アカデミックIDaaS最前線

アカデミックIDaaS最前線
2016年12月14日
エクスジェン・ネットワークス(株)
アカデミックIDaaS の概要と導入事例、そして課題

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
1. 認証基盤システム概要
1
・アプリケーションに「認証/認可」は何故必要か？
・アプリケーションに「ID管理」は何故必要か？
・「認証/認可」と「ID管理」の役割
『アクセス権限管理』
＝『認証/認可のしくみ』＋『新鮮で正しいID情報』
部署や役職に応じた適切なアクセス権限管理を行うため。
組織変更/人事異動情報を迅速にID情報に反映するため。

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.2
IT部門担当者
アプリケーション
ID管理
・システムの増殖
・組織の中でシステムは増殖するもの。
アプリの中に「ID管理」のしくみが一緒に存在したまま、
システムが増殖すると、、

・ID情報に対する入学 & 進級 & 卒業情報、人事異動情報の
反映処理が煩雑になる。
①新入生の入学に伴う、ユーザIDの登録
(入学手続きの完了からシステムの利用開始までの期間が短かい)
②卒業に伴う、ユーザIDの無効化・削除
③教職員の人事異動に伴う、アクセス権限の迅速な変更
④教職員の退職に伴う、アクセス権限の迅速な無効化・削除
⑤派遣社員、協力会社社員等の一時利用ユーザの管理
・教職員、学生、それぞれの役職に応じた適切なアクセス権限
管理が困難になる。
・ID運用管理業務の効率化＝ID管理システムの整備が必要に
・システムの増殖→ID情報の鮮度を維持するのが困難に
3

・クラウドの増殖
・最近はオンプレシステムだけでなくクラウド利用が増えている。
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
4
クラウド
・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが
学外に出て行く。
IT部門担当者

・セキュリティポリシーコントロールが困難に。
パスワードポリシーや機密情報のリスクレベルに応じた認証手段の採用が
困難になる。
・ID/パスワードの漏えいリスク。
セキュリティレベルの低いクラウド
から、IDとパスワードのセットが
漏えいするリスクがある。
・IDとパスワードのセットをクラウド事業者
に預けることなく、認証を行いたい。
アクセス
制御
ファイア
ウォール
アクセス
制御
Identity is the new Perimeter
5
・クラウドの増殖→IDとパスワードのセットが社外に出る
・フェデレーション技術の認証利用が有効

・アカデミックITにおけるフェデレーション技術の利用
IdP SP
1
2
3 4
クラウドサービス利用機関クラウドサービス事業者
5
ID情報
(一部の情報)ID情報
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
6
『アクセス権限管理』＝『認証/認可のしくみ』＋『新鮮で正しいID情報』
ID情報
ID情報
(一部の情報)

IdP SP
ID管理
システム API0
1
2
3 4
クラウドサービス利用機関クラウドサービス事業者
5
【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録0
ID情報
(一部の情報)
ID情報
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
ID情報
ID情報
(一部の情報)
7
ライセンス管理
ID管理
・アカデミックITにおけるフェデレーション技術の利用

・認証基盤システムとは
アプリケーション
認証基盤
認証
ID管理
認証基盤アプリケーション
・「認証」のしくみと「ID管理」のしくみをアプリケーションから切り離す。
ID情報
8
・「認可」のしくみはアプリケーションと密着している場合が多い。
～アプリから切り離すのはなかなか難しい。
～プロビジョニングによるロール情報連携。
・「ID情報」の再利用が可能になる。
認可
認可
認可
認可
認可

・3 + 1 の構成要素
認証基盤
ID情報マスターDB
ID情報管理システム
認証システム
基本構成
9
認可システム(各アプリ)
必要な属性情報を
プロビジョニング

クラウドオンプレ
他大学情報共有
認証基盤
SaaS化
マルチテナント化して
クラウドサービスとして提供
IDaaS
認証システム
2. IDaaS
・IDaaS基本概念

・IDaaSのセキュリティ
11
フェデレーション
企業内
SaaS
ID情報
(一部の情報)
ID情報
マスターDB
IDaaS
フェデレーションID情報
マスターDB
(全部の情報)
セキュリティ境界
セキュリティ境界
(セキュリティポリシーコントロールの効く範囲)
・大学にとってはIDaaSまでがセキュリティ境界内。
IDaaSのセキュリティレベルは大学内と同等もしくはそれ以上である
ことが必要。
・アクセス制御を行う場所＝IDaaSは安全か
2. IDaaS

・概要
12
LDAP
UNIX
コマンド
Active
Directory
大学内
利用者管理者
CSV AD PW
Hook
G Suite
Office365
シングル
サインオン
シングル
サインオン
プロビジョ
ニングSAML /Shibboleth
ID管理機能
認証 & ID管理ポータル
ID情報
マスタDB
認証用
LDAP
ID情報メンテナンス
GUI ADCSV
IdP機能
3. Extic (EXGENのIDaaS)について
Shibboleth：2017年1月
SAML：2017年6月

・セキュリティ
13
●DeeP Security(トレンドマイクロ社)
統合型セキュリティソリューションを導入し、
24時間/365日体制でのインフラ＆サービス遠隔監視を実施。
これを、基本サービスとして提供。
●PCIDSSに準拠した運用監視を行うセキュリティチームが、
日々の脆弱性情報をチェックし、顧客の大切なユーザ情報を
安全な状態に保つ。
①統合型セキュリティソリューション
②24時間/365日体制のインフラ & サービス遠隔監視

・導入事例
14
• お客様名 : 文教大学
• ユーザー数 : 約 10,000 ユーザー
• ご要求事項：
• ID 管理に関わるサーバーや拡張時のメンテナンスコストを抑えたい。
• ID 管理の対象外となっている Office 365 も統合管理したい。
• LDAP Manager で実現している運用をできるだけ引き継ぎたい。
• 導入効果：
• ID 管理関連サーバーのメンテナンスコストを削減できました。
• Office 365 x 2 ドメインも ID 統合管理対象システムとすることに
より、学内の ID を統合管理することができました。
• これまでに培ってきた LDAP Manager のノウハウが反映されている
Extic であるため、LDAP Manager で行っている運用をあまり変える
ことなく、移行が実現できました。

・導入事例
15
• 機能構成
• 連携システム
• Office 365 x 2 ドメイン
• G Suite x 3 ドメイン
• オンプレミス連携
• Active Directory x 3 ドメイン
• Open LDAP x 1
• AD パスワードフック
• パスワード通知書印刷機能

・導入事例
16
Active
Directory
Active
Directory
Active
Directory事務局 A キャンパス B キャンパス
OpenLDAP
(Linux)
エージェント
定期的に更新
情報を取得
利用者管理者
AD PW
Hook
AD PW
Hook
AD PW
Hook
AD PW Hook 集約
エージェント
Windows
PW情報を
更新
CSV
PW変更
ユーザーの
メンテナンス
（Web GUI,CSV）
・サービス概要図 G Suite
Office365

・なかなか普及しない
17
まだまだ、、、、、
①大学の認証基盤要求にマッチしたIDaaSがまだない
②認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い
4. IDaaSの課題

現地法人/M&A
IDaaS
認証システム
4. IDaaSの課題
認証システム
IDaaS
他大学情報共有
・いわゆる2016年のIDaaS

4. IDaaSの課題
大学の要件いわゆる2016年のIDaaS
主要機能セキュア認証機能ID管理 & 認証機能
フェデレーション SAMLSAML & Shibboleth
IDM連携対象 SaaSオンプレシステム
価格帯 ¥500~¥1000/月￥100～¥300/月
現状、アンマッチ
・大学の認証基盤要求にマッチしたIDaaSがまだない

・が、大学でのSaaS利用がまだ進んでいない
①フェデレーションの認証利用により、IDとパスワードのセットを
大学内に封じ込める必要性がそれほど高くない。
②オンプレに多くのアプリが残るため、IDaaSを利用した場合、
ID情報は学内→学外→学内とネット上を往復することになる。
・セキュリティ責任者が機密情報を学外に出して良いか判断がつかない
・IDaaS利用の場合、ID情報を学外に出すことになり、この変化に対して
抵抗を感じている大学がまだ多い。
・大学でのSaaS有効活用は経営課題の一つのはず、、、
つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態
が、一方で①ISMSを整備している大学や、②学内より学外が安全という
考えを持つ大学など、SaaS利用に積極的な大学も増えている
・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い
4. IDaaSの課題

・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い
21
4. IDaaSの課題
つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態
が、一方で①ISMSを整備している大学や、②学内より学外が安全という
考えを持つ大学など、SaaS利用に積極的な大学も増えている
他の大学も利用しているセキュアなSaaSであれば利用したい
他の大学も利用している実績のあるSaaSであれば利用したい
実績のあるSaaSを統合管理できるIDaaS
セキュアなSaaSをさらにセキュアに
利用するためのセキュアなIDaaS
目的
目的
手段
手段

4. IDaaSの課題
・まだまだ様子見状態もかなり佳境
SaaS有効活用に役立つ情報を発信する
～他の大学のSaaS/IDaaS利用状況の提供
AXIES認証
連携部会
大学の認証基盤要求にマッチし、実績ある
SaaSをセキュアに利用するためのIDaaS整備
EXGENの
IDaaS戦略
2016.12.15(木) 9:00～10:30
C会場 (1F Room H)
[TC1]アカデミックIDaaSの概要とExtic

アカデミックIDaaS最前線

More Related Content

What's hot

Viewers also liked

Similar to アカデミックIDaaS最前線

Recently uploaded

アカデミックIDaaS最前線