SlideShare a Scribd company logo
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved.
企業を取り巻くDigital Identityの今とこれから
- Identity Is The New Perimeter -
Internet Week 2016 @ 11/30
サイバーセキュリティサービス事業本部
勝原 達也
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1
自己紹介
勝原達也 https://www.linkedin.com/in/kthrtty , katsuhara[AT]nri-secure.co.jp
所属
野村総合研究所(2007~)
NRIセキュアテクノロジーズ(2014~)
活動
Digital Identityに関わるビジネス企画・コンサル・開発運用
 CIAM(Consumer Identity and Access Management)
 認証・認可、OpenID/OAuth、APIエコノミー
OpenIDファウンデーション・ジャパン
 法人立ち上げ、教育・翻訳WG
新領域開拓中
ペネトレーションテスター
デバイス・制御セキュリティ
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2
はじめに - Identity Is The New Perimeter
Source: Cloud Identity Summit 2012, http://www.slideshare.net/tkudo/cis2012toi
(web.archive.org/web/20120808171917/http://www.cloudidentitysummit.com/)
ペリメタ(境界)はもはやネットワークによって定義される
ものではない。セキュア/非セキュア、内部/外部という定
義は意味がない。
企業の流動化で、重要なデータにアクセスするユーザーやデ
バイスが急増している。
仮想化、パブリック/プライベート/ハイブリッドクラウド
環境を混ぜ合わせ、揮発性、不確実性、複雑性、あいまい性
(VUCA)を持ったネットワークを取り扱うことになった。
物理的な統制がより難しいのは、Firewallの内側にあるもの
をセキュアにすることではなく、Firewallの先にあるものを
セキュアにしていくことなのだ。
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3
とある憂鬱な企業システムの例
クラウドサービスのアカウントは社内と統合されておらず個別ログイン
高コスト・低信頼性のクラウドサービスのアカウント管理がまかりとおる
生産性向上を目的としてShadow IT利用が増え、潜在リスクが増加
モバイルからVPN経由で社内システムを利用できるが、制限が多い
スマートデバイスのネイティブアプリから利用できる業務はほとんどない
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 4
企業内ネットワーク
課題を解決するために何をするべきか
目指す姿
マルチクラウドと社内システム間でのSSO
クラウドに対するID管理の自動化
Shadow ITからSanctioned ITへのシフト
どこからでもアクセスできる企業システム
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
Shadow IT問題
VPN
CSVによる高コスト
低信頼性のID管理
モバイル
NWペリメタ依存の
低ユーザビリティ
リモートアクセス
クラウド毎に別々の
ID/PWで認証
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 5
企業内ネットワーク
ユーザビリティの低いクラウドサービスの利用は進まない
システム毎に異なるID/PWを入力するフラストレーションは
すでに企業内で体験済み
クラウドを企業内で実現されている統合認証の傘下におさめたい
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
VPN
モバイル クラウド毎に別々の
ID/PWで認証
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6
クラウドサービスが備える連携機能
コンシューマ向けSSO
 OAuth2/OpenID Connectベース一択
 当然ながら、SAMLよりもAPI化との相性が良いプ
ロトコルが好まれる
企業向けSSO
 復活したSAMLニーズ
歴史的にエンタープライズIAM製品の多くが対応済
利用しているのはSSOプロファイルだけ
操作・管理API
 今更SAML対応APIなんて作りたくはない(はず)
 コンシューマ/スマホアプリ向けAPIを作って、
あとから”for Business”と題してSAML対応する
 レガシー対応
CSVでのID管理機能
企業向け
SSO
操作・管理
API
コンシューマ
向けSSO
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7
マルチクラウドを束ねるIdentity as a Service
Cloud/SaaS
IDaaSに認証を移譲(結果のID情報を受け入れ)
認証結果に基づき、サービス利用及びAPIアクセ
ス認可
IDaaS
ID管理、セキュリティトークン、アサーションの
生成・変換
IdP(対SaaS)であり、RP(対社内IdP)でもある
高付加価値:多要素認証、リスクベース認証
社内IdP
従業員の認証を行い、IDaaSやSaaSにID情報を
返却
7
認証結果
ID情報
サービス
APIアクセス認可
Cloud/
SaaS
IDaaS
Enterprise ***
認証結果
ID情報
サービス
APIアクセス認可
IDaaSに認証
を依頼して
SSOしよう!
社内IdPに認証
を依頼して
SSOしよう!
IDaaSに認証
結果を返して
SSOしよう!
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8
企業内ネットワーク
ID連携・IDaaS導入によるSSO実現はクラウド統制の大きな一歩
ID連携・IDaaSで、マルチクラウドの認証・認可をコントロール
ユーザビリティ向上
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
VPN
モバイル
マルチクラウド
認証・認可・管理
(IDaaS)
ユーザビリティ
認証セキュリティ
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9
企業内ネットワーク
現場部門によるCSV手動メンテナンスはもうやめよう
そのコストを正当化していないだろうか?
改善を諦めていないだろうか?
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
ユーザビリティ
認証セキュリティ
VPN
モバイル
CSVによる高コスト
低信頼性のID管理
マルチクラウド
認証・認可・管理
(IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10
ネットワーク境界の先とを繋ぐIDM
SCIM - System for Cross-domain Identity Management
Enterprize IAMにおけるアカウントプロビジョニングを、
SaaSやCloudなど異なるドメイン/事業者間でも実現でき
るようにする仕様。
2011年 SCIM1.0発表
2015年 SCIM2.0(RFC7642、RFC7643)
標準スキーマ(スキーマ拡張可能)
JSON/RESTベースのAPI
操作:作成、検索・参照、変更・削除、バルク処理
API認可手段としてOAuth2.0トークン利用を推奨
SCIM APIエンドポイントにJSONメッセージを送信し、
プロビジョニング実施
http://www.simplecloud.info
SCIMクライアント
SCIMサーバ
JSON
Method 操作
POST 作成
GET 参照
PUT 変更(全体)
PATCH 変更(一部分)
DELETE 削除
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11
クラウドはSCIM I/Fを備え、IDaaSはSCIMを取り込み始めた
著名SaaS/CSPやIDM製品が実装するなど、
今のところ利用拡大の見込みあり
過去にも類似仕様はあったが・・・
SPML:Service Provisioning Markup Language
対象が広範かつ汎用的で複雑
SCIMはシンプルゆえに、浸透していく?
G suiteのプロビジョニング例
G suiteはIDaaSでもある
外部のSaaSサービス(Slackなど)へSCIMで
プロビジョニング
オンプレ側からはプロプライエタリな
Directory API利用
社内IdPとのID連携構成にすれば、
社内IdPで認証して、一気にSaaSへSSO
Directory API
(OAuth2ベース)
社内
プロビジョニング
SSO(Google→SaaS)
プロビジョニング
SSO(社内→Google)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 12
企業内ネットワーク
アイデンティティ管理はNW境界を超えることができる
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
ユーザビリティ
認証セキュリティ
VPN
モバイル
ネットワーク境界を超えたアイデンティティ管理
(SCIM、プロビジョニング)
マルチクラウド
認証・認可・管理
(IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 13
企業内ネットワーク
Shadow ITを、どのようにSanctioned ITへ変えていけばよいだろうか
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除
マルチクラウド
認証・認可・管理
(IDaaS)
登録/変更/削除
ユーザビリティ
認証セキュリティ
VPN
モバイル
Shadow IT問題
ネットワーク境界を超えたアイデンティティ管理
(SCIM、プロビジョニング)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 14
情報システム部は悩んでいる
クラウド利用におけるジレンマ
Monitoring
利用されているクラウドサービスを発見し、潜在
リスクを把握したい。ハイリスクサービスはブロ
ックしたい。
Sanctioned IT(↔Shadow IT)
生産性向上を邪魔したいわけではない
安全性を予め確認したサービスを使ってほしい
Control
全てのクラウド・サービスにおけるアクティビテ
ィ・データに対するIT統制をかけたい
ポリシー違反、データ漏洩などに対する予防的・
発見的統制
Source: Top Strategic Predictions for 2016 and Beyond
http://www.gartner.com/newsroom/id/3143718
2020年における、クラウド・セキュ
リティにおける失敗の95%は、利用者
の過失によるものとなる
2018年には、利用者が1000人以上の
企業の50%が、CASBを活用しSaaS等
のパブリック・クラウド利用をモニタ
リング・管理するようになる。
クラウドは通常安全であるが、パブ
リック・クラウドの利用を安全にする
ためには、クラウド利用者側の明示的
な努力が必要であるという認識が高
まっていく。
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 15
IT統制はクラウドと協調しながら行う時代へ
CASB – Cloud Access Service Broker
可視化
クラウドサービスの発見/評価
クラウドと連携し、ユーザのアイデンテ
ィティに基づく活動把握
データ・セキュリティ
機微情報の暗号化
管理外のファイルはあってはならない
DLP(Data Loss Prevention)との連携
脅威防御
ユーザ/デバイスのアイデンティティ情
報を元にしたアノマリ検知
コンプライアンス
監査のための適切な情報記録・提供
ワークフロー
Cloud Access Service Broker
Private
Cloud
社内モバイル
アクセス
Source: Gartner – The growing importance of Cloud Access Security Broker
アクセス制御 情報保護 可視化 統制 セキュリティ コンプライアンス
管理・監査用
API提供
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 16
広義のIdP
CASB動作概要
利用者
CASB
IDaaS
認証サーバ
(オンプレミス)
1.サービス利用要求(login.saas.com)
2. ID連携要求(SaaS➙CASB)
3. 認証を移譲するため、
更にID連携要求
(CASB➙IDaaS/社内IdP)
4. ユーザ
認証実施
5. ID連携応答
(対CASB)
6. CASB経由でクラウドにアクセス
(リバースプロキシ:saas.casb.com)
7. 直接クラウドにアクセスさ
れても、クラウド側が用意
したAPI経由で監査・分析
***
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17
アイデンティティを軸に拡張された企業ネットワーク
企業内ネットワーク
アイデンティティを軸にしたIT統制で企業NWは拡張していく
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
ユーザビリティ
認証セキュリティ
VPN
モバイル
データ・セキュリティ
ガバナンス
ネットワーク境界を超えたアイデンティティ管理
(SCIM、プロビジョニング)
セキュアクラウド利用
(CASB)
マルチクラウド
認証・認可・管理
(IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 18
企業内ネットワーク
モバイルと社内のネットワーク境界を感じさせないようにできないだろうか
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
ユーザビリティ
認証セキュリティ
VPN
モバイル
データ・セキュリティ
ガバナンス
ネットワーク境界を超えたアイデンティティ管理
(SCIM、プロビジョニング)
セキュアクラウド利用
(CASB)
マルチクラウド
認証・認可・管理
(IDaaS)
NWペリメタ依存の
低ユーザビリティ
リモートアクセス
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 19
Googleが推進するイニシアチブ
BeyondCorp – A new Approach to Enterprise Security
“Zero Trust”
エンタープライズ・ネットワークは、もはやインターネ
ット同様に「安全な場所ではない」という原則
“Identity Is The New Perimeter”
従来のネットワークに基づくアクセスコントロールから
の脱却
「デバイス」・「ユーザ」・「状態」に基づくアイデン
ティティベースの制御
“Access the Application, Regardless Network”
Public DNSにエンタープライズ・リソースを登録
Access Proxyを介してリソースへアクセス
VPN接続の廃止
Googleエンタープライズ・アプリケーション
ログイン画面(インターネットから到達可能)
2要素認証
(OTP/FIDO U2F)
Source: “BeyondCorp” - USENIX login; 2015, 2016
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20
モバイル
(境界の外)
オフィス内
(物理境界/NW境界)
BeyondCorpが実現する「切れ目のない」境界
利用者にとっては、インターネット
と社内システムの境界が無くなった
ように見える
デバイスのアイデンティティが重要
 インベントリ情報を収集・送信する
エージェント導入
 ソフトウェアのパッチ適用
 クライアント証明書導入
 etc…
デバイス・人のアイデンティティに
基づいて、アクセス可能な
「トラスト・ティア」が計算される
802.1x
RADIUS
Gateway
(Access
Proxy)
Access Control
Engine
SSO/認証システム
Trust Tier
必要に応じて
社内ID/PW認証
High
Device Inventory
Service
Low
パブリック
ネットワーク
インベントリ情報
***
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 21
BeyondCorp
アクセスコントロールとコンポーネントの関連
データソース アクセス・インテリジェンス ゲートウェイ リソース
アクセス制御に必要なデバイス
の情報をDevice Inventory
Serviceに提供。
インベントリ情報を元に、アク
セスして良いティアを計算。
ゲートウェイに対してアクセ
ス・コントロールを実施
リソースへのアクセスを制
限・許可する。
アクセス先ネットワークやア
プリケーション。
Web APIのエンドポイントも含
まれる。
リソース・アクセスを認可するのに
必要なトラスト・ティア、条件を記
述
インベントリ情報を元に、デバイスが
アクセス可能なトラスト・ティアを計
算
Source: BeyondCrop - Design to Deployment at Google, ;login: SPRING 2016 VOL.41
計算されたトラスト・ティアと、インベントリ情報、
ユーザ情報とAccess Policyを総合して、リソースへ
のアクセス認可を判断する。Policy Decision Point
デバイスの状態(インベン
トリ情報)を収集、管理する
Policy Enforcement Point
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 22
BeyondCorpに到達できるだろうか・・・?
Google
15種類のソースから、1日300万件のインベントリ情報(80テラバイト超)
B4(データセンターWAN)やAndromeda(GCP仮想化スタック)など、高度なSDN
IT内製主義
ブラウザ中心主義
VPNなど専用のソフトウェア不要
ネイティブアプリ向けWebAPI対応も同じ仕組みにのっかる
そもそもやりたかったことは何か?
ITシステムへのアクセスをよりシームレスかつセキュアにできれば良い
ユーザに意識させずに動的にNW境界を組み替える方法はないのか?
(ネットワーク境界からの代替アプローチがありそう)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23
Software Defined Perimeter
動的にNWレベルの境界を構成するためのフレームワーク
 米国防総省が開発したコンセプトに、NISTなどのセキュリ
ティ標準を組み合わせ、民間利用に転用
概要
 制御とデータを取り扱う経路を分ける
 ネゴシエーションしなければホストのIPは見えない(秘匿)
 目的のホストと動的にセキュア・チャネルを構築
 ユーザ認証・認可の細かい方法はスコープ外
デバイス/ユーザ・アイデンティティに基づいたアクセス制御
を導入することが望ましい点は、BeyondCorpと一緒
 クライアントアプリが必要なので、スマートデバイスでの対
応は簡単ではないかもしれない
Cloud Security Allianceが2013年に”SDP WG”を立上げ
 共同議長に 元CIA CTO
https://downloads.cloudsecurityalliance.org/initiatives/sdp/Software_Defined_Perimeter.pdf
 コカ・コーラ社が先行適用?
https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf
Client Server
Data
通常の通信
制御とデータの両方が直接やり取りされる
SDPのコンセプト
制御とデータを取り扱うエンティティを分割する
Client ServerData
Controller ControlControl
Control
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 24
Source: https://cloudsecurityalliance.org/group/software-defined-perimeter/
SDP≒アクセスしたいときにだけ動的に構成されるNW境界
登場人物
Initiating SDP Host
SDP Hostに接続を要求するホスト
SDP Controller
Initiating SDP Hostからの要求に基づき、認
証・認可を行い、Accepting SDP Hostとの
動的なチャネル構築を仲介するコントローラ
Accepting SDP Host
SDP Contorollerからの認可に基づき、
initiating SDP Hostからの接続を受け入れる
実体としては、例えばアプライアンス機器
更にその裏に実際に配備されているホスト、
またはネットワーク
5. 接続元Initiating SDP
Hostからの接続待ち開始
4. アクセス認可対象の
Accepting Host決定
1. コントローラがオンライン
3. アクセス認可を要求
(セキュアVPN構築)
2. コントローラと
セキュアVPN構築
7. セキュアVPN構築
6. 接続先Accepting SDP
HostのIPリストを受領
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25
アイデンティティを軸に統合された広義の企業ネットワーク
企業内ネットワーク
アイデンティティを軸に広がる企業ネットワーク
アクセス アクセス制御
(統合認証/SSO)
アプリケーション
アプリケーション HR
アイデンティティ
管理
パートナー管理
ディレクトリ
(IDリポジトリ)
プロビジョニング
リコンシリエーション
登録/変更/削除登録/変更/削除
ユーザビリティ
認証セキュリティ
セキュアクラウド利用
(CASB)
データ・セキュリティ
ガバナンス
モバイル
アクセス
ゲートウェイ
あらゆる場所から
社内同様にアクセス
(BeyondCorp/SDP)
ネットワーク境界を超えたアイデンティティ管理
(SCIM、プロビジョニング)
マルチクラウド
認証・認可・管理
(IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 26
まとめ
クラウドサービス利用やリモートアクセスの課題を解決するために、
セキュリティ境界がネットワークからアイデンティティに変わっていく
IDaaSなどを利用したクラウドサービスに対するユーザビリティ向上、
統合認証への組み込み、ID管理の範囲拡大が必要となる
Shadow ITを解決するソリューションとして、CASBはアイデンティティを
軸にクラウドサービスと連携してIT統制をかけていく
モバイルからシームレスに企業内リソースへアクセスするために、
デバイス/ユーザのアイデンティティに基づいたアクセス制御が重要である
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved.
〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
TEL:03-6706-0500 E-mail:info@nri-secure.co.jp
HomePage:http://www.nri-secure.co.jp
この資料に掲載されている社名、製品名などは、各社の表示、商標または登録商標です。

More Related Content

What's hot

APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID Foundation Japan
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
Tatsuo Kudo
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
Tatsuya (達也) Katsuhara (勝原)
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
Tatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったことゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
直生 亀山
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
 
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
Tatsuya (達也) Katsuhara (勝原)
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
Tatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
Tatsuo Kudo
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problems
Nat Sakimura
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
Masaru Kurahayashi
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
Kyohei Komatsu
 

What's hot (20)

APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
 
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったことゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
 
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problems
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
 

Viewers also liked

39 works:ドコモにおける オープンイノベーションプログラムの紹介
 39 works:ドコモにおける オープンイノベーションプログラムの紹介 39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介
Osaka University
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するには
junichi anno
 
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
Nat Sakimura
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
Nov Matake
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
Masahiro NAKAYAMA
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
 
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
満徳 関
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
Nov Matake
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
Naohiro Fujie
 
Where are the data professionals
Where are the data professionalsWhere are the data professionals
Where are the data professionals
Steven Miller
 

Viewers also liked (14)

39 works:ドコモにおける オープンイノベーションプログラムの紹介
 39 works:ドコモにおける オープンイノベーションプログラムの紹介 39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するには
 
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
 
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
Where are the data professionals
Where are the data professionalsWhere are the data professionals
Where are the data professionals
 

Similar to InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
Device WebAPI Consortium
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka
Katsumi Yamashita
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017]  CLD 023[Japan Tech summit 2017]  CLD 023
[Japan Tech summit 2017] CLD 023
Microsoft Tech Summit 2017
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
Kanako Kodera
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
 
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
Toshihiko Yamakami
 
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
エクストリーム ネットワークス / Extreme Networks Japan
 
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
junichi anno
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Azure 相談センター
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Daisuke Masubuchi
 
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
ID-Based Security イニシアティブ
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf
YusukeTamura7
 
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
cloudconductor
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
OpenID Foundation Japan
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
山田(YAMADA) 達司(Tatsushi)
 

Similar to InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - (20)

指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017]  CLD 023[Japan Tech summit 2017]  CLD 023
[Japan Tech summit 2017] CLD 023
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
 
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
 
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
 
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf
 
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID  - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
 

Recently uploaded

VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
company21
 
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
TsuyoshiSaito7
 
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
Tetsuya Nihonmatsu
 
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツールMOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
TsuyoshiSaito7
 
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
Tatsuya Ishikawa
 
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
Hironori Washizaki
 
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
Takuya Minagawa
 
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
shogotaguchi
 
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
iPride Co., Ltd.
 
Kyndryl Developer Services のご紹介 2024年7月
Kyndryl Developer Services のご紹介  2024年7月Kyndryl Developer Services のご紹介  2024年7月
Kyndryl Developer Services のご紹介 2024年7月
Takayuki Nakayama
 

Recently uploaded (10)

VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
VRM*VOICEVOX*GoogleCloudを使って自分だけのAIパートナーを作る話
 
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
【GPT4-o越えのリアルタイム会話AI】kyutai labsのMoshiデモ動画を解説
 
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
能動的サイバー防御の時代へ - GPTsから垣間見えた私達と未来のAIについて
 
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツールMOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
MOSHI: 革新的な音声AI QAIが開発した次世代のコミュニケーションツール
 
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
2024/07/04 Blazor+ローコードで実現する.NET資産のモダナイズ
 
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
「スマートエスイー」におけるスマートシステム&サービスおよびDX推進人材の産学連携育成ならびに参照モデルに基づく育成プログラム分析
 
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
第61回CV勉強会「CVPR2024読み会」(前編)発表資料:State Space Models for Event Cameras
 
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
「福利厚生をコストから投資へ」AIで社員1人ひとりに最適な支援を届ける 全く新しいカフェテリアプラン
 
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
MySQLの文字コードと照合順序について 2024/07/05の勉強会で発表されたものです。
 
Kyndryl Developer Services のご紹介 2024年7月
Kyndryl Developer Services のご紹介  2024年7月Kyndryl Developer Services のご紹介  2024年7月
Kyndryl Developer Services のご紹介 2024年7月
 

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

  • 1. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - Internet Week 2016 @ 11/30 サイバーセキュリティサービス事業本部 勝原 達也
  • 2. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1 自己紹介 勝原達也 https://www.linkedin.com/in/kthrtty , katsuhara[AT]nri-secure.co.jp 所属 野村総合研究所(2007~) NRIセキュアテクノロジーズ(2014~) 活動 Digital Identityに関わるビジネス企画・コンサル・開発運用  CIAM(Consumer Identity and Access Management)  認証・認可、OpenID/OAuth、APIエコノミー OpenIDファウンデーション・ジャパン  法人立ち上げ、教育・翻訳WG 新領域開拓中 ペネトレーションテスター デバイス・制御セキュリティ
  • 3. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2 はじめに - Identity Is The New Perimeter Source: Cloud Identity Summit 2012, http://www.slideshare.net/tkudo/cis2012toi (web.archive.org/web/20120808171917/http://www.cloudidentitysummit.com/) ペリメタ(境界)はもはやネットワークによって定義される ものではない。セキュア/非セキュア、内部/外部という定 義は意味がない。 企業の流動化で、重要なデータにアクセスするユーザーやデ バイスが急増している。 仮想化、パブリック/プライベート/ハイブリッドクラウド 環境を混ぜ合わせ、揮発性、不確実性、複雑性、あいまい性 (VUCA)を持ったネットワークを取り扱うことになった。 物理的な統制がより難しいのは、Firewallの内側にあるもの をセキュアにすることではなく、Firewallの先にあるものを セキュアにしていくことなのだ。
  • 4. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3 とある憂鬱な企業システムの例 クラウドサービスのアカウントは社内と統合されておらず個別ログイン 高コスト・低信頼性のクラウドサービスのアカウント管理がまかりとおる 生産性向上を目的としてShadow IT利用が増え、潜在リスクが増加 モバイルからVPN経由で社内システムを利用できるが、制限が多い スマートデバイスのネイティブアプリから利用できる業務はほとんどない
  • 5. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 4 企業内ネットワーク 課題を解決するために何をするべきか 目指す姿 マルチクラウドと社内システム間でのSSO クラウドに対するID管理の自動化 Shadow ITからSanctioned ITへのシフト どこからでもアクセスできる企業システム アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 Shadow IT問題 VPN CSVによる高コスト 低信頼性のID管理 モバイル NWペリメタ依存の 低ユーザビリティ リモートアクセス クラウド毎に別々の ID/PWで認証
  • 6. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 5 企業内ネットワーク ユーザビリティの低いクラウドサービスの利用は進まない システム毎に異なるID/PWを入力するフラストレーションは すでに企業内で体験済み クラウドを企業内で実現されている統合認証の傘下におさめたい アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル クラウド毎に別々の ID/PWで認証
  • 7. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6 クラウドサービスが備える連携機能 コンシューマ向けSSO  OAuth2/OpenID Connectベース一択  当然ながら、SAMLよりもAPI化との相性が良いプ ロトコルが好まれる 企業向けSSO  復活したSAMLニーズ 歴史的にエンタープライズIAM製品の多くが対応済 利用しているのはSSOプロファイルだけ 操作・管理API  今更SAML対応APIなんて作りたくはない(はず)  コンシューマ/スマホアプリ向けAPIを作って、 あとから”for Business”と題してSAML対応する  レガシー対応 CSVでのID管理機能 企業向け SSO 操作・管理 API コンシューマ 向けSSO
  • 8. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7 マルチクラウドを束ねるIdentity as a Service Cloud/SaaS IDaaSに認証を移譲(結果のID情報を受け入れ) 認証結果に基づき、サービス利用及びAPIアクセ ス認可 IDaaS ID管理、セキュリティトークン、アサーションの 生成・変換 IdP(対SaaS)であり、RP(対社内IdP)でもある 高付加価値:多要素認証、リスクベース認証 社内IdP 従業員の認証を行い、IDaaSやSaaSにID情報を 返却 7 認証結果 ID情報 サービス APIアクセス認可 Cloud/ SaaS IDaaS Enterprise *** 認証結果 ID情報 サービス APIアクセス認可 IDaaSに認証 を依頼して SSOしよう! 社内IdPに認証 を依頼して SSOしよう! IDaaSに認証 結果を返して SSOしよう!
  • 9. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8 企業内ネットワーク ID連携・IDaaS導入によるSSO実現はクラウド統制の大きな一歩 ID連携・IDaaSで、マルチクラウドの認証・認可をコントロール ユーザビリティ向上 アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル マルチクラウド 認証・認可・管理 (IDaaS) ユーザビリティ 認証セキュリティ
  • 10. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9 企業内ネットワーク 現場部門によるCSV手動メンテナンスはもうやめよう そのコストを正当化していないだろうか? 改善を諦めていないだろうか? アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル CSVによる高コスト 低信頼性のID管理 マルチクラウド 認証・認可・管理 (IDaaS)
  • 11. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10 ネットワーク境界の先とを繋ぐIDM SCIM - System for Cross-domain Identity Management Enterprize IAMにおけるアカウントプロビジョニングを、 SaaSやCloudなど異なるドメイン/事業者間でも実現でき るようにする仕様。 2011年 SCIM1.0発表 2015年 SCIM2.0(RFC7642、RFC7643) 標準スキーマ(スキーマ拡張可能) JSON/RESTベースのAPI 操作:作成、検索・参照、変更・削除、バルク処理 API認可手段としてOAuth2.0トークン利用を推奨 SCIM APIエンドポイントにJSONメッセージを送信し、 プロビジョニング実施 http://www.simplecloud.info SCIMクライアント SCIMサーバ JSON Method 操作 POST 作成 GET 参照 PUT 変更(全体) PATCH 変更(一部分) DELETE 削除
  • 12. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11 クラウドはSCIM I/Fを備え、IDaaSはSCIMを取り込み始めた 著名SaaS/CSPやIDM製品が実装するなど、 今のところ利用拡大の見込みあり 過去にも類似仕様はあったが・・・ SPML:Service Provisioning Markup Language 対象が広範かつ汎用的で複雑 SCIMはシンプルゆえに、浸透していく? G suiteのプロビジョニング例 G suiteはIDaaSでもある 外部のSaaSサービス(Slackなど)へSCIMで プロビジョニング オンプレ側からはプロプライエタリな Directory API利用 社内IdPとのID連携構成にすれば、 社内IdPで認証して、一気にSaaSへSSO Directory API (OAuth2ベース) 社内 プロビジョニング SSO(Google→SaaS) プロビジョニング SSO(社内→Google)
  • 13. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 12 企業内ネットワーク アイデンティティ管理はNW境界を超えることができる アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  • 14. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 13 企業内ネットワーク Shadow ITを、どのようにSanctioned ITへ変えていけばよいだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除 マルチクラウド 認証・認可・管理 (IDaaS) 登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル Shadow IT問題 ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング)
  • 15. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 14 情報システム部は悩んでいる クラウド利用におけるジレンマ Monitoring 利用されているクラウドサービスを発見し、潜在 リスクを把握したい。ハイリスクサービスはブロ ックしたい。 Sanctioned IT(↔Shadow IT) 生産性向上を邪魔したいわけではない 安全性を予め確認したサービスを使ってほしい Control 全てのクラウド・サービスにおけるアクティビテ ィ・データに対するIT統制をかけたい ポリシー違反、データ漏洩などに対する予防的・ 発見的統制 Source: Top Strategic Predictions for 2016 and Beyond http://www.gartner.com/newsroom/id/3143718 2020年における、クラウド・セキュ リティにおける失敗の95%は、利用者 の過失によるものとなる 2018年には、利用者が1000人以上の 企業の50%が、CASBを活用しSaaS等 のパブリック・クラウド利用をモニタ リング・管理するようになる。 クラウドは通常安全であるが、パブ リック・クラウドの利用を安全にする ためには、クラウド利用者側の明示的 な努力が必要であるという認識が高 まっていく。
  • 16. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 15 IT統制はクラウドと協調しながら行う時代へ CASB – Cloud Access Service Broker 可視化 クラウドサービスの発見/評価 クラウドと連携し、ユーザのアイデンテ ィティに基づく活動把握 データ・セキュリティ 機微情報の暗号化 管理外のファイルはあってはならない DLP(Data Loss Prevention)との連携 脅威防御 ユーザ/デバイスのアイデンティティ情 報を元にしたアノマリ検知 コンプライアンス 監査のための適切な情報記録・提供 ワークフロー Cloud Access Service Broker Private Cloud 社内モバイル アクセス Source: Gartner – The growing importance of Cloud Access Security Broker アクセス制御 情報保護 可視化 統制 セキュリティ コンプライアンス 管理・監査用 API提供
  • 17. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 16 広義のIdP CASB動作概要 利用者 CASB IDaaS 認証サーバ (オンプレミス) 1.サービス利用要求(login.saas.com) 2. ID連携要求(SaaS➙CASB) 3. 認証を移譲するため、 更にID連携要求 (CASB➙IDaaS/社内IdP) 4. ユーザ 認証実施 5. ID連携応答 (対CASB) 6. CASB経由でクラウドにアクセス (リバースプロキシ:saas.casb.com) 7. 直接クラウドにアクセスさ れても、クラウド側が用意 したAPI経由で監査・分析 ***
  • 18. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17 アイデンティティを軸に拡張された企業ネットワーク 企業内ネットワーク アイデンティティを軸にしたIT統制で企業NWは拡張していく アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS)
  • 19. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 18 企業内ネットワーク モバイルと社内のネットワーク境界を感じさせないようにできないだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS) NWペリメタ依存の 低ユーザビリティ リモートアクセス
  • 20. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 19 Googleが推進するイニシアチブ BeyondCorp – A new Approach to Enterprise Security “Zero Trust” エンタープライズ・ネットワークは、もはやインターネ ット同様に「安全な場所ではない」という原則 “Identity Is The New Perimeter” 従来のネットワークに基づくアクセスコントロールから の脱却 「デバイス」・「ユーザ」・「状態」に基づくアイデン ティティベースの制御 “Access the Application, Regardless Network” Public DNSにエンタープライズ・リソースを登録 Access Proxyを介してリソースへアクセス VPN接続の廃止 Googleエンタープライズ・アプリケーション ログイン画面(インターネットから到達可能) 2要素認証 (OTP/FIDO U2F) Source: “BeyondCorp” - USENIX login; 2015, 2016
  • 21. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20 モバイル (境界の外) オフィス内 (物理境界/NW境界) BeyondCorpが実現する「切れ目のない」境界 利用者にとっては、インターネット と社内システムの境界が無くなった ように見える デバイスのアイデンティティが重要  インベントリ情報を収集・送信する エージェント導入  ソフトウェアのパッチ適用  クライアント証明書導入  etc… デバイス・人のアイデンティティに 基づいて、アクセス可能な 「トラスト・ティア」が計算される 802.1x RADIUS Gateway (Access Proxy) Access Control Engine SSO/認証システム Trust Tier 必要に応じて 社内ID/PW認証 High Device Inventory Service Low パブリック ネットワーク インベントリ情報 ***
  • 22. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 21 BeyondCorp アクセスコントロールとコンポーネントの関連 データソース アクセス・インテリジェンス ゲートウェイ リソース アクセス制御に必要なデバイス の情報をDevice Inventory Serviceに提供。 インベントリ情報を元に、アク セスして良いティアを計算。 ゲートウェイに対してアクセ ス・コントロールを実施 リソースへのアクセスを制 限・許可する。 アクセス先ネットワークやア プリケーション。 Web APIのエンドポイントも含 まれる。 リソース・アクセスを認可するのに 必要なトラスト・ティア、条件を記 述 インベントリ情報を元に、デバイスが アクセス可能なトラスト・ティアを計 算 Source: BeyondCrop - Design to Deployment at Google, ;login: SPRING 2016 VOL.41 計算されたトラスト・ティアと、インベントリ情報、 ユーザ情報とAccess Policyを総合して、リソースへ のアクセス認可を判断する。Policy Decision Point デバイスの状態(インベン トリ情報)を収集、管理する Policy Enforcement Point
  • 23. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 22 BeyondCorpに到達できるだろうか・・・? Google 15種類のソースから、1日300万件のインベントリ情報(80テラバイト超) B4(データセンターWAN)やAndromeda(GCP仮想化スタック)など、高度なSDN IT内製主義 ブラウザ中心主義 VPNなど専用のソフトウェア不要 ネイティブアプリ向けWebAPI対応も同じ仕組みにのっかる そもそもやりたかったことは何か? ITシステムへのアクセスをよりシームレスかつセキュアにできれば良い ユーザに意識させずに動的にNW境界を組み替える方法はないのか? (ネットワーク境界からの代替アプローチがありそう)
  • 24. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23 Software Defined Perimeter 動的にNWレベルの境界を構成するためのフレームワーク  米国防総省が開発したコンセプトに、NISTなどのセキュリ ティ標準を組み合わせ、民間利用に転用 概要  制御とデータを取り扱う経路を分ける  ネゴシエーションしなければホストのIPは見えない(秘匿)  目的のホストと動的にセキュア・チャネルを構築  ユーザ認証・認可の細かい方法はスコープ外 デバイス/ユーザ・アイデンティティに基づいたアクセス制御 を導入することが望ましい点は、BeyondCorpと一緒  クライアントアプリが必要なので、スマートデバイスでの対 応は簡単ではないかもしれない Cloud Security Allianceが2013年に”SDP WG”を立上げ  共同議長に 元CIA CTO https://downloads.cloudsecurityalliance.org/initiatives/sdp/Software_Defined_Perimeter.pdf  コカ・コーラ社が先行適用? https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf Client Server Data 通常の通信 制御とデータの両方が直接やり取りされる SDPのコンセプト 制御とデータを取り扱うエンティティを分割する Client ServerData Controller ControlControl Control
  • 25. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 24 Source: https://cloudsecurityalliance.org/group/software-defined-perimeter/ SDP≒アクセスしたいときにだけ動的に構成されるNW境界 登場人物 Initiating SDP Host SDP Hostに接続を要求するホスト SDP Controller Initiating SDP Hostからの要求に基づき、認 証・認可を行い、Accepting SDP Hostとの 動的なチャネル構築を仲介するコントローラ Accepting SDP Host SDP Contorollerからの認可に基づき、 initiating SDP Hostからの接続を受け入れる 実体としては、例えばアプライアンス機器 更にその裏に実際に配備されているホスト、 またはネットワーク 5. 接続元Initiating SDP Hostからの接続待ち開始 4. アクセス認可対象の Accepting Host決定 1. コントローラがオンライン 3. アクセス認可を要求 (セキュアVPN構築) 2. コントローラと セキュアVPN構築 7. セキュアVPN構築 6. 接続先Accepting SDP HostのIPリストを受領
  • 26. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25 アイデンティティを軸に統合された広義の企業ネットワーク 企業内ネットワーク アイデンティティを軸に広がる企業ネットワーク アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ セキュアクラウド利用 (CASB) データ・セキュリティ ガバナンス モバイル アクセス ゲートウェイ あらゆる場所から 社内同様にアクセス (BeyondCorp/SDP) ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  • 27. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 26 まとめ クラウドサービス利用やリモートアクセスの課題を解決するために、 セキュリティ境界がネットワークからアイデンティティに変わっていく IDaaSなどを利用したクラウドサービスに対するユーザビリティ向上、 統合認証への組み込み、ID管理の範囲拡大が必要となる Shadow ITを解決するソリューションとして、CASBはアイデンティティを 軸にクラウドサービスと連携してIT統制をかけていく モバイルからシームレスに企業内リソースへアクセスするために、 デバイス/ユーザのアイデンティティに基づいたアクセス制御が重要である
  • 28. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル TEL:03-6706-0500 E-mail:info@nri-secure.co.jp HomePage:http://www.nri-secure.co.jp この資料に掲載されている社名、製品名などは、各社の表示、商標または登録商標です。

Editor's Notes

  1. 2012年頃から登場したキーワード Bob Blakley @ Gartner(当時)? The perimeter is no longer defined by your network and your definition of secure, non-secure, internal or external is irrelevant. With a fluid enterprise, users and the devices used to access your critical data are multiplying. Add virtualization, public, private and hybrid cloud environments to the mix, and you get a Volatile, Uncertain, Complex and Ambiguous (VUCA) network. With less physical control, it's not about securing what's behind your firewall, but securing what's beyond.
  2. 事例 やはり社内IdPとの連携はSAMLが主流 歴史的経緯、エンタープライズIAM製品の多くが対応 IDaaSとSaaSの連携はOAuth/OpenID Connectが主流になりはじめた SaaSにとってはSAMLよりもスマホAPIなどとの相性が良いプロトコルが好まれる コンシューマ/スマホアプリ向けのAPIをベースに、 あとから”for Business”と題してSAML対応する
  3. http://otn.oracle.co.jp/technology/global/jp/sdn/javasystem/techtopics/identity/200810.html https://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_08.html ■SCIM1.0 https://www.pingidentity.com/en/blog/2011/10/20/SCIM-interop-shows-specification-coming-to-life.html The SCIM work has been led by Cisco, Google, Ping Identity, SailPoint, Salesforce.com, VMware, and UnboundID.
  4. https://help.salesforce.com/articleView?id=identity_scim_overview.htm&language=ko_3_3_2_3_2&type=0 https://api.slack.com/scim
  5. 10) Through 2020, 95 percent of cloud security failures will be the customer's fault Security concerns remain the most common reason for avoiding the use of public cloud services. However, only a small percentage of the security incidents impacting enterprises using the cloud have been due to vulnerabilities that were the provider's fault. This does not mean that organizations should assume that using a cloud means that whatever they do within that cloud will necessarily be secure. The characteristics of the parts of the cloud stack under customer control can make cloud computing a highly efficient way for naive users to leverage poor practices, which can easily result in widespread security or compliance failures. The growing recognition of the enterprise's responsibility for the appropriate use of the public cloud is reflected in the growing market for cloud control tools. By 2018, 50 percent of enterprises with more than 1,000 users will use cloud access security broker products to monitor and manage their use of SaaS and other forms of public cloud, reflecting the growing recognition that although clouds are usually secure, the secure use of public clouds requires explicit effort on the part of the cloud customer.
  6. MicrosoftのActivity API BoxのAPI
  7. https://totalproductmarketing.com/the-growing-importance-of-cloud-access-security-brokers/ https://www.skyhighnetworks.com/cloud-security-blog/how-a-casb-integrates-with-an-on-premises-dlp-solution/ http://www.gartner.com/newsroom/id/3143718
  8. レガシー/サードパーティシステム向け考慮 SSHトンネル ローカルプロキシ
  9. データソース 例)資産情報、パッチ管理、デバイス/ユーザ証明書CA、脆弱性情報、接続ネットワーク
  10. https://www.rsaconference.com/writable/presentations/file_upload/cds-t08-software-defined-perimeter-securing-the-cloud-to-the-internet-of-things.pdf http://cloudsecurityalliance.jp/Benkyokai/20141028/Benkyokai1028_Congress2014_Report_SDP.pdf https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf
  11. https://pixabay.com/ja/%E3%83%9B%E3%83%AF%E3%82%A4%E3%83%88-%E3%83%9C%E3%83%BC%E3%83%89-%E7%94%B7-%E3%83%97%E3%83%AC%E3%82%BC%E3%83%B3%E3%83%86%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3-%E6%9B%B8%E3%81%8D%E8%BE%BC%E3%81%BF-%E3%83%87%E3%82%A3%E3%82%B9%E3%83%97%E3%83%AC%E3%82%A4-849811/