様に「安全な場所ではない」という原則 “Identity Is The New Perimeter” 従来のネットワークに基づくアクセスコントロールから の脱却 「デバイス」・「ユーザ」・「状態」に基づくアイデン ティティベースの制御 “Access the Application, Regardless Network” Public DNSにエンタープライズ・リソースを登録 Access Proxyを介してリソースへアクセス VPN接続の廃止 Googleエンタープライズ・アプリケーション ログイン画面(インターネットから到達可能) 2要素認証 (OTP/FIDO U2F) Source: “BeyondCorp” - USENIX login; 2015, 2016
  21. 21. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20 モバイル (境界の外) オフィス内 (物理境界/NW境界) BeyondCorpが実現する「切れ目のない」境界 利用者にとっては、インターネット と社内システムの境界が無くなった ように見える デバイスのアイデンティティが重要  インベントリ情報を収集・送信する エージェント導入  ソフトウェアのパッチ適用  クライアント証明書導入  etc… デバイス・人のアイデンティティに 基づいて、アクセス可能な 「トラスト・ティア」が計算される 802.1x RADIUS Gateway (Access Proxy) Access Control Engine SSO/認証システム Trust Tier 必要に応じて 社内ID/PW認証 High Device Inventory Service Low パブリック ネットワーク インベントリ情報 ***
  22. 22. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 21 BeyondCorp アクセスコントロールとコンポーネントの関連 データソース アクセス・インテリジェンス ゲートウェイ リソース アクセス制御に必要なデバイス の情報をDevice Inventory Serviceに提供。 インベントリ情報を元に、アク セスして良いティアを計算。 ゲートウェイに対してアクセ ス・コントロールを実施 リソースへのアクセスを制 限・許可する。 アクセス先ネットワークやア プリケーション。 Web APIのエンドポイントも含 まれる。 リソース・アクセスを認可するのに 必要なトラスト・ティア、条件を記 述 インベントリ情報を元に、デバイスが アクセス可能なトラスト・ティアを計 算 Source: BeyondCrop - Design to Deployment at Google, ;login: SPRING 2016 VOL.41 計算されたトラスト・ティアと、インベントリ情報、 ユーザ情報とAccess Policyを総合して、リソースへ のアクセス認可を判断する。Policy Decision Point デバイスの状態(インベン トリ情報)を収集、管理する Policy Enforcement Point
  23. 23. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 22 BeyondCorpに到達できるだろうか・・・? Google 15種類のソースから、1日300万件のインベントリ情報(80テラバイト超) B4(データセンターWAN)やAndromeda(GCP仮想化スタック)など、高度なSDN IT内製主義 ブラウザ中心主義 VPNなど専用のソフトウェア不要 ネイティブアプリ向けWebAPI対応も同じ仕組みにのっかる そもそもやりたかったことは何か? ITシステムへのアクセスをよりシームレスかつセキュアにできれば良い ユーザに意識させずに動的にNW境界を組み替える方法はないのか? (ネットワーク境界からの代替アプローチがありそう)
  24. 24. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23 Software Defined Perimeter 動的にNWレベルの境界を構成するためのフレームワーク  米国防総省が開発したコンセプトに、NISTなどのセキュリ ティ標準を組み合わせ、民間利用に転用 概要  制御とデータを取り扱う経路を分ける  ネゴシエーションしなければホストのIPは見えない(秘匿)  目的のホストと動的にセキュア・チャネルを構築  ユーザ認証・認可の細かい方法はスコープ外 デバイス/ユーザ・アイデンティティに基づいたアクセス制御 を導入することが望ましい点は、BeyondCorpと一緒  クライアントアプリが必要なので、スマートデバイスでの対 応は簡単ではないかもしれない Cloud Security Allianceが2013年に”SDP WG”を立上げ  共同議長に 元CIA CTO https://downloads.cloudsecurityalliance.org/initiatives/sdp/Software_Defined_Perimeter.pdf  コカ・コーラ社が先行適用? https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf Client Server Data 通常の通信 制御とデータの両方が直接やり取りされる SDPのコンセプト 制御とデータを取り扱うエンティティを分割する Client ServerData Controller ControlControl Control
  25. 25. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 24 Source: https://cloudsecurityalliance.org/group/software-defined-perimeter/ SDP≒アクセスしたいときにだけ動的に構成されるNW境界 登場人物 Initiating SDP Host SDP Hostに接続を要求するホスト SDP Controller Initiating SDP Hostからの要求に基づき、認 証・認可を行い、Accepting SDP Hostとの 動的なチャネル構築を仲介するコントローラ Accepting SDP Host SDP Contorollerからの認可に基づき、 initiating SDP Hostからの接続を受け入れる 実体としては、例えばアプライアンス機器 更にその裏に実際に配備されているホスト、 またはネットワーク 5. 接続元Initiating SDP Hostからの接続待ち開始 4. アクセス認可対象の Accepting Host決定 1. コントローラがオンライン 3. アクセス認可を要求 (セキュアVPN構築) 2. コントローラと セキュアVPN構築 7. セキュアVPN構築 6. 接続先Accepting SDP HostのIPリストを受領
  26. 26. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25 アイデンティティを軸に統合された広義の企業ネットワーク 企業内ネットワーク アイデンティティを軸に広がる企業ネットワーク アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ セキュアクラウド利用 (CASB) データ・セキュリティ ガバナンス モバイル アクセス ゲートウェイ あらゆる場所から 社内同様にアクセス (BeyondCorp/SDP) ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  27. 27. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 26 まとめ クラウドサービス利用やリモートアクセスの課題を解決するために、 セキュリティ境界がネットワークからアイデンティティに変わっていく IDaaSなどを利用したクラウドサービスに対するユーザビリティ向上、 統合認証への組み込み、ID管理の範囲拡大が必要となる Shadow ITを解決するソリューションとして、CASBはアイデンティティを 軸にクラウドサービスと連携してIT統制をかけていく モバイルからシームレスに企業内リソースへアクセスするために、 デバイス/ユーザのアイデンティティに基づいたアクセス制御が重要である
  28. 28. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル TEL:03-6706-0500 E-mail:info@nri-secure.co.jp HomePage:http://www.nri-secure.co.jp この資料に掲載されている社名、製品名などは、各社の表示、商標または登録商標です。

×