次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020

次世代IDaaSのポイントは本人確認
～NISTと、サプライチェーンセキュリティと、みなしごID～
(OpenIDファウンデーションジャパン向け公開版)
2020年1月24日
エクスジェン・ネットワークス株式会社
代表取締役江川淳一

Copyright© 2020 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
EXGENの紹介
創立 2000年8月24日
従業員数 32名(男性26名、女性6名）
本社千代田区神田小川町1-11 千代田小川町クロスタ
11F (最寄駅)淡路町、小川町
業務内容
・ID管理パッケージソフト製造販売
・IDaaS
(製品/サービス名)
LDAP Manager / Extic
(売上規模) ￥5.5億/年
ID管理一筋
19年5か月
LDAP Manager導入実績
700社
2018年度ID管理市場シェNo.1
(*1)
(*1)LDAP Managerは、2018年度のID統合管理製品の国内導入社数で27.5%のトップシェアを獲得している。
（出典：富士キメラ総研「2019ネットワークセキュリティビジネス調査総覧」 (2019年11月刊)）
1

本日のお話し
2
Identity is the new perimeter
~益々、重要性を増す認証基盤~
昨年の認証業界TOPICS～新たな要件の発生
①
Identity Management for Enterprise
~認証基盤要件の歴史、概要、IDaaSの選定ポイント~
②
③
新たな要件への対応/次世代IDaaSに必要な機能④
1. サプライチェーンセキュリティ～本人確認
2. 本人確認～本人特定
3. みなしごID
1. 本人確認＆属性保証
2. FIDO
3.みなしごIDセンター(詳細説明は割愛します)

1. Identity is the new perimeter
3
1.1 情報通信白書
(出典)総務省情報通信白書令和元年版
インターネットの普及の推移と
主要なコミュニケーションサービスの開始時期移動通信サービスの普及と進化
平成時代の象徴はインターネットと携帯電話

4
1.1 情報通信白書
(出典)総務省情報通信白書令和元年版世界経済フォーラム「The Global Risks Report 2019」
グローバルリスクの
発生可能性と影響規模
サイバー攻撃
データの不正利用または窃盗

従業員ITリソース
セキュリティの確保
Identity is the new perimeter
Firewall was the perimeter
5
1.2 IT環境の激しい変化

某社
ドメイン
No Privacy
BYOD
最新パッチ
BYOD
最新パッチ
BYOD
最新パッチ
BYOD
最新パッチ
ID管理!
1.3 某大手ソフトベンダーのサイバーセキュリティ対策
6

7
ゼロトラスト下での 3 原則
⚫ 場所に関係なく、全てのリソースに安全にアクセスできることを保証する
⚫ すべてのトラヒックのログを調査する
⚫ ネットワーク型のセキュリティをアイデンティティ型のセキュリティに変え
る
対策として重要な3 点
⚫ アクセスが許可される前は、全ての内部・外部の接続要求を信用しない
⚫ 誰がアクセスしてきたかがわかるまでは、ネットワークを閉じておく
⚫ 認証されるまでは IP アドレス、デバイスなどのアクセスを許可しない
CSA Japanの「SDP利用シナリオ集」より
1.4 ゼロトラストモデル
ID管理!! → 認証基盤整備

2.1 認証基盤整備要件
・企業や教育機関は組織変更/人事異動に対する迅速な対応が必要です。
・新入社員新入生の入社に伴う、ユーザIDの登録
・人事異動、進級に伴う、アクセス権限の変更
・退職、卒業に伴う、ユーザIDの無効化・削除
認証・ID管理効率化
セキュリティ強化
クライアント・サーバシステムの増殖 → 認証・ID管理の煩雑性が顕著
統制強化
~2005 2006～2016 2017
2003 個人情報保護法
2006 J-SOX
2009 リーマンショック
認証基盤整備要件 2018
2004 顧客情報漏えい事件多発
平成の象徴はインターネット・携帯電話
クラウド・モバイルの普及
物理セキュリティの崩壊
→ Identity is
the new perimeter
2. Identity Management for Enterprise
サイバー攻撃リスク
データ不正利用・窃盗
8

ID管理
ID Management
認証
Authentication
認可
Authorization
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
2.2 ID運用管理フロー
棚
卸
〔ID Life cycle Management〕
ID(属性)情報の鮮度を保つしくみ
システム利用者のアクセス権限に応じて
システム利用を制御するしくみ
〔Provisioning〕
認証や認可に必要な属性情報を配信するしくみ
システム利用者が本人か
どうかを確認するしくみ
9

アプリケーション
認証基盤
10
ID管理
ID Management
認証
Authentication
認可
Authorization
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
2.3 認証基盤とアプリの位置
Federation
Provisioning
SaaSとして提供される
→IDaaS
棚
卸

(出典)総務省情報通信白書令和元年版
11
2.4 情報システムの進化と変遷(集中処理と分散処理)

Copyright© 2020 EXGEN NETWORKS Co.,LTD. All Rights Reserved.12
2.4 情報システムの進化と変遷(集中処理と分散処理)
provisioning人事情報
DB
ID Life cycle
Management
ID情報
マスター
DB
アプリ①
ID情報
アプリ③
ID情報
アプリ②
ID情報
属性ID PWD
属性ID PWD
属性ID PWD
2013年頃から
ID Life cycle
Management
IdP
認証DB
アプリ①
ID情報
アプリ③
ID情報
アプリ②
ID情報
provisioning人事情報
DB
ID情報
マスター
DB
PWDID
Federation
属性ID
属性ID
PWDID
属性
アプリから見ればクラウドやら
オンプレやら分散進む
認証DBから見ればFederationで統合
化の方向だが、ID情報は、分散進む
Federation
未対応アプリ

① SaaS連携の充実度合い
・Provisioning & Federation連携
・Pre-integration
以前は、顧客ニーズに応じてSierが
構築していた部分をIDaaSベンダーが
IDaaSの連携機能として、実装する。
→顧客にとってはSI費用削減につながる。
13
2.5 IDaaS選定のポイント
② ID管理機能の充実度合い
・オンプレ連携
③ 24/365の監視サービス
・認証ログ & ID情報メンテナンスログ
監視
・脆弱性対策
アプリから見ればクラウドやら
オンプレやら分散進む
認証DBから見ればFederationで統合
化の方向だが、ID情報は、分散進む

政府は調達先の防衛関連企業に包括的なサイバー防衛に関する計画の策定
を義務付ける方針
政府に直接計画を提出しないものの下請企業も同水準の対応が求められる
可能性がある
3.1 サプライチェーンセキュリティ～本人確認
米国国防総省は取引先企業にNIST SP800-171と呼ばれる基準
に基づくサイバー防衛に関する計画の策定を義務付けている
米国国防総省は下請け企業にも同水準の対応を義務付けている
個社単位でのセキュリティ対策だけではなく、サプライチェーン全体での
セキュリティ対策が求められ始めた
3. 昨年の認証業界TOPICS～新たな要件の発生
(出典) 日経新聞 2019年3月14日の記事より

NIST(National Institutional of Standards and Technology) 国立標準技術研究所
この中でコンピュータセキュリティに関する研究を行っているITL (Information Technology Laboratory/情報
技術研究所) の中のCSD（Computer Security Division）が発行する「連邦政府情報システムのためのセキュリ
ティ規格」や「サイバーセキュリティに関する実装ガイドライン」がSP800シリーズ
NIST SP800-53
NIST SP800-63
NIST SP800-171
Security and Privacy Controls
Electronic Authentication Guideline
具体的
要件
連邦政府以外の組織を対象とした、CUI (Controlled Unclassified Information)
を保護するためのガイドライン
連邦政府機関の情報システムが最低限満たすべきセキュリティ要件を
体系化したガイドライン
連邦政府機関の情報システムに対しての電子認証ガイドライン
33/77 IDに関わる要件
3.1 サプライチェーンセキュリティ～本人確認

エクソスターは、サプライチェーンサイ
バーセキュリティ対策として、富士通と共
同で利用希望企業の
従業員と面接し、
身元を確認してからIDを発行する。
信頼できる利用者だけがクラウドに
接続するので安全性を担保しやすい。
軍事機密を扱う人間を限定する
「セキュリティークリアランス」
を応用した民間向けサービスは、
国内では珍しい。
16
3.2 本人確認～本人特定
人
ID
Credential
サイバー
リアル
IDとCredentialを発行
するときに発行する相手
が間違いなく本人か？
初期登録
サービス
IDとCredentialを利用してい
る人が、間違いなく本人か？
サービス利用時
サービス
利用
身元(本人)確認成りすましされ易いIDは危険継続性本人特定
・学外からアクセスする通信教育の受講者は本当に本人か？
■(大学事例) 電子教材 x 通信教育受講者

3.3 みなしごID
X
管理する組織がない ID
身元保証する組織がない ID

【NIIリサーチデータクラウド】
• 機関リポジトリ＋分野別リポジトリやデー
タリポジトリとも連携
• 研究者や所属機関、研究プロジェクトの情
報とも関連付けた知識ベースを形成
• 研究者による発見のプロセスをサポート
長期保存対応ストレージ領域
Cold
Storage
Cold
Storage
Cold
Storage
Hot
Storage
Hot
Storage
Hot
Storage
データ公開基盤
メタデータ集約・管理
知識ベースの構築
成果論文研究データ
機関向け研究データ管理公開・蓄積管理・保存
検索・利用
非公開共有公開
• データ管理基盤における簡便な操作で研究
成果の公開が可能
• 図書館員やデータキュレータによる、メタ
データや公開レベル統計情報などの管理機
能の提供
• データ収集装置や解析用計算機とも連携
• 研究遂行中の研究データなどを共同研究者
間やラボ内で共有・管理
• 組織が提供するストレージに接続した利用
が可能
分野別
リポジトリ
海外の
研究データ
公開基盤
DOI ORCIDデータ検索基盤
by
直結
アクセスコントロール
実験データ
収集装置
解析用
計算機
データ管理基盤
次期
3.3 みなしごID
(出典) 国立情報学研究所 RCOS説明資料

3. 2019年の認証業界TOPICS～新たな要件の発生
3.3 みなしごID
■NIIリサーチデータクラウド x 社会人研究者、学認未参加大学の研究者
・NIIリサーチデータクラウドは認証を学認(Shibboleth)で行う。
PI(Principal Investigator)がNIIのリサーチデータクラウドを利用して、様々な研究者と
共同研究を行う場合、企業や学認未加入大学の研究者には、共同研究用の(Shibboleth)ID
がないため、彼らとは研究データ共有ができない。
・大学は、学生ID、教員ID、職員IDは構成員として管理するが、企業研究者IDについては、
運用負荷が大きく、管理するモチベーションがない。
・学認未加入大学の研究者の所属する大学や、企業の研究者が所属する企業はNIIリサーチ
データクラウドを利用できるようにするためだけにShibbolethを構築したり、学認に
参加し、運用規則に沿った運用を行うのは負荷が高い。
・NIIがサービスを企業や学認未加入大学の研究者に提供するためには、アクセスしてきた
IDがPIにより招待された正規の研究者であることを確認したい。
NIIリサーチデータクラウドを利用するにあたり、
企業や学認未加入大学の研究者IDを管理する組織がない
企業や学認未加入大学の研究者IDを身元保証する組織がない

法人学校数※1 学認参加校※2
国立大学 86校 75校
公立大学 93校 21校
私立大学 607校 68校
高等専門学校 57校※3 52校
研究所未調査 8機関
合計（大学のみ）786校 224校
※1：文部科学省の「令和元年度学校基本調査」より
http://www.mext.go.jp/b_menu/toukei/chousa01/kihon/1267995.htm
※2：2019年11月末現在：学認HPよりIdP一覧から大学のみを抜粋
https://www.gakunin.jp/participants/
※3：文部科学省の「令和元年度学校基本調査」より、国立、公立、私立の合計
http://www.mext.go.jp/b_menu/toukei/chousa01/kihon/kekka/k_detail/1419591.htm
令和元年度の法人別学校数と学認参加校の内訳
国立大学
34%
公立大学
9%
私立大学
30%
高等専門学校
23%
研究所
4%
学認参加校の内訳グラフ
3.3 みなしごID
20

3.3 みなしごID
■卒業生向けサービス x 卒業生
・大学は、卒業生に対して、関係性を維持するために、様々な電子サービスを提供したいが、
現状できていない。
卒業生は、例えば、在学中に利用した電子教材を卒業後も継続して利用したい場合も
あるが、卒業生サービス事業者は現状、提供できていない。
・大学は、学生ID、教員ID、職員IDは構成員として、管理するが、卒業生IDについては、
運用負荷が大きく、管理するモチベーションがあまりない。
・卒業生向けサービス業者がサービスを卒業生に提供するためには、アクセスしてきたIDが
契約のある大学の卒業生であることを確認したい。
卒業生向けサービスを利用するにあたり、
卒業生IDを管理する組織がない
卒業生IDを身元保証する組織がない

■サプライチェーン内での共有情報 x 認証基盤が整備されていない中小企業
・中小企業サプライヤーではFederationに対応した認証基盤を整備していない組織が多数ある。
・中小企業サプライヤーでは、サプライチェーン内で情報を共有できるようにするためだけに
SAMLを構築、運用を行うのは負荷が高い。
・中小企業サプライヤーがFederationに対応した認証基盤を整備していても、OEM (完成品
メーカー)や大規模部品メーカーと中小企業サプライヤーで、ID運用管理ルールに関する
セキュリティレベルに差があり、トラストを保つことが難しい。
・OEMや大規模部品メーカーが情報共有を行うためには、アクセスしてきたIDが正規の
中小企業サプライヤーのIDであることを確認したい。
・ OEM (完成品メーカー)は、サプライチェーン内で、情報共有を行いたいが、中小企業
サプライヤーのIDについては、運用負荷が大きく、管理するモチベーションがあまりない。
・Exostarのように本人確認～ID発行を含むIDaaSがまだ普及していない。
3.3 みなしごID
サプライチェーン内で情報共有するにあたり、
認証基盤が整備されていない中小企業IDを管理する組織がない
認証基盤が整備されていない中小企業IDの身元保証する組織がない

4. 新たな要件への対応/次世代IDaaSに必要な機能
4.1 ポイント
本人確認～保証された属性情報
FIDOで本人特定された ID
X
みなしごを管理するセンターを作るID
X

Proofer
24
ID管理
ID Management
認可
Authorization
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
Federation
収
集
確
認
検
証
本人確認
Proofing
発
行人事情報
DB
IDとCredentialを
正規ユーザに発行するしくみ
認証
Authentication
トラスト
アンカー
確
認
検
証
アカウント
発行申請書
4.2 本人確認～保証された属性情報 [新ID運用管理フロー]
棚
卸
誰が
確認する
？
誰が
保証する
？

確
認
検
証
アカウント
発行申請書
ID管理
ID Management
認可
Authorization
収
集
確
認
検
証
削
除
発
行
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
Federation
人事情報
DB
〔属性保証〕
トラストアンカーによってID(属性
情報の塊)の本人性を担保するしくみ
認証
Authentication
Proofer
トラスト
アンカー
IDとCredentialを
本人確認
Proofing
属性
保証
4.2 本人確認～保証された属性情報
棚
卸
誰が
確認する
？
誰が
保証する
？

収
集
確
認
検
証
本人確認
Proofing
発
行人事情報
DB
ID管理
ID Management
認可
Authorization
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
Federation
IDとCredentialを
認証
Authentication
NIST SP800-63 AAL
NIST SP800-63 IAL
確
認
検
証
アカウント
発行申請書
Proofer
トラスト
アンカー
〔属性保証〕
属性
保証
4.2 本人確認～保証された属性情報 [新ID運用管理フローとNISTの位置]
棚
卸

アプリケーション
誰が？
ID管理
ID Management
認可
Authorization
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
Federation
収
集
確
認
検
証
本人確認
Proofing
発
行人事情報
DB
IDとCredentialを
認証
Authentication
Proofer
トラスト
アンカー
確
認
検
証
アカウント
発行申請書
Exostar
富士通
Lockheed Martin
Boeing
Raytheon
BAE Systems
Rolls-Royce
米国国防総省
〔属性保証〕
属性
保証
4.2 本人確認～保証された属性情報 [Exostarの例]
棚
卸
富士通と共同で利用希望企業の従業員と面接し、身元を確認してからIDを
発行する。信頼できる利用者だけがクラウドに接続するので安全性を担保
しやすい。軍事機密を扱う人間を限定する「セキュリティークリアランス」
を応用した民間向けサービスは、国内では珍しい。

成りすましされ
易いIDは危険
28
4.3 FIDOで本人特定されたID
人
ID
Credential
サイバー
リアル
IDとCredentialを発行
するときに発行する相手
が間違いなく本人か？
初期登録
サービス
IDとCredentialを利用してい
る人が、間違いなく本人か？
サービス利用時
サービス
利用
成りすましされ難い認証方式によ
り、認証が継続して成功している
ことで本人の正当性が証明できる
(出典) FIDO ALLIANCE JAPAN 資料

確
認
検
証
アカウント
発行申請書
次世代IDaaS
発
行
ID管理
ID Management
認可
Authorization
収
集
確
認
検
証
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加
ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
人事情報
DB
4.4 次世代IDaaS
認証
Authentication
Proofer
トラスト
アンカー
本人確認
Proofing
〔属性保証〕
属性
保証
IDとCredentialを
Federation
ProvisioningFIDO

確
認
検
証
アカウント
発行申請書
次世代IDaaS
発
行
ID管理
ID Management
認可
Authorization
収
集
確
認
検
証
削
除
変
更
棚
卸
追
加
削
除
変
更
追
加
削
除
変
更
追
加ID情報
マスターDB
(LDAP/AD)
認証
DB
認可
DB
棚
卸
ユーザ
DB
人事情報
DB
4.5 次世代IDaaSの4要素技術
認証
Authentication
本人確認
Proofing
属性
保証
Federation
Provisioning
棚
卸
FIDO
Proofing
Federation
Provisioning
FIDO

次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020

More Related Content

What's hot

Similar to 次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020

More from OpenID Foundation Japan

Recently uploaded

次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020