アカデミックIDaaSの概要とExtic_axies2016出展社セッション

[TC1]
アカデミックIDaaSの概要とExtic
2016年12月15日
エクスジェン・ネットワークス(株)

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.1
IT部門担当者
アプリケーション
ID管理
・システムの増殖
・組織の中でシステムは増殖するもの。
アプリの中に「ID管理」のしくみが一緒に存在したまま、
システムが増殖すると、、
1. アカデミックIDaaSの概要

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
・ID情報に対する入学 & 進級 & 卒業情報、人事異動情報の
反映処理が煩雑になる。
①新入生の入学に伴う、ユーザIDの登録
(入学手続きの完了からシステムの利用開始までの期間が短かい)
②卒業に伴う、ユーザIDの無効化・削除
③教職員の人事異動に伴う、アクセス権限の迅速な変更
④教職員の退職に伴う、アクセス権限の迅速な無効化・削除
⑤派遣社員、協力会社社員等の一時利用ユーザの管理
・教職員、学生、それぞれの役職に応じた適切なアクセス権限
管理が困難になる。
・ID運用管理業務の効率化＝ID管理システムの整備が必要に
・システムの増殖→ID情報の鮮度を維持するのが困難に
2

・クラウドの増殖
・最近はオンプレシステムだけでなくクラウド利用が増えている。
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
3
クラウド
・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが
学外に出て行く。
IT部門担当者

・セキュリティポリシーコントロールが困難に。
パスワードポリシーや機密情報のリスクレベルに応じた認証手段の採用が
困難になる。
・ID/パスワードの漏えいリスク。
セキュリティレベルの低いクラウド
から、IDとパスワードのセットが
漏えいするリスクがある。
・IDとパスワードのセットをクラウド事業者
に預けることなく、認証を行いたい。
アクセス
制御
ファイア
ウォール
アクセス
制御
Identity is the new Perimeter
4
・クラウドの増殖→IDとパスワードのセットが社外に出る
・フェデレーション技術の認証利用が有効

・認証基盤システムとは
アプリケーション
認証基盤
認証
ID管理
認証基盤アプリケーション
・「認証」のしくみと「ID管理」のしくみをアプリケーションから切り離す。
ID情報
5
・「認可」のしくみはアプリケーションと密着している場合が多い。
～アプリから切り離すのはなかなか難しい。
～プロビジョニングによるロール情報連携。
・「ID情報」の再利用が可能になる。
認可
認可
認可
認可
認可

・3 + 1 の構成要素
認証基盤
ID情報マスターDB
ID情報管理システム
認証システム
基本構成
6
認可システム(各アプリ)
必要な属性情報を
プロビジョニング

クラウドオンプレ
他大学情報共有
認証基盤
SaaS化
マルチテナント化して
クラウドサービスとして提供
IDaaS
認証システム
・IDaaS基本概念

・概要
8
LDAP
UNIX
コマンド
Active
Directory
大学内
利用者管理者
CSV AD PW
Hook
G Suite
Office36
5
シングル
サインオン
シングル
サインオン
プロビジョ
ニングSAML /Shibboleth
ID管理機能
認証 & ID管理ポータル
ID情報
マスタDB
認証用
LDAP
ID情報メンテナンス
GUI ADCSV
IdP機能
2. Extic (EXGENのIDaaS)について
Shibboleth：2017年1月
SAML：2017年6月

・なかなか普及しない
9
3. IDaaSの課題
まだまだ、、、、、
①大学の認証基盤要求にマッチしたIDaaSがまだない
②認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い

現地法人/M&A
IDaaS
認証システム
4. 大学の認証基盤要求にマッチしたIDaaS
認証システム
IDaaS
・IDaaS基本概念・いわゆる2016年のIDaaS
SAML

・Exticのコンセプト①
11
現地法人/M&A
IDaaS
認証システム
認証システム
IDaaS
競争力
競争力
競争力
競争力
IdM & IdP
オンプレ
Shibboleth & SAML
競争力

〔認証基盤構築手法の推移〕
スクラッチ開発第一世代
パッケージ(エンジン) + カスタマイズ第二世代
パッケージ(フルサービス) + システムインテグレーション第三世代
カスタマイズレスが差別化
SaaS - SI ( + SI対応も可能)第四世代
LDAP Manager
〔アカデミックID管理市場 LDAP Manager 導入割合〕
学生数5000名以上の大学：50% 学生数1001名~5000名の大学：18%
IDMを整備予算を確保するのが難しい規模ますます強くなる、IT部門の少数精鋭化の要求
学生数が多い大学細かい要求に応える
学生数が少ない大学細かい要求は封印
はじめての認証基盤＝SIレスが差別化
Extic
①イニシャルコストが安く、②SIなしで、③すぐに、④簡単に利用できる
ここに受け入れて
いただくには
認証基盤クラウド移行＝SI対応が可能
・Exticのコンセプト② Cloud

〔価格体系〕
13
ユーザ数月額利用料
～ 1000 ¥200,000
1001 ～ 2000 ¥250,000
2001 ～ 3000 ¥300,000
3001 ～ 4000 ¥350,000
4001 ～ 5000 ¥400,000
5001 ～ 7000 ¥600,000
7001 ～ 10000 ¥800,000
10001 ～ 15000 ¥1,200,000
15001 ～ 20000 ¥1,600,000
20001 ～ 30000 ¥2,400,000
30001 ～ 40000 ¥3,600,000
40001 ～別途ご相談
・Exticのコンセプト② Cloud
〔今、Extic導入を検討いただいている
大学に共通する問題意識〕
・学内システムの維持管理工数や
コストに問題意識を持つ大学
・サーバー老朽更改、ソフトVerUp工数や
コストに問題意識を持つ大学
Cloud利用で解決したい！

大学の要件 2016年の
IDaaS
主要機能セキュア
認証機能
ID管理 &
認証機能
IdP SAMLSAML &
Shibboleth
IDM連携
対象
SaaSオンプレ
システム
価格帯 500~
1000/月
￥100～
300/月
アンマッチ

5. 認証基盤がIDaaSであるために
・が、大学でのSaaS利用がまだ進んでいない
①フェデレーションの認証利用により、IDとパスワードのセットを
大学内に封じ込める必要性がそれほど高くない。
②オンプレに多くのアプリが残るため、IDaaSを利用した場合、
ID情報は学内→学外→学内とネット上を往復することになる。
・セキュリティ責任者が機密情報を学外に出して良いか判断がつかない
・IDaaS利用の場合、ID情報を学外に出すことになり、この変化に対して
抵抗を感じている大学がまだ多い。
・大学でのSaaS有効活用は経営課題の一つのはず、、、
つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態
が、一方で①ISMSを整備している大学や、②学内より学外が安全という
考えを持つ大学など、SaaS利用に積極的な大学も増えている

つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態
が、一方で①ISMSを整備している大学や、②学内より学外が安全という
考えを持つ大学など、SaaS利用に積極的な大学も増えている
他の大学も利用しているセキュアなSaaSであれば利用したい
他の大学も利用している実績のあるSaaSであれば利用したい
実績のあるSaaSを統合管理できるIDaaS
セキュアなSaaSをさらにセキュアに
利用するためのセキュアなIDaaS
目的
目的
手段
手段
Exticのコンセプト③ Secure

・Exticのコンセプト③
フェデレーション
大学内 SaaS
ID情報
(一部の情報)
ID情報
マスターDB
IDaaS
フェデレー
ション
ID情報
マスターDB
(全部の情報)
セキュリティ境界
セキュリティ境界
セキュリティポリシーコントロールの効く範囲
・大学にとってはIDaaSまでがセキュリティ境界内。IDaaSのセキュリティレベルは
大学内と同等もしくはそれ以上であることが必要です。
統合型セキュリティソリューションを
導入し、24時間/365日体制での
インフラ＆サービス遠隔監視を実施。
基本サービスとして提供
●DeeP Security(トレンドマイクロ社)
①統合型セキュリティソリューション
●PCIDSSに準拠した運用監視を行うセキュリティチームが、
日々の脆弱性情報をチェックし、お客様の大切なユーザ
情報を安全な状態に保ちます。
②24時間/365日体制のインフラ & サービス遠隔監視
●サービス提供企業であるEXGEN社はISMS取得する予定です。
〔アクセス制御を行う場所は安全か〕
Secure

・Exticのコンセプト③ Secure

IDaaS
認証システム
①SaaSのメニュー化
～大学、Sierからのヒアリング
・実績のあるSaaSを統合管理できるIDaaS
②SaaSエコシステム
(IDaaSベース)の構築

IdP
IDM
SaaS
SP
API
SaaS
SP
API
SaaS
SP
API
SaaSエコシステム(IDaaSベース)
IDaaS
(フェデ + プロビ)
IDaaS
20
・フェデレーションとプロビジョニングにより認証連携された複数のSaaSの塊り
・IDaaSの中のフェデレーションとIDMは
SaaSをセキュアに利用するために必要
①フェデレーションの必要性
・ID＋パスワードをセキュリティポリシー
コントロールの効く範囲に置く
・ファイアウォール等の物理境界崩壊し、
アイデンティティ境界＝アクセス制御が
最重要になる
②IDMの必要性
・適切なアクセス制御を維持するためには
IDの鮮度を保つ必要がある
・フェデレーションとプロビジョニングにより
予め紐付けられた『SaaSエコシステム』
は顧客にとって、SaaS調達時のSIコスト
削減につながる
6. SaaSエコシステム(IDaaSベース)

IDaaS
認証システム
日本SaaS
①プロビジョニングAPIとして
SCIMを実装してもらう
②認証(フェデレーション)機能
としてSAML(Shibboleth)
SPを実装してもらう
・エコシステム対象SaaS①
日本SaaS

メガSaaS
G SuiteOffice36
5
IDaaS
認証システム
日本SaaS
認可情報等のきめ細かな連携
・エコシステム対象SaaS②
メガSaaS

7. SaaSエコシステム(IDaaSベース)ビジネスの将来
・SaaSエコシステムと相性の良いサービス①
SaaS-Store

・Cloud Access Security Broker
・クラウドサービスと企業ユーザの間に位置し、
クラウドへのアクセスのセキュリティを確保
する様々な機能を有するソフトまたはサービス
・暗号化、監査、データ漏えい防止、アクセス制御、
不正なふるまい検知。
・ガートナーの予想では今年の市場規模が$100M、
2018年には$400Mに達する。
・既に10社を超えるCASBベンダーが存在している。
・SaaSエコシステムと相性の良いサービス①
CASB

マルチ
クラウド
法人向け
SaaS
マーケット
プレイス
IDaaS
潜伏
必要
誘発
SaaS
エコシステム化
目的 SaaSの調達＆整備
手段セキュアなSaaS利用
必要
併用効果 CASB
・SaaSエコシステム & SaaS-Store & CASB

クラウド選定
ポイント
セキュリティ
評価
実績評価＝＋
自動化された
オペレーション
アウトソーシング
SaaSエコシステム
(IDaaSベース)
他の大学も利用しているセキュアなSaaSであれば利用したい
他の大学も利用している実績のあるSaaSであれば利用したい
・SaaS-Storeの販売傾向
→ リコメンド機能(売れ筋SaaSの推奨)
・SaaSエコシステム & SaaS-Store & CASB
・CASBのセキュリティ可視化機能
→トラスト機能(SaaSセキュリティレベルの評価)

・IDaaSの構成要素 = 3 + 1
認証基盤
ID情報管理
システム
認証システム
27
認可システム
(各アプリ)
必要な属性情報を
プロビジョニング
基本構成
SaaSエコシステム
(IDaaSベース）
+1
認証基盤システム

アカデミックIDaaSの概要とExtic_axies2016出展社セッション

More Related Content

What's hot

Viewers also liked

Similar to アカデミックIDaaSの概要とExtic_axies2016出展社セッション

Recently uploaded

アカデミックIDaaSの概要とExtic_axies2016出展社セッション