1 © NEC Corporation 2021
IDaaS を利用すべき理由と
エンジニアがおさえておくべきポイント
釜山 公徳 (かまやま まさのり)
エバンジェリスト
NEC (日本電気株式会社)
デジタルビジネス基盤本部 クラウド・エンジニアリンググループ
(兼) 金融システム本部
(兼) サイバーセキュリティ戦略本部
Tech-on MeetUp Online#04
「いまエンタープライズのエンジニアが押さえておきたい認証認可、IDaaS」

3 © NEC Corporation 2021
担当領域
 主に金融
社外団体、コミュニティ活動等
 FISC(金融情報システムセンター) 有識者検討会 委員
 CSA-JC クラウドセキュリティWG リーダー
 CompTIA Subject Matter Experts
 JASA、JNSA、他
コラム等
 あなたの守りたい「モノ」は何ですか？どうやって守
りますか？
(NISC(内閣サイバーセキュリティセンター) : サイ
バーセキュリティ ひとこと言いたい！)
https://www.nisc.go.jp/security-
site/month/h29/column/20180314.html
自己紹介

ノンテクニカルサイド

5 © NEC Corporation 2021
デジタルアイデンティティにおける主な標準化とガイドライン
•NIST SP800-63 電子認証に関するガイドライン
NIST
•ISO/IEC 24760-1:2019 IT Security and Privacy — A framework for identity management —
ISO
•OpenID Connect
•CIBA (Client Initiated Backchannel Authentication)
•FAPI (Financial-grade API)
OpenID Foundation
•FIDO (Fast IDentity Online)
FIDO Alliance

6 © NEC Corporation 2021
本人確認の重要性
身元確認
• 自己申告、公的身分証等
当人認証
• ID/Password 認証、生体認証等
本人確認
• 身元確認＋当人認証
https://www.meti.go.jp/press/2020/04/20200417002/20200417002.html

7 © NEC Corporation 2021
犯収法 (犯罪による収益の移転防止に関する法律)
▌所謂マネー・ローンダリング対策
の法律
▌従来の本人確認法と組織的犯罪処
置法の置き換え
▌2007年に一部施行、2008年に全
面施行
https://www.fsa.go.jp/news/30/sonota/20181130/01.pdf

8 © NEC Corporation 2021
IDaaS 市場
Microsoft (Azure AD) 以外にOneLogin、Okta等のベンダーの台頭
https://www.okta.com/jp/resources/access-management-leader-gartner-magic-quadrant/

9 © NEC Corporation 2021
参考) SAML (Security Assertion Markup Language)
IdP：Identity Provider
•認証情報を提供する側
•例：OneLogin、Okta、AzureADなど
SP：Service Provider
•サービスの提供側、認証情報を利用する側
•例：Box、Office365、Slackなど
アサーション：Assertions
•認証済みのユーザーID、属性情報、認証元IdPな
どから構成する認証情報(トークン)
ユーザー認証を行うための認証情報の規格
• OASIS で標準化
• XMLベース
• SSOの方式：フェデレーション方式
• 主要なコンポーネント
• IdP、SP、アサーション、ユーザー

10 © NEC Corporation 2021
OpenID Foundation
OAuth 2.0
•委譲プロトコル
•アプリケーションがリソース所有
者の代わりに対象リソースへアクセ
スするための手段
•ID/Pass 不要でアプリケーション
間の連携が可能
OpenID Connect 1.0
•OAuth 2.0 を使ったユーザー認証
を行うための相互運用可能な方法
•QAuth 2.0 に加えて JOSE (JSON
Object Sighing and Encryption)
も採用
•アプリリーションは一つのプロト
コルで多くの IdP とやり取り可能
FAPI (Financial-grade
API)
•OpenID Foundation 傘下のワーキ
ンググループが策定を進めている
•OAuth プロファイルにより保護さ
れた REST/JSON データモデルの
仕様群と、その仕様群をオンライン
金融サービスに適用する上での実装
ガイドラインの提供を目標に
CIBA (Client Initiated
Backchannel
Authentication)
•デカップルド・フロー（decoupled
flow）に分類される認証と認可のフ
ロー

11 © NEC Corporation 2021
FIDO について

テクニカルサイド

13 © NEC Corporation 2021
そもそも認証と認可(承認) とは
認証
•Authentication (AuthN)
•リソースにアクセスする個人またはサービスの
身元を確認するプロセス
•(例) Open ID Connect、SAML
認可
•Authorization (AuthZ)
•認証された個人またはサービスに付与されるア
クセス権のレベルを確認するプロセス
•(例) OAuth

14 © NEC Corporation 2021
参考) OAuth 2.0 承認コード フロー

15 © NEC Corporation 2021
クラウド導入によくある課題
ID:user01
PW:abc12
ID:userAA
PW:123xy ID:taroA1
PW:hoge987
ID:nec taro
PW:zzz765
Active Directory
IDとパスワードが多すぎて
覚えられない…
パスワード再発行まで時間
がかかる…
ユーザー 管理者
パスワードポリシーが統一
できないとセキュリティ
レベルが低下…
組織変更/異動に伴うID発行
や権限設定の作業が膨大…
ID・パスワード管理の複雑化
制限のないアクセス
どこからでもアクセスでき
るけどいいのかな… ID/PWは攻撃されやすい…

16 © NEC Corporation 2021
IDaaS の位置づけ
IAM：Identity Access Management
•認証、認可、ユーザー管理、アクセス管理
PAM : Privileged Access Management
•特権管理ツール
IGA : Identity Governance & Administration
•ガバナンスに基づく統合的なID管理
MFA : Multi Factor Authentication
•多要素認証
EMM : Enterprise Mobile Management
•モバイル端末、アプリケーションの管理
WAM: Web Access Management
•従来からあるWebサイトのID管理
IAM
IGA
PAM
IDaaS
WAM
MFA
EMM

17 © NEC Corporation 2021
OneLogin でできることの例
▌セキュリティ強化
『アクセスコントロール』
•社内外や端末によるアクセス制御をポリシー管理
『多要素認証』
•ワンタイムパスワードやPKI証明書などで認証強化
『ログ・レポート』
•ログイン履歴や使用履歴をログ管理
▌アカウント管理
『シングルサインオン』
•複数クラウドサービスのID・パスワードを一元管理
•ポータル経由でクラウドサービスにログイン
『ディレクトリ連携』
•ActiveDirectoryなどと連携
•ディレクトリ連携しプロビジョニング、マッピング
ID:nec taro
PW:zzz765
Active Directory
ディレクトリ連携
シングルサインオン
プロビジョニング
各サービスへユーザー
など自動同期！
社内 社外
アクセスコントロール
OTPなど多要素認証！
リスクベース認証
ログ(レポート)

18 © NEC Corporation 2021
OneLogin 導入イメージ
SaaS
社内システム
(Webアプリケーション)
Active Directory
社内PC
インターネット
社内LAN
ファイアウォール
ADC
HTTPS HTTPS,SSL/TSL,VPN
ポータルにアクセス
スマホに
プッシュ通知
ID/PWでログイン
SAMLなど
SSO
SSO
証明書
IPアドレス制限
リアルタイム同期
多要素認証
20カ国語対応
SAML化
SAMLなど
外出先 海外
異常検知
自宅
リダイレクト
全操作はログに

19 © NEC Corporation 2021
Azure AD の認証方法
Windows Hello for
Business
Microsoft
Authenticator アプ
リ
FIDO2 セキュリティ
キー
OATH ハードウェア
トークン
OATH ソフトウェア
トークン
SMS
音声 Password
認証と認可を提供する IDaaS
ロケーションフリー (オンプレミス・クラ
ウド(M365を含む)に関係なく利用可能)

20 © NEC Corporation 2021
Azure Active Directory の機能概要一覧
•ID の検証、セルフサービスパスワードリセット、多要素認証 (MFA)、カスタムの禁止パスワード一覧、スマート ロック
アウトサービスなど
認証
•ユーザーは 1 つの ID と 1 つのパスワードを記憶するだけで複数のアプリケーションにアクセス
シングルサインオン
•Azure AD アプリケーション プロキシ、SSO、マイ アプリ ポータル (別称: アクセス パネル)、SaaS アプリを使用して、
クラウドおよびオンプレミスのアプリを管理
アプリケーション管理
•ゲスト ユーザーと外部パートナーを管理しながら、自社の企業データに対するコントロールを維持
企業間 ID サービス (B2B)
•アプリとサービスの使用時にユーザーがサインアップおよびサインインする方法や自分のプロファイルを管理する方法を
カスタマイズして制御
企業-消費者間 ID サービス (B2C)
•クラウドまたはオンプレミスのデバイスが会社のデータにアクセスする方法を管理
デバイス管理

21 © NEC Corporation 2021
Azure AD と Windows Server AD との違い
 全く別の製品
 プロトコルの違いに注目

22 © NEC Corporation 2021
Windows Server AD との連携
Azure AD Connect (AADC) を使う
コンポーネント
• 同期サービス
• 正常性の監視
• AD FS
• パスワードハッシュ同期
• パススルー認証

23 © NEC Corporation 2021
 ID 関連はビジネスサイドとテクニカルサ
イドの両サイドを抑える
 諸々複雑なのでガイドラインなどを活用し
よう
まとめ