Tatsuo Kudo, profile picture
Uploaded byTatsuo Kudo
PDF, PPTX8,671 views

アイデンティティ (ID) 技術の最新動向とこれから

Prepared for 2018/03/23 クラウド時代の次世代認証セミナー http://openstandia.jp/event/event20180323.html

Embed presentation

Download as PDF, PPTX
アイデンティティ(ID)技術の最新動向とこれから 2018年3月23日 NRIセキュアテクノロジーズ株式会社 サイバーコンサルティング部 ID&APIコンサルティングチーム 工藤達雄
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1  工藤達雄 https://www.linkedin.com/in/tatsuokudo  サン・マイクロシステムズ (1998~2008)  野村総合研究所 (2008~)  OpenIDファウンデーション・ジャパン (2013~2014)  NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とするコンサルティングに従事 自己紹介
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. アイデンティティ & アクセス管理 (IAM)をとりまく状況
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証 アイデンティティ & アクセス管理 (IAM)の役割
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ連携 / SSO エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー アイデンティティ & アクセス管理 (IAM) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 最近のIAMのユースケース  「アイデンティティこそがペリメーター」  ネットワークや端末ではなく、ユーザーのアイデンティティを起点に アクセス制御を行うべきという考えかた  “BeyondCorp”  Google社は従業員向けシステムをすべてパブリックに配置し、ユー ザーとデバイスのアイデンティティを用いてアクセスを制御 セキュリティ & IAM Source: Cloud Identity Summit 2012 TOI http://www.slideshare.net/tkudo/cis2012toi, BeyondCorp: Beyond “fortress” security https://conferences.oreilly.com/security/sec-ny/public/schedule/detail/61327
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 最近のIAMのユースケース  ユーザーからエッジゲートウェイ、サービスメッシュ、既存システムに至るまで、エンドツーエンドのアイデンティティが必要になる マイクロサービスアーキテクチャ & IAM 従来の3層アーキテクチャ これからのマイクロサービスアーキテクチャ • 既存システムの前段に、外部向けAPIの管理を行う層と、バックエンド接続のイ ンテグレーション層を配置 • ユーザー(APIクライアント)によらず単一のAPIを提供 • 外部向けのAPI管理層とは別に、マイクロサービスがそれぞれ自前のAPIゲート ウェイ(”side car”)を持つ → サービスメッシュ • エッジゲートウェイが、APIクライアント(デスクトップ、モバイル、パートナー、…) の特性に適したAPIセットを提供 Source: Microservices Solution Patterns https://medium.com/microservices-learning/microservices-solution-patterns-3a58526dbc9e
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 最近のIAMのユースケース  ユーザーの設定や好みを、所有する・しない、あるいはクルマである・ないにかかわらず、移動手段に持ち込んでパーソナライズするこ とが期待される。また一方で、クルマに対してアクセスする人・組織が多様になっていく IoT & IAM Source: Key Success Factors for Connected Vehicle, Ride-share and Multi-Modal Transportation Models https://www.slideshare.net/covisint/key-success-factors-for-connected-vehicle-rideshare-and-multimodal-transportation-models
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 最近のIAMのユースケース  ユーザーの同意に基づいて残高参照や取引機能をサードパーティに提供する「オープンAPI」への取り組みが広がっている Fintech & IAM Source:オープンAPIのあり方に関する全銀協の検討状況 http://www.fsa.go.jp/singi/singi_kinyu/financial_system/siryou/20161028/02.pdf
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMの進化・分化・融和
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 IAMに対する2種類の異なるニーズ 社内システムのIDを統一したい Windowsログオンと連携してSSOしたい 組織・職掌に基づいて権限を付与したい 不要になったID・権限を無効化したい OA機器や什器の手配と連携したい … 数千万ユーザーを管理したい 新規登録者を増やしたい いろいろなアクセス環境に対応したい 不正アクセスを検知・対応したい サービス展開までの期間を短縮したい … EIAM エンタープライズ IAM CIAM コンシューマー IAM
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 EIAM (エンタープライズIAM) ユーザー情報/アクセス権限情報の散在はエンドユーザー/運用の双方にとって問題となる システム A 従業員A 従業員B 従業員C ID パスワード A user_a as09135#$ B 10341 FbPlkh2d C tsato cliaKnGd ID パスワード B 10342 lkqg94sdc C hsawa lkqg94sdc ID パスワード C user_c abcd1234 C rmiki iloveyou システム B システム C ID パスワード 氏名 所属 … user_a as09135#$ 佐藤太郎 営業部 … user_c abcd1234 三木良 経理部 … … … … … … ID パスワード 氏名 ロール … 10341 FbPlkh2d 佐藤太郎 Sales … 10342 lkqg94sdc 沢博美 HR … … … … … … ID パスワード 氏名 拠点 … tsato cliaKnGd 佐藤太郎 東京 … hsawa lkqg94sdc 沢博美 大阪 … rmiki iloveyou 三木良 福岡 … … … … … … システムAのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムAのID/ パスワードで ログイン エンドユーザー側の問題 • 異なるID/パスワードで毎回ログインが必要 • 安易なパスワード文字列や使い回しが横行 • システムが利用可能になるまで時間を浪費 業務(運用)側の問題 • パスワード忘れへの問い合わせ対応 • ID/パスワードのシステム個別の管理 • ユーザ追加・削除対応/ユーザー情報/アクセ ス権限情報の最新化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 EIAM (エンタープライズIAM) ユーザー認証を一元化する「認証基盤」の登場 「認証基盤」 システム A ID パスワード SSO tsato cliaKnGd ID パスワード SSO hsawa lkqg94sdc ID パスワード SSO rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン システムA にアクセス システムB にアクセス システムC にアクセス ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … エンドユーザーが意識するID/パス ワードが単一になるとともに、何度 もログインする必要がなくなる パスワード管理とユーザー認証が 不要になり、運用者の負担が軽減 される 従業員A 従業員B 従業員C
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 EIAM (エンタープライズIAM) 「認証基盤」だけでは組織全体のID/アクセス権限を管理しきれない 従業員A 従業員B 従業員C 「統合認証基盤」 システム A ID パスワード SSO tsato cliaKnGd D u101 98LKala@ ID パスワード SSO hsawa lkqg94sdc D u102 lkqg94sdc ID パスワード SSO rmiki p098aPPO D u103 happyday システム B システム C SSO システム ディレクトリ システム ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … システム D ID パスワード 氏 名 … u101 98LKala@ 佐藤 太郎 … u102 lkqg94sdc 沢 博美 … u103 happyday 三木 良 … … … … … … temp changeit 保守 担当 システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン 運用 担当者 追加、変更、 削除、… 認証基盤に集中化できないシステムのID/ アクセス管理が独立して残り続けてしまう ID/アクセス権限情報の管理を運用 担当者に任せてしまっている
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 EIAM (エンタープライズIAM) 「認証基盤」+「アイデンティティ管理」 へ 従業員A 従業員B 社外 パートナー 「統合認証基盤」 システム A ID パスワード 共通 tsato cliaKnGd ID パスワード 共通 hsawa lkqg94sdc ID パスワード 共通 rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム 共通ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki iloveyou 三木良 福岡 経理部 Finance … … … … … … システム D 「統合アイデンティティ管理」 アイデンティティ 管理システム 共通ID パスワード 氏 名 … tsato cliaKnGd 佐藤 太郎 … hsawa lkqg94sdc 沢 博美 … rmiki p098aPPO 三木 良 … … … … … … temp changeit 保守 担当 人事情報 システム パート ナー管理 システム 一般 社員 部門長 担当 役員 利用申請 承認 統制状況 の把握 ユーザー情報 /アクセス 権限情報の 設定・検証 マスター情報 の取り込み ユーザー情報/ アクセス権限 情報の設定・検証 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 EIAM (エンタープライズIAM) エンタープライズIAMの進化 SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム A システム B システム C オンプレIAM クラウドIAM 社外 環境 パートナー 事務所等 社内 環境 SaaS B システム A システム B システム C オンプレIAM SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム B クラウドIAM 第1世代 伝統的オンプレ中心IAM 第2世代 ハイブリッドIAM 第3世代 クラウド中心IAM V P N V P N ID管理者 ID管理者 ID管理者 G会社 パートナー 多要素 認証 マネージドデバイス 多要素認証 CASB SSO ID同期(ユーザ情報配信)
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 CIAM (コンシューマーIAM)  キャリアグレードのディレクトリ・サーバー (circa 2003) CIAMの萌芽は通信業界 Source: @IT:連載 次世代コミュニケーションサービスを担うJAIN(前編)http://www.atmarkit.co.jp/fjava/special/jain01/jain01.html
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 CIAM (コンシューマーIAM) たんなる「認証リポジトリ」から、顧客の体験とセキュリティを高めるための役割を担うように • スムーズな新規会員登録 • ログインの省力化・簡略化 • サービスのパーソナライゼーション • レスポンス時間の短縮 • 使いやすいWebサイト/モバイルアプリケーション • … 顧客体験を どう高めるか • リスクベース認証 • 不正検知 • 自己情報のコントロール • … 顧客に安心を どう提供するか
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 CIAM (コンシューマーIAM) コンシューマーIAMの機能 Source: The 8 Critical Areas of Consumer Identity and Access Management to Prepare for in 2018 https://www.kuppingercole.com/watch/ciam_critical_areas
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 EIAMとCIAMの比較 EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 高 ロール(役割・職掌) 複雑 単純 アプリケーション数 数十~数百 ~数十 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 高 ユーザー認証 確からしさ重視 利便性重視 ビジネスとの関係 業務効率化 売上最大化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23  ITのコンシューマライゼーション、APIエコシステム、Bring Your Own、多要素認証、… オーバーラップするEIAMとCIAM EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 → 高 高 ロール(役割・職掌) 複雑 単純 → 複雑 アプリケーション数 数十~数百 ~数十 → 数千 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 → 高 高 ユーザー認証 確からしさと利便性も重視 利便性と確からしさも重視 ビジネスとの関係 業務効率化 売上最大化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMを構成する技術仕様
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 EIAM/CIAMを構成する技術はどちらも同じようなものになってきている Source: Internet of Things Security & Privacy https://www.slideshare.net/ChrisAdriaensen/internet-of-things-security-privacy-82981990 EIAM CIAM いま API認可 WS-* 内製独自仕様 OAuth SSO/ID連携 製品独自仕様 or SAML 内製独自仕様 or SAML or OpenID OpenID Connect ID情報同期 CSV渡し/DB 製品独自仕様 独自データ連 携 SCIM ユーザー認証 製品独自仕様 内製独自仕様 FIDO
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 27 B2Eにおける適用例 業務 システム 社員 APP ID管理/ SSO/ API管理 ユーザー認証 アクセス試行 API アクセス Slack, Facebook at Work etc. 業務 SaaS アクセス試行 社員・組織情報 の伝播 社員ID情報の 同期 人事 システム 社員IDでクラウドサービスにSSO 業務システムの各種API へのアクセス許可要求 業務システム フロントエンド API ゲートウェイ レガシー 接続
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 28 B2Cサービスにおける適用例 各種API 一般生活者 APP サードパーティ APIクライアント (Webサイトなど) “Google Identity Platform” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 Googleの各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 Google Accountでログイン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 29 API サーバー OAuthとOpenID Connectとの関係 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 (OpenID Connect) サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 30 金融機関 (サービス事業者) 資産管理サービスにおけるOAuth 2.0とOpenID Connect (OIDC) を用いた認証・認可フローの例 NRI ITソリューションフロンティア Vol.33 No.08 https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf に加筆 サードパーティはAPIアクセス許可依頼 とユーザー認証依頼を同時に実行 口座所有者 (エンドユーザー) 資産管理FinTech企業 (サードパーティ) サービス事業者はエンドユーザーに アクセス許可を確認 サービス事業者はサードパーティに 「アクセストークン(APIアクセス許可 情報)」と「IDトークン(認証結果)」を返却 サードパーティは認証結果をもとに エンドユーザーの当人確認を行い、 必要に応じてユーザーを新規登録 サードパーティはアクセストークンを 用いてサービス事業者のAPIを呼び出し サービス事業者はエンドユーザーを 認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 31 OpenID Foundation “Financial API (FAPI) WG” http://openid.net/wg/fapi/  策定を進めている仕様  APIセキュリティ・プロファイル ▪ Part 1: 「読み出し専用」 API ▪ Part 2: 「読み書き」 API  API仕様 ▪ Part 3: オープンデータAPI ▪ Part 4: 保護対象データAPIおよびスキーマ - 「読み出し専用」 ▪ Part 5: 保護対象データAPIおよびスキーマ - 「読み書き」  認可サーバー、クライアント、 リソースサーバーに対する 「セキュリティ条項 (Security Provisions)」を規定
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 32 これからのアイデンティティ & API セキュリティスタック Source: Forging a Modern Cloud-first Identity Ecosystem for a 125-year-old Startup https://www.slideshare.net/identityhutch/forging-a-modern-cloudfirst-identity-ecosystem-for-a-125yearold-startup アイデンティティ & 認証コンテクスト アイデンティティAPI セッション管理 クライアント登録 サービス・ディスカバリー 署名付きリクエスト アサーション認証 暗号化/署名/鍵 構造化トークン ミティゲーション & プルーフ 拡張認可フロー トークン・イントロスペクション トークン失効 ユーザー/クライアント認可 オブジェクト記法
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. まとめ
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 34 まとめ 新たなITサービスやアーキテクチャが多数登場する中、 アイデンティ&アクセス管理(IAM)の役割は従来以上に 高まっている エンタープライズIAM(EIAM)とコンシューマーIAM(CIAM) という2種類の異なるIAMがあるが、機能のオーバーラップが 進んでいる EIAMとCIAMは共通のアイデンティティ技術仕様の 採用に向かっている
アイデンティティ (ID) 技術の最新動向とこれから

More Related Content

PDF
Keycloak拡張入門
byHiroyuki Wada
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PDF
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
byToru Makabe
 
PDF
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PDF
3分でわかるAzureでのService Principal
byToru Makabe
 
PPTX
Istioサービスメッシュ入門
byYoichi Kawasaki
 
PDF
Keycloak & midPoint の紹介
byHiroyuki Wada
 
Keycloak拡張入門
byHiroyuki Wada
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
byToru Makabe
 
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
3分でわかるAzureでのService Principal
byToru Makabe
 
Istioサービスメッシュ入門
byYoichi Kawasaki
 
Keycloak & midPoint の紹介
byHiroyuki Wada
 

What's hot

PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
PDF
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 
PDF
Cognito、Azure ADと仲良くしてみた
byTakafumi Kondo
 
PDF
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
byTatsuo Kudo
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PDF
これからLDAPを始めるなら 「389-ds」を使ってみよう
byNobuyuki Sasaki
 
PDF
DockerとKubernetesをかけめぐる
byKohei Tokunaga
 
PDF
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
byRecruit Lifestyle Co., Ltd.
 
PDF
次世代 KYC に関する検討状況 - OpenID BizDay #15
byOpenID Foundation Japan
 
PDF
[CEDEC 2021] 運用中タイトルでも怖くない! 『メルクストーリア』におけるハイパフォーマンス・ローコストなリアルタイム通信技術の導入事例
byNaoya Kishimoto
 
PDF
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
PDF
オンプレ×Google Cloud PlatformなML基盤におけるRancherの活用
byMicroAd, Inc.(Engineer)
 
PDF
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
PDF
XunitとMoq 公開用
byESM SEC
 
PPTX
コンテナネットワーキング(CNI)最前線
byMotonori Shindo
 
PDF
GPU仮想化最前線 - KVMGTとvirtio-gpu -
byzgock
 
PDF
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
PPTX
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
byOpenID Foundation Japan
 
PDF
インフラエンジニアの綺麗で優しい手順書の書き方
byShohei Koyama
 
PPTX
メールシステムのおはなし #Mailerstudy
byYasuhiro Araki, Ph.D
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 
Cognito、Azure ADと仲良くしてみた
byTakafumi Kondo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
byTatsuo Kudo
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
これからLDAPを始めるなら 「389-ds」を使ってみよう
byNobuyuki Sasaki
 
DockerとKubernetesをかけめぐる
byKohei Tokunaga
 
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
byRecruit Lifestyle Co., Ltd.
 
次世代 KYC に関する検討状況 - OpenID BizDay #15
byOpenID Foundation Japan
 
[CEDEC 2021] 運用中タイトルでも怖くない! 『メルクストーリア』におけるハイパフォーマンス・ローコストなリアルタイム通信技術の導入事例
byNaoya Kishimoto
 
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
オンプレ×Google Cloud PlatformなML基盤におけるRancherの活用
byMicroAd, Inc.(Engineer)
 
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
XunitとMoq 公開用
byESM SEC
 
コンテナネットワーキング(CNI)最前線
byMotonori Shindo
 
GPU仮想化最前線 - KVMGTとvirtio-gpu -
byzgock
 
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
byOpenID Foundation Japan
 
インフラエンジニアの綺麗で優しい手順書の書き方
byShohei Koyama
 
メールシステムのおはなし #Mailerstudy
byYasuhiro Araki, Ph.D
 

Similar to アイデンティティ (ID) 技術の最新動向とこれから

PDF
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PPTX
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
PDF
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
byOpenID Foundation Japan
 
PPTX
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
byNaohiro Fujie
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PDF
SaaS としての IDM の役割
byjunichi anno
 
PDF
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
PDF
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
PPTX
諸外国の国民ID制度 #idcon 13th
byNov Matake
 
PPTX
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
PDF
クラウド過渡期、Identityに注目だ! idit2014
byEgawa Junichi
 
PPTX
20110929 クラウド連携において企業内ID管理基盤に求められるもの
byNaohiro Fujie
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
PDF
Security days 2015
byManabu Kondo
 
PDF
Panel fujie 20120828
byNaohiro Fujie
 
PPTX
Dfuke oidfj tn10
byDaisuke Fuke
 
PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
PDF
クラウドにおける Windows Azure Active Directory の役割
byjunichi anno
 
PDF
Id&it2013 iamの理想と真実
byEgawa Junichi
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
byOpenID Foundation Japan
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
byNaohiro Fujie
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
SaaS としての IDM の役割
byjunichi anno
 
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
諸外国の国民ID制度 #idcon 13th
byNov Matake
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
クラウド過渡期、Identityに注目だ! idit2014
byEgawa Junichi
 
20110929 クラウド連携において企業内ID管理基盤に求められるもの
byNaohiro Fujie
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
Security days 2015
byManabu Kondo
 
Panel fujie 20120828
byNaohiro Fujie
 
Dfuke oidfj tn10
byDaisuke Fuke
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
クラウドにおける Windows Azure Active Directory の役割
byjunichi anno
 
Id&it2013 iamの理想と真実
byEgawa Junichi
 

More from Tatsuo Kudo

PDF
金融APIセキュリティの動向・事例と今後の方向性
byTatsuo Kudo
 
PDF
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
byTatsuo Kudo
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
英国オープンバンキング技術仕様の概要
byTatsuo Kudo
 
PDF
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
byTatsuo Kudo
 
PDF
オープン API と Authlete のソリューション
byTatsuo Kudo
 
PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
PDF
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
byTatsuo Kudo
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PDF
Authlete: API Authorization Enabler for API Economy
byTatsuo Kudo
 
PDF
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
PDF
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
byTatsuo Kudo
 
PDF
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
byTatsuo Kudo
 
PDF
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
PDF
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
byTatsuo Kudo
 
PDF
APIエコノミー時代の認証・認可
byTatsuo Kudo
 
PDF
Trends in Banking APIs
byTatsuo Kudo
 
PDF
銀行APIのトレンド #fapisum
byTatsuo Kudo
 
PDF
Japan/UK Open Banking and APIs Summit 2018 TOI
byTatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
byTatsuo Kudo
 
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
byTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
英国オープンバンキング技術仕様の概要
byTatsuo Kudo
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
byTatsuo Kudo
 
オープン API と Authlete のソリューション
byTatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
byTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
byTatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
byTatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
byTatsuo Kudo
 
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
byTatsuo Kudo
 
APIエコノミー時代の認証・認可
byTatsuo Kudo
 
Trends in Banking APIs
byTatsuo Kudo
 
銀行APIのトレンド #fapisum
byTatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
byTatsuo Kudo
 

アイデンティティ (ID) 技術の最新動向とこれから

  • 1.
  • 2.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 1  工藤達雄 https://www.linkedin.com/in/tatsuokudo  サン・マイクロシステムズ (1998~2008)  野村総合研究所 (2008~)  OpenIDファウンデーション・ジャパン (2013~2014)  NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とするコンサルティングに従事 自己紹介
  • 3.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. アイデンティティ & アクセス管理 (IAM)をとりまく状況
  • 4.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 3 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証 アイデンティティ & アクセス管理 (IAM)の役割
  • 5.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 4 アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ連携 / SSO エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
  • 6.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 5 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
  • 7.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 6 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 8.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 7 API サーバー アイデンティティ & アクセス管理 (IAM) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 9.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 8 最近のIAMのユースケース  「アイデンティティこそがペリメーター」  ネットワークや端末ではなく、ユーザーのアイデンティティを起点に アクセス制御を行うべきという考えかた  “BeyondCorp”  Google社は従業員向けシステムをすべてパブリックに配置し、ユー ザーとデバイスのアイデンティティを用いてアクセスを制御 セキュリティ & IAM Source: Cloud Identity Summit 2012 TOI http://www.slideshare.net/tkudo/cis2012toi, BeyondCorp: Beyond “fortress” security https://conferences.oreilly.com/security/sec-ny/public/schedule/detail/61327
  • 10.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 9 最近のIAMのユースケース  ユーザーからエッジゲートウェイ、サービスメッシュ、既存システムに至るまで、エンドツーエンドのアイデンティティが必要になる マイクロサービスアーキテクチャ & IAM 従来の3層アーキテクチャ これからのマイクロサービスアーキテクチャ • 既存システムの前段に、外部向けAPIの管理を行う層と、バックエンド接続のイ ンテグレーション層を配置 • ユーザー(APIクライアント)によらず単一のAPIを提供 • 外部向けのAPI管理層とは別に、マイクロサービスがそれぞれ自前のAPIゲート ウェイ(”side car”)を持つ → サービスメッシュ • エッジゲートウェイが、APIクライアント(デスクトップ、モバイル、パートナー、…) の特性に適したAPIセットを提供 Source: Microservices Solution Patterns https://medium.com/microservices-learning/microservices-solution-patterns-3a58526dbc9e
  • 11.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 10 最近のIAMのユースケース  ユーザーの設定や好みを、所有する・しない、あるいはクルマである・ないにかかわらず、移動手段に持ち込んでパーソナライズするこ とが期待される。また一方で、クルマに対してアクセスする人・組織が多様になっていく IoT & IAM Source: Key Success Factors for Connected Vehicle, Ride-share and Multi-Modal Transportation Models https://www.slideshare.net/covisint/key-success-factors-for-connected-vehicle-rideshare-and-multimodal-transportation-models
  • 12.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 11 最近のIAMのユースケース  ユーザーの同意に基づいて残高参照や取引機能をサードパーティに提供する「オープンAPI」への取り組みが広がっている Fintech & IAM Source:オープンAPIのあり方に関する全銀協の検討状況 http://www.fsa.go.jp/singi/singi_kinyu/financial_system/siryou/20161028/02.pdf
  • 13.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. IAMの進化・分化・融和
  • 14.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 13 IAMに対する2種類の異なるニーズ 社内システムのIDを統一したい Windowsログオンと連携してSSOしたい 組織・職掌に基づいて権限を付与したい 不要になったID・権限を無効化したい OA機器や什器の手配と連携したい … 数千万ユーザーを管理したい 新規登録者を増やしたい いろいろなアクセス環境に対応したい 不正アクセスを検知・対応したい サービス展開までの期間を短縮したい … EIAM エンタープライズ IAM CIAM コンシューマー IAM
  • 15.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 14 EIAM (エンタープライズIAM) ユーザー情報/アクセス権限情報の散在はエンドユーザー/運用の双方にとって問題となる システム A 従業員A 従業員B 従業員C ID パスワード A user_a as09135#$ B 10341 FbPlkh2d C tsato cliaKnGd ID パスワード B 10342 lkqg94sdc C hsawa lkqg94sdc ID パスワード C user_c abcd1234 C rmiki iloveyou システム B システム C ID パスワード 氏名 所属 … user_a as09135#$ 佐藤太郎 営業部 … user_c abcd1234 三木良 経理部 … … … … … … ID パスワード 氏名 ロール … 10341 FbPlkh2d 佐藤太郎 Sales … 10342 lkqg94sdc 沢博美 HR … … … … … … ID パスワード 氏名 拠点 … tsato cliaKnGd 佐藤太郎 東京 … hsawa lkqg94sdc 沢博美 大阪 … rmiki iloveyou 三木良 福岡 … … … … … … システムAのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムAのID/ パスワードで ログイン エンドユーザー側の問題 • 異なるID/パスワードで毎回ログインが必要 • 安易なパスワード文字列や使い回しが横行 • システムが利用可能になるまで時間を浪費 業務(運用)側の問題 • パスワード忘れへの問い合わせ対応 • ID/パスワードのシステム個別の管理 • ユーザ追加・削除対応/ユーザー情報/アクセ ス権限情報の最新化
  • 16.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 15 EIAM (エンタープライズIAM) ユーザー認証を一元化する「認証基盤」の登場 「認証基盤」 システム A ID パスワード SSO tsato cliaKnGd ID パスワード SSO hsawa lkqg94sdc ID パスワード SSO rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン システムA にアクセス システムB にアクセス システムC にアクセス ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … エンドユーザーが意識するID/パス ワードが単一になるとともに、何度 もログインする必要がなくなる パスワード管理とユーザー認証が 不要になり、運用者の負担が軽減 される 従業員A 従業員B 従業員C
  • 17.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 16 EIAM (エンタープライズIAM) 「認証基盤」だけでは組織全体のID/アクセス権限を管理しきれない 従業員A 従業員B 従業員C 「統合認証基盤」 システム A ID パスワード SSO tsato cliaKnGd D u101 98LKala@ ID パスワード SSO hsawa lkqg94sdc D u102 lkqg94sdc ID パスワード SSO rmiki p098aPPO D u103 happyday システム B システム C SSO システム ディレクトリ システム ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … システム D ID パスワード 氏 名 … u101 98LKala@ 佐藤 太郎 … u102 lkqg94sdc 沢 博美 … u103 happyday 三木 良 … … … … … … temp changeit 保守 担当 システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン 運用 担当者 追加、変更、 削除、… 認証基盤に集中化できないシステムのID/ アクセス管理が独立して残り続けてしまう ID/アクセス権限情報の管理を運用 担当者に任せてしまっている
  • 18.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 17 EIAM (エンタープライズIAM) 「認証基盤」+「アイデンティティ管理」 へ 従業員A 従業員B 社外 パートナー 「統合認証基盤」 システム A ID パスワード 共通 tsato cliaKnGd ID パスワード 共通 hsawa lkqg94sdc ID パスワード 共通 rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム 共通ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki iloveyou 三木良 福岡 経理部 Finance … … … … … … システム D 「統合アイデンティティ管理」 アイデンティティ 管理システム 共通ID パスワード 氏 名 … tsato cliaKnGd 佐藤 太郎 … hsawa lkqg94sdc 沢 博美 … rmiki p098aPPO 三木 良 … … … … … … temp changeit 保守 担当 人事情報 システム パート ナー管理 システム 一般 社員 部門長 担当 役員 利用申請 承認 統制状況 の把握 ユーザー情報 /アクセス 権限情報の 設定・検証 マスター情報 の取り込み ユーザー情報/ アクセス権限 情報の設定・検証 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン
  • 19.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 18 EIAM (エンタープライズIAM) エンタープライズIAMの進化 SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム A システム B システム C オンプレIAM クラウドIAM 社外 環境 パートナー 事務所等 社内 環境 SaaS B システム A システム B システム C オンプレIAM SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム B クラウドIAM 第1世代 伝統的オンプレ中心IAM 第2世代 ハイブリッドIAM 第3世代 クラウド中心IAM V P N V P N ID管理者 ID管理者 ID管理者 G会社 パートナー 多要素 認証 マネージドデバイス 多要素認証 CASB SSO ID同期(ユーザ情報配信)
  • 20.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 19 CIAM (コンシューマーIAM)  キャリアグレードのディレクトリ・サーバー (circa 2003) CIAMの萌芽は通信業界 Source: @IT:連載 次世代コミュニケーションサービスを担うJAIN(前編)http://www.atmarkit.co.jp/fjava/special/jain01/jain01.html
  • 21.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 20 CIAM (コンシューマーIAM) たんなる「認証リポジトリ」から、顧客の体験とセキュリティを高めるための役割を担うように • スムーズな新規会員登録 • ログインの省力化・簡略化 • サービスのパーソナライゼーション • レスポンス時間の短縮 • 使いやすいWebサイト/モバイルアプリケーション • … 顧客体験を どう高めるか • リスクベース認証 • 不正検知 • 自己情報のコントロール • … 顧客に安心を どう提供するか
  • 22.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 21 CIAM (コンシューマーIAM) コンシューマーIAMの機能 Source: The 8 Critical Areas of Consumer Identity and Access Management to Prepare for in 2018 https://www.kuppingercole.com/watch/ciam_critical_areas
  • 23.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 22 EIAMとCIAMの比較 EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 高 ロール(役割・職掌) 複雑 単純 アプリケーション数 数十~数百 ~数十 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 高 ユーザー認証 確からしさ重視 利便性重視 ビジネスとの関係 業務効率化 売上最大化
  • 24.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 23  ITのコンシューマライゼーション、APIエコシステム、Bring Your Own、多要素認証、… オーバーラップするEIAMとCIAM EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 → 高 高 ロール(役割・職掌) 複雑 単純 → 複雑 アプリケーション数 数十~数百 ~数十 → 数千 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 → 高 高 ユーザー認証 確からしさと利便性も重視 利便性と確からしさも重視 ビジネスとの関係 業務効率化 売上最大化
  • 25.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. IAMを構成する技術仕様
  • 26.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 25 EIAM/CIAMを構成する技術はどちらも同じようなものになってきている Source: Internet of Things Security & Privacy https://www.slideshare.net/ChrisAdriaensen/internet-of-things-security-privacy-82981990 EIAM CIAM いま API認可 WS-* 内製独自仕様 OAuth SSO/ID連携 製品独自仕様 or SAML 内製独自仕様 or SAML or OpenID OpenID Connect ID情報同期 CSV渡し/DB 製品独自仕様 独自データ連 携 SCIM ユーザー認証 製品独自仕様 内製独自仕様 FIDO
  • 27.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 26 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 28.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 27 B2Eにおける適用例 業務 システム 社員 APP ID管理/ SSO/ API管理 ユーザー認証 アクセス試行 API アクセス Slack, Facebook at Work etc. 業務 SaaS アクセス試行 社員・組織情報 の伝播 社員ID情報の 同期 人事 システム 社員IDでクラウドサービスにSSO 業務システムの各種API へのアクセス許可要求 業務システム フロントエンド API ゲートウェイ レガシー 接続
  • 29.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 28 B2Cサービスにおける適用例 各種API 一般生活者 APP サードパーティ APIクライアント (Webサイトなど) “Google Identity Platform” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 Googleの各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 Google Accountでログイン
  • 30.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 29 API サーバー OAuthとOpenID Connectとの関係 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 (OpenID Connect) サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
  • 31.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 30 金融機関 (サービス事業者) 資産管理サービスにおけるOAuth 2.0とOpenID Connect (OIDC) を用いた認証・認可フローの例 NRI ITソリューションフロンティア Vol.33 No.08 https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf に加筆 サードパーティはAPIアクセス許可依頼 とユーザー認証依頼を同時に実行 口座所有者 (エンドユーザー) 資産管理FinTech企業 (サードパーティ) サービス事業者はエンドユーザーに アクセス許可を確認 サービス事業者はサードパーティに 「アクセストークン(APIアクセス許可 情報)」と「IDトークン(認証結果)」を返却 サードパーティは認証結果をもとに エンドユーザーの当人確認を行い、 必要に応じてユーザーを新規登録 サードパーティはアクセストークンを 用いてサービス事業者のAPIを呼び出し サービス事業者はエンドユーザーを 認証
  • 32.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 31 OpenID Foundation “Financial API (FAPI) WG” http://openid.net/wg/fapi/  策定を進めている仕様  APIセキュリティ・プロファイル ▪ Part 1: 「読み出し専用」 API ▪ Part 2: 「読み書き」 API  API仕様 ▪ Part 3: オープンデータAPI ▪ Part 4: 保護対象データAPIおよびスキーマ - 「読み出し専用」 ▪ Part 5: 保護対象データAPIおよびスキーマ - 「読み書き」  認可サーバー、クライアント、 リソースサーバーに対する 「セキュリティ条項 (Security Provisions)」を規定
  • 33.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 32 これからのアイデンティティ & API セキュリティスタック Source: Forging a Modern Cloud-first Identity Ecosystem for a 125-year-old Startup https://www.slideshare.net/identityhutch/forging-a-modern-cloudfirst-identity-ecosystem-for-a-125yearold-startup アイデンティティ & 認証コンテクスト アイデンティティAPI セッション管理 クライアント登録 サービス・ディスカバリー 署名付きリクエスト アサーション認証 暗号化/署名/鍵 構造化トークン ミティゲーション & プルーフ 拡張認可フロー トークン・イントロスペクション トークン失効 ユーザー/クライアント認可 オブジェクト記法
  • 34.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. まとめ
  • 35.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 34 まとめ 新たなITサービスやアーキテクチャが多数登場する中、 アイデンティ&アクセス管理(IAM)の役割は従来以上に 高まっている エンタープライズIAM(EIAM)とコンシューマーIAM(CIAM) という2種類の異なるIAMがあるが、機能のオーバーラップが 進んでいる EIAMとCIAMは共通のアイデンティティ技術仕様の 採用に向かっている