Axies2017 「クラウド時代の認証基盤10のポイント」

クラウド時代の認証基盤
10のポイント
(大学IT部門の新しい役割)
2017年12月13日
エクスジェン・ネットークス(株)
AXIES2017

Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.1
① 認証基盤システムの概要
② ID管理とライセンス管理
③ 認証市場の五つの標準化技術
④ IDaaSの概要
⑤ EXGENのIDaaS~Extic(若干の宣伝)
⑥ クラウド的利益
⑦ EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝)
⑧ 大学IT部門のクラウド対応
⑨ 学認とトラストフレームワーク
⑩ 大学IT部門の新しい役割(私の提案)
10のポイント

IT部門担当者
アプリケーション
ID管理
・必要性①~システムの増殖
・組織の中でシステムは増殖するもの
アプリの中に「ID管理」のしくみが一緒に存在したまま、
システムが増殖すると、、
1. 認証基盤システムの概要

Copyright© 2017 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
・ID情報に対する入学 & 進級 & 卒業、人事異動の反映処理が
煩雑になる
①新入生の入学に伴う、ユーザIDの登録
(入学手続きの完了からシステムの利用開始までの期間が短かい)
②卒業に伴う、ユーザIDの無効化・削除
③教職員の人事異動に伴う、アクセス権限の迅速な変更
④教職員の退職に伴う、アクセス権限の迅速な無効化・削除
⑤派遣社員、協力会社社員等の源泉DBに存在しないユーザの管理
・ID情報の鮮度を維持するのが困難に
ID運用管理業務の効率化＝ID管理システムの整備が必要に
・必要性①~システムの増殖
3

・最近はオンプレシステムだけでなくクラウド利用が増えている
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
ID
パスワード
4
クラウド
・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが
学外に出て行く
IT部門担当者
・必要性②~クラウドの増殖

・セキュリティポリシーコントロールが困難に
クラウドを利用する大学のセキュリティポリシーに応じた認証手段の
採用が困難
・ID/パスワードの漏えいリスク
セキュリティレベルの低いクラウドから漏えいするリスク
・IDとパスワードのセットをコントロール可能な場所に置く
セキュリティレベルの低いクラウドにIDとパスワードのセットを預けず、
認証を行いたい
フェデレーション技術の認証利用
5
・必要性②~クラウドの増殖

IdP SP
1
2
3 4
大学クラウドサービス
5
認証用
ID情報
6
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から大学への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
・フェデレーション技術の認証利用

アプリケーション
認証基盤
ID管理
認証
認証基盤アプリケーション
・「ID管理」のしくみと「認証」のしくみ
ID情報
7
・「認可」のしくみはアプリケーションと密着している場合が多い
～アプリから切り離すのはなかなか難しい
～属性情報連携(プロビジョニング)によるロール情報連携
・「ID情報」の再利用が可能になる
認可
認可
認可
認可
認可
～アプリケーションから切り離す
・概略

ID管理機能
IaaS
PaaS
データセンター
オンプレ
連携先
システム
学認
メガSaaS
業務系SaaS
SaaS
ID情報
マスタDB
認証機能
認証
認可
認可
認可
認可
認証基盤システム
8
1 2
3
『新鮮なID情報の維持』＋『認証/認可』
必要なしくみ
1.認証基盤システム
①ID管理機能(IDM)
②認証機能(IdP)
③ID情報マスタDB
2.連携先システム
④認可機能
機能構成と実装場所
4
適切なアクセス権限管理の維持
認証基盤構築の目的
・基本構成

・サービス利用契約に応じたライセンス数分のIDの事前配布
・ID情報自体が業務アプリのコンテンツとなっている場合が多い
・IT部門が学生/教職員/のID情報をメンテナンスする
UI
SP
IdP
ID情報
UI
個人
認証用
ID情報
学生/教職員
ID情報
学務/教務
システム
ID管理
システム
大学
API
API
ID情報
ID情報
IdP
SP
SP
セキュリティ
ポリシー
ID情報
マスター
AD
IT部門
・組織におけるフェデレーションとプロビジョニングの併用

IdP SP
ID管理
システム API0
1
2
3 4
大学クラウドサービス
5
【プロビジョニング】ID情報の事前登録0
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から大学への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
認証用
ID情報
ID情報
(一部の情報)
10
・組織におけるフェデレーションとプロビジョニングの併用

ID管理機能認証機能
IaaS
PaaS
データセンター
オンプレ
連携先
システム
学認
メガSaaS
業務系SaaS
SaaS
ID情報
マスタDB
認証
認可
認可
認可
認可
認証基盤システム
2. ID管理とライセンス管理
①
①＋②
②ライセンス管理
・ライセンス付与/把握/剥奪
①ID管理
・属性情報管理
・認可情報等のきめ細かな連携
・グループ & メンバー情報管理

3. 認証市場の五つの標準化技術
フェデレーション
プロビジョニング
多要素認証 FIDO
SCIM
OAuthOpenID Connect
SAML(Shibboleth)

クラウドオンプレ
他大学との情報共有
認証基盤
SaaS化
マルチテナント化して
クラウドサービスとして提供
ID情報マスターDB
IDaaS
ID管理機能
認証機能
4. IDaaSの概要
・概略

ID情報
(一部の情報)
大学
SaaS
ID情報
マスターDB
SaaS
SaaS
ID情報
(一部の情報)ID情報
(一部の情報)
IDaaS
14
ID情報
マスターDB
(全部の情報)
セキュリティ境界
セキュリティ境界
セキュリティポリシーコントロールの効く範囲
①統合型セキュリティツールを実装
②24/365のインフラ & サービス監視
③情報セキュリティマネージメント認定
・ID情報マスターDBを保管する場所、IdPで認証を行う場所の安全性が課題
・クラウドを利用する大学にとってはIDaaSまでがセキュリティ境界内
・IDaaSのセキュリティレベルはクラウドを利用する大学と同等もしくは
それ以上であることが必要
フェデレーション
・サービス監視の必要性
4. IDaaSの概要

ID管理機能認証機能
ID情報
マスタDB
クラウドインフラ
1 2
3
15
4
5
SaaS
SP
API
SaaS
SP
API
SaaSエコシステム
(IDaaSベース)
6
フェデレーションと
プロビジョニングで
認証連携された
複数のSaaSの塊り
IdP
・基本構成
4. IDaaSの概要

LDAP
UNIX
コマンド
Active
Directory
大学内
利用者管理者
CSV AD PW
Hook
G Suite
Office365
シングル
サインオン
シングル
サインオン
プロビジョ
ニングSAML /Shibboleth
ID管理機能
認証 & ID管理ポータル
ID情報
マスタDB
認証用
LDAP
ID情報メンテナンス
GUI ADCSV
IdP機能
5. EXGENのIDaaS~Extic(若干の宣伝)
・概略

5. EXGENのIDaaS~Extic(若干の宣伝)
・コンセプト

・変化に対する柔軟性(Flexibility)と機敏性(Agility)とコスト削減
6. クラウド的利益
・手段と目的
・大学はクラウドサービスを使うことが目的か？
・クラウドサービスを使うことは手段
・大学の最終的な目的は、クラウドサービスを利用することで
発生する利益(以下、クラウド的利益)を享受すること
・クラウド的利益とは
認証基盤の
整備
クラウドの
有効活用
クラウド的
利益の享受

クラウド
インフラ
アプリ
◎クラウドサービスとして安価な月額従量料金で提供される点
△ ユーザ単位の月額固定料金
◎クラウドインフラとしての柔軟性
△ アプリ構築にはSIが発生
アプリアプリ
クラウド
インフラ
クラウド
インフラ
・SaaSのクラウド的利益と短所
・IaaS/PaaSのクラウド的利益と短所

クラウド
インフラ
アプリアプリ構築費用(マルチテナント x 構築/展開自動化機能を実装)
インフラ構築費用(構築/展開自動化機能を実装)
インフラ構築費用(構築/展開自動化機能を実装)
複数のアプリでクラウドインフラを共有することが可能
ITリソース単位の価格体系で、繁忙期⇔閑散期のコスト調整が可能
◎クラウドインフラとしての柔軟性
アプリアプリ
クラウド
インフラ
クラウド
インフラ
・SaaSのクラウド的利益の源泉
・IaaS/PaaSのクラウド的利益の源泉
SaaS業者のSI工数削減
△アプリ構築にはSIが発生：ここがリーズナブルであれば、、
Extic
LM on
Azure

7. EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝)
・概略
Azure
AD
Office365
教職員
ID情報
学生
ID情報
AD
GAKUEN
ID情報 UNIVERSAL
PASSPORT
ID情報
LDAP Manager
SAML
認証用DB
EXGEN IdP
SAML
IdP
LM on Azure
ID情報
マスタDB
・標準パッケージ構成
・LDAP Manager (無制限版)
＋ Ofiice365 (AzureAD) 連携
＋ GAKUEN/UNIVERSAL PASSPORT 連携
＋ AD 連携
＋ LDAP 連携
＋ CSV 連携(IN/OUT)
＋ EXGEN IdP 連携
・EXGEN IdP
お客様
LDAP
プラグイン付き
スペシャルエディション

Azure
LDAP Manager
SAML
認証用DB
EXGEN IdP
SAML
IdP
ID情報
マスタDB
EXGENによる事前検証
結果の無償提供
大学様
EXGENによる設定テンプレーの提供
SIer様によるシステム構築＋
LM on Azure
プラグイン付
スペシャルエディションで
利用方法を限定して提示
Azure
LDAP Manager
ID情報
マスタDB
SIer様による事前検証
大学様
SIer様によるシステム構築
LM + Azure
SIer様による設計
(プラグイン選択)
SI工数
削減
・LM on Azure と LM + Azure の違い
7. EXGENのIaaS/PaaSソリューション~LM on Azure(若干の宣伝)

設計/構築/運用クラウド
アプリ
PC
クラ
ウド
23
8. 大学IT部門のクラウド対応
・IT環境の変化
大学学生
IT部門
大学
学生
IT部門
サーバ
PC
アプリ
設計/構築/運用利用
利用
持ち込み
持ち込み
(設計/構築/運用)
サーバ
PC
スマホ
放置するとコントロール不能になる
変化への対応が必要新たな対応が必要
調達業務/協力IT企業の変化、
放置するとIT競争力が低下する
シャドウ(野良)IT状態
クラウド
クラ
ウド
BYOD
BYOCloud
BYOID

・企業におけるシャドウ(野良)IT対策 (ID & IT2014の発表から)
エンドユーザ
営業
部門
IT
部門
SaaS設定
利用
選定・契約
開発・機能評価
設計
要件定義
構築・設定
運用管理
野良IT状態

エンドユーザ
営業
部門
IT
部門
⑤利用
③選定・契約
①セキュリティ
ポリシー作成に関与
②利用規定作成に関与
④設定
⑥運用監視
非野良IT状態
SaaS

エンドユーザ
営業
部門
IT
部門
SaaS
IDaaS
クラウド
IDMID情報
メンテ
クラウド
利用設定管理
④設定
選定・契約
利用
メンテ
ログ管理
⑥運用監視

エンドユーザ
営業
部門
IT
部門
SaaS
IDaaS
クラウドIDM
クラウド
SSO
RP
IdP
クラウド
利用状況管理
認証ポータル
認証
ログ管理
⑥運用監視
選定・契約
利用
セキュリティ
ポリシー
利用規程

IDaaSの利用 +
ポリシー策定＆監視屋
従来型
社内システム何でも屋

・企業⇔従業員/大学⇔学生の関係性の考察
企業従業員
就業規則
給与
雇用契約
秘密保持契約
労働関係諸法規
シロウト考えです
すみません
大学教職員
就業規則
給与
雇用契約
秘密保持契約
労働関係諸法規
学生
学則
学校教育法
学費
企業よりも大学のほうが、
シャドウ(野良)ITが
発生し易い環境なのでは？

9. 学認とトラストフレームワーク
Policy Maker
(ポリシー策定者)
Trust Framework Provider
(トラストフレームワーク提供者)
監査人
Relying Party
(サービス提供者)
Identity Provider
(認証サービス提供者)
利用者
契約契約
認証
認定
監査
認定
利用

Identity Provider
利用者
C大学
Identity Provider
利用者
B大学
A大学
31
利用者
Identity Provider
Relying Party
各校が管理するIDを利用して
クラウドサービスで情報共有を行う
IDM
&
IdP
&
共通ポリシー
・複数の大学がセキュアに情報共有を行う場合、各校でセキュリティレベルを
統一し、ID情報の鮮度を維持する必要がある。
・そのためには、共通ポリシー(セキュリティポリシーやID運用管理ポリシー)を
策定し、遵守するしくみが必要。

Policy Maker
監査人
Relying Party
Identity Provider
利用者
契約契約
認証
認定
監査
認定
利用
IDM & IdPという
テクノロジーの提供＋
トラストフレームワークという
ガバナンス(しくみ)の提供
NIIの仕事＝
NII
大学
Shibboleth
(標準化技術)

Policy Maker
監査人
Relying Party
Identity Provider
利用者
契約契約
認証
認定
監査
認定
利用
IDM & IdPという
テクノロジーの提供＋
トラストフレームワークという
ガバナンス(しくみ)の提供
IT部門の
新しい役割
＝
10. 大学IT部門の新しい役割(私の提案)
大学IT部門
学生/教職員

①セキュリティポリシー
作成に関与
②利用規定作成に関与
⑥運用監視
IDaaS
34
・IT部門が提供するもの
大学
学生
IT
部門
SaaS
ID情報
メンテ
選定・契約
利用
メンテ
ログ管理
RP
IdP
認証ポータル
クラウド
IDM
クラウドSSO
④設定
学生/教職員が
快適かつセキュアに
システム/サービスを
利用するには、
システムだけでなく
しくみの併用が必要。
大学IT部門は
そのしくみ作りや
しくみを維持するための
運用に積極的に関与する。

・(例)ISMS取得を主幹する
・(例)LoA(NIST800-63)に沿った
Identity Proofingのしくみを構築する
学生/教職員が
大学IT部門は

・SP800-63-3(NIST)/2017年6月22日に改訂(最終)版が公開
Digital Identity
Guidelines
Enrollment & Identity Proofing
Authentication & Lifecycle Management
Federation & Assertions
SP800-63A
SP800-63B
IAL：Identity Assurance Level
SP800-63C
AAL：Authenticator Assurance Level
FAL：Federation Assurance Level

・(例)ISMS取得を主幹する
・(例)LoA(NIST800-63)に沿った
Identity Proofingのしくみを構築する
ID パスワード
属性
情報①
属性
情報②
認可利用認可利用認可利用
認証利用認証利用
(ID情報＝属性情報の塊)
・(例)『IT部門が保証するものはID情報です。』
学生/教職員が
大学IT部門は
大学内のNIIになる

Axies2017 「クラウド時代の認証基盤10のポイント」

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Axies2017 「クラウド時代の認証基盤10のポイント」

Similar to Axies2017 「クラウド時代の認証基盤10のポイント」 (20)

Axies2017 「クラウド時代の認証基盤10のポイント」