SlideShare a Scribd company logo

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

Tatsuya (達也) Katsuhara (勝原)
Tatsuya (達也) Katsuhara (勝原)

InternetWeek2016で公演した際のスライドです。 以下のトピックスについて述べています。 CASB(Cloud Access Security Broker) シャドウITとサンクチュアリIT、DLP(Data Leak Prevention) SCIM(Simple Cloud Identity Management) IDaaS(Identity as a Service) SAML、OAuth、OpenID BeyondCorp SDP(Software Defined Perimeter)

Technology
1 of 28
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - Internet Week 2016 @ 11/30 サイバーセキュリティサービス事業本部 勝原 達也
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1 自己紹介 勝原達也 https://www.linkedin.com/in/kthrtty , katsuhara[AT]nri-secure.co.jp 所属 野村総合研究所(2007~) NRIセキュアテクノロジーズ(2014~) 活動 Digital Identityに関わるビジネス企画・コンサル・開発運用  CIAM(Consumer Identity and Access Management)  認証・認可、OpenID/OAuth、APIエコノミー OpenIDファウンデーション・ジャパン  法人立ち上げ、教育・翻訳WG 新領域開拓中 ペネトレーションテスター デバイス・制御セキュリティ
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2 はじめに - Identity Is The New Perimeter Source: Cloud Identity Summit 2012, http://www.slideshare.net/tkudo/cis2012toi (web.archive.org/web/20120808171917/http://www.cloudidentitysummit.com/) ペリメタ(境界)はもはやネットワークによって定義される ものではない。セキュア/非セキュア、内部/外部という定 義は意味がない。 企業の流動化で、重要なデータにアクセスするユーザーやデ バイスが急増している。 仮想化、パブリック/プライベート/ハイブリッドクラウド 環境を混ぜ合わせ、揮発性、不確実性、複雑性、あいまい性 (VUCA)を持ったネットワークを取り扱うことになった。 物理的な統制がより難しいのは、Firewallの内側にあるもの をセキュアにすることではなく、Firewallの先にあるものを セキュアにしていくことなのだ。
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3 とある憂鬱な企業システムの例 クラウドサービスのアカウントは社内と統合されておらず個別ログイン 高コスト・低信頼性のクラウドサービスのアカウント管理がまかりとおる 生産性向上を目的としてShadow IT利用が増え、潜在リスクが増加 モバイルからVPN経由で社内システムを利用できるが、制限が多い スマートデバイスのネイティブアプリから利用できる業務はほとんどない
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 4 企業内ネットワーク 課題を解決するために何をするべきか 目指す姿 マルチクラウドと社内システム間でのSSO クラウドに対するID管理の自動化 Shadow ITからSanctioned ITへのシフト どこからでもアクセスできる企業システム アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 Shadow IT問題 VPN CSVによる高コスト 低信頼性のID管理 モバイル NWペリメタ依存の 低ユーザビリティ リモートアクセス クラウド毎に別々の ID/PWで認証
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 5 企業内ネットワーク ユーザビリティの低いクラウドサービスの利用は進まない システム毎に異なるID/PWを入力するフラストレーションは すでに企業内で体験済み クラウドを企業内で実現されている統合認証の傘下におさめたい アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル クラウド毎に別々の ID/PWで認証
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6 クラウドサービスが備える連携機能 コンシューマ向けSSO  OAuth2/OpenID Connectベース一択  当然ながら、SAMLよりもAPI化との相性が良いプ ロトコルが好まれる 企業向けSSO  復活したSAMLニーズ 歴史的にエンタープライズIAM製品の多くが対応済 利用しているのはSSOプロファイルだけ 操作・管理API  今更SAML対応APIなんて作りたくはない(はず)  コンシューマ/スマホアプリ向けAPIを作って、 あとから”for Business”と題してSAML対応する  レガシー対応 CSVでのID管理機能 企業向け SSO 操作・管理 API コンシューマ 向けSSO
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7 マルチクラウドを束ねるIdentity as a Service Cloud/SaaS IDaaSに認証を移譲(結果のID情報を受け入れ) 認証結果に基づき、サービス利用及びAPIアクセ ス認可 IDaaS ID管理、セキュリティトークン、アサーションの 生成・変換 IdP(対SaaS)であり、RP(対社内IdP)でもある 高付加価値:多要素認証、リスクベース認証 社内IdP 従業員の認証を行い、IDaaSやSaaSにID情報を 返却 7 認証結果 ID情報 サービス APIアクセス認可 Cloud/ SaaS IDaaS Enterprise *** 認証結果 ID情報 サービス APIアクセス認可 IDaaSに認証 を依頼して SSOしよう! 社内IdPに認証 を依頼して SSOしよう! IDaaSに認証 結果を返して SSOしよう!
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8 企業内ネットワーク ID連携・IDaaS導入によるSSO実現はクラウド統制の大きな一歩 ID連携・IDaaSで、マルチクラウドの認証・認可をコントロール ユーザビリティ向上 アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル マルチクラウド 認証・認可・管理 (IDaaS) ユーザビリティ 認証セキュリティ
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9 企業内ネットワーク 現場部門によるCSV手動メンテナンスはもうやめよう そのコストを正当化していないだろうか? 改善を諦めていないだろうか? アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル CSVによる高コスト 低信頼性のID管理 マルチクラウド 認証・認可・管理 (IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10 ネットワーク境界の先とを繋ぐIDM SCIM - System for Cross-domain Identity Management Enterprize IAMにおけるアカウントプロビジョニングを、 SaaSやCloudなど異なるドメイン/事業者間でも実現でき るようにする仕様。 2011年 SCIM1.0発表 2015年 SCIM2.0(RFC7642、RFC7643) 標準スキーマ(スキーマ拡張可能) JSON/RESTベースのAPI 操作:作成、検索・参照、変更・削除、バルク処理 API認可手段としてOAuth2.0トークン利用を推奨 SCIM APIエンドポイントにJSONメッセージを送信し、 プロビジョニング実施 http://www.simplecloud.info SCIMクライアント SCIMサーバ JSON Method 操作 POST 作成 GET 参照 PUT 変更(全体) PATCH 変更(一部分) DELETE 削除
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11 クラウドはSCIM I/Fを備え、IDaaSはSCIMを取り込み始めた 著名SaaS/CSPやIDM製品が実装するなど、 今のところ利用拡大の見込みあり 過去にも類似仕様はあったが・・・ SPML:Service Provisioning Markup Language 対象が広範かつ汎用的で複雑 SCIMはシンプルゆえに、浸透していく? G suiteのプロビジョニング例 G suiteはIDaaSでもある 外部のSaaSサービス(Slackなど)へSCIMで プロビジョニング オンプレ側からはプロプライエタリな Directory API利用 社内IdPとのID連携構成にすれば、 社内IdPで認証して、一気にSaaSへSSO Directory API (OAuth2ベース) 社内 プロビジョニング SSO(Google→SaaS) プロビジョニング SSO(社内→Google)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 12 企業内ネットワーク アイデンティティ管理はNW境界を超えることができる アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 13 企業内ネットワーク Shadow ITを、どのようにSanctioned ITへ変えていけばよいだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除 マルチクラウド 認証・認可・管理 (IDaaS) 登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル Shadow IT問題 ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 14 情報システム部は悩んでいる クラウド利用におけるジレンマ Monitoring 利用されているクラウドサービスを発見し、潜在 リスクを把握したい。ハイリスクサービスはブロ ックしたい。 Sanctioned IT(↔Shadow IT) 生産性向上を邪魔したいわけではない 安全性を予め確認したサービスを使ってほしい Control 全てのクラウド・サービスにおけるアクティビテ ィ・データに対するIT統制をかけたい ポリシー違反、データ漏洩などに対する予防的・ 発見的統制 Source: Top Strategic Predictions for 2016 and Beyond http://www.gartner.com/newsroom/id/3143718 2020年における、クラウド・セキュ リティにおける失敗の95%は、利用者 の過失によるものとなる 2018年には、利用者が1000人以上の 企業の50%が、CASBを活用しSaaS等 のパブリック・クラウド利用をモニタ リング・管理するようになる。 クラウドは通常安全であるが、パブ リック・クラウドの利用を安全にする ためには、クラウド利用者側の明示的 な努力が必要であるという認識が高 まっていく。
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 15 IT統制はクラウドと協調しながら行う時代へ CASB – Cloud Access Service Broker 可視化 クラウドサービスの発見/評価 クラウドと連携し、ユーザのアイデンテ ィティに基づく活動把握 データ・セキュリティ 機微情報の暗号化 管理外のファイルはあってはならない DLP(Data Loss Prevention)との連携 脅威防御 ユーザ/デバイスのアイデンティティ情 報を元にしたアノマリ検知 コンプライアンス 監査のための適切な情報記録・提供 ワークフロー Cloud Access Service Broker Private Cloud 社内モバイル アクセス Source: Gartner – The growing importance of Cloud Access Security Broker アクセス制御 情報保護 可視化 統制 セキュリティ コンプライアンス 管理・監査用 API提供
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 16 広義のIdP CASB動作概要 利用者 CASB IDaaS 認証サーバ (オンプレミス) 1.サービス利用要求(login.saas.com) 2. ID連携要求(SaaS➙CASB) 3. 認証を移譲するため、 更にID連携要求 (CASB➙IDaaS/社内IdP) 4. ユーザ 認証実施 5. ID連携応答 (対CASB) 6. CASB経由でクラウドにアクセス (リバースプロキシ:saas.casb.com) 7. 直接クラウドにアクセスさ れても、クラウド側が用意 したAPI経由で監査・分析 ***
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17 アイデンティティを軸に拡張された企業ネットワーク 企業内ネットワーク アイデンティティを軸にしたIT統制で企業NWは拡張していく アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 18 企業内ネットワーク モバイルと社内のネットワーク境界を感じさせないようにできないだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS) NWペリメタ依存の 低ユーザビリティ リモートアクセス
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 19 Googleが推進するイニシアチブ BeyondCorp – A new Approach to Enterprise Security “Zero Trust” エンタープライズ・ネットワークは、もはやインターネ ット同様に「安全な場所ではない」という原則 “Identity Is The New Perimeter” 従来のネットワークに基づくアクセスコントロールから の脱却 「デバイス」・「ユーザ」・「状態」に基づくアイデン ティティベースの制御 “Access the Application, Regardless Network” Public DNSにエンタープライズ・リソースを登録 Access Proxyを介してリソースへアクセス VPN接続の廃止 Googleエンタープライズ・アプリケーション ログイン画面(インターネットから到達可能) 2要素認証 (OTP/FIDO U2F) Source: “BeyondCorp” - USENIX login; 2015, 2016
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20 モバイル (境界の外) オフィス内 (物理境界/NW境界) BeyondCorpが実現する「切れ目のない」境界 利用者にとっては、インターネット と社内システムの境界が無くなった ように見える デバイスのアイデンティティが重要  インベントリ情報を収集・送信する エージェント導入  ソフトウェアのパッチ適用  クライアント証明書導入  etc… デバイス・人のアイデンティティに 基づいて、アクセス可能な 「トラスト・ティア」が計算される 802.1x RADIUS Gateway (Access Proxy) Access Control Engine SSO/認証システム Trust Tier 必要に応じて 社内ID/PW認証 High Device Inventory Service Low パブリック ネットワーク インベントリ情報 ***
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 21 BeyondCorp アクセスコントロールとコンポーネントの関連 データソース アクセス・インテリジェンス ゲートウェイ リソース アクセス制御に必要なデバイス の情報をDevice Inventory Serviceに提供。 インベントリ情報を元に、アク セスして良いティアを計算。 ゲートウェイに対してアクセ ス・コントロールを実施 リソースへのアクセスを制 限・許可する。 アクセス先ネットワークやア プリケーション。 Web APIのエンドポイントも含 まれる。 リソース・アクセスを認可するのに 必要なトラスト・ティア、条件を記 述 インベントリ情報を元に、デバイスが アクセス可能なトラスト・ティアを計 算 Source: BeyondCrop - Design to Deployment at Google, ;login: SPRING 2016 VOL.41 計算されたトラスト・ティアと、インベントリ情報、 ユーザ情報とAccess Policyを総合して、リソースへ のアクセス認可を判断する。Policy Decision Point デバイスの状態(インベン トリ情報)を収集、管理する Policy Enforcement Point
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 22 BeyondCorpに到達できるだろうか・・・? Google 15種類のソースから、1日300万件のインベントリ情報(80テラバイト超) B4(データセンターWAN)やAndromeda(GCP仮想化スタック)など、高度なSDN IT内製主義 ブラウザ中心主義 VPNなど専用のソフトウェア不要 ネイティブアプリ向けWebAPI対応も同じ仕組みにのっかる そもそもやりたかったことは何か? ITシステムへのアクセスをよりシームレスかつセキュアにできれば良い ユーザに意識させずに動的にNW境界を組み替える方法はないのか? (ネットワーク境界からの代替アプローチがありそう)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23 Software Defined Perimeter 動的にNWレベルの境界を構成するためのフレームワーク  米国防総省が開発したコンセプトに、NISTなどのセキュリ ティ標準を組み合わせ、民間利用に転用 概要  制御とデータを取り扱う経路を分ける  ネゴシエーションしなければホストのIPは見えない(秘匿)  目的のホストと動的にセキュア・チャネルを構築  ユーザ認証・認可の細かい方法はスコープ外 デバイス/ユーザ・アイデンティティに基づいたアクセス制御 を導入することが望ましい点は、BeyondCorpと一緒  クライアントアプリが必要なので、スマートデバイスでの対 応は簡単ではないかもしれない Cloud Security Allianceが2013年に”SDP WG”を立上げ  共同議長に 元CIA CTO https://downloads.cloudsecurityalliance.org/initiatives/sdp/Software_Defined_Perimeter.pdf  コカ・コーラ社が先行適用? https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf Client Server Data 通常の通信 制御とデータの両方が直接やり取りされる SDPのコンセプト 制御とデータを取り扱うエンティティを分割する Client ServerData Controller ControlControl Control
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 24 Source: https://cloudsecurityalliance.org/group/software-defined-perimeter/ SDP≒アクセスしたいときにだけ動的に構成されるNW境界 登場人物 Initiating SDP Host SDP Hostに接続を要求するホスト SDP Controller Initiating SDP Hostからの要求に基づき、認 証・認可を行い、Accepting SDP Hostとの 動的なチャネル構築を仲介するコントローラ Accepting SDP Host SDP Contorollerからの認可に基づき、 initiating SDP Hostからの接続を受け入れる 実体としては、例えばアプライアンス機器 更にその裏に実際に配備されているホスト、 またはネットワーク 5. 接続元Initiating SDP Hostからの接続待ち開始 4. アクセス認可対象の Accepting Host決定 1. コントローラがオンライン 3. アクセス認可を要求 (セキュアVPN構築) 2. コントローラと セキュアVPN構築 7. セキュアVPN構築 6. 接続先Accepting SDP HostのIPリストを受領
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25 アイデンティティを軸に統合された広義の企業ネットワーク 企業内ネットワーク アイデンティティを軸に広がる企業ネットワーク アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ セキュアクラウド利用 (CASB) データ・セキュリティ ガバナンス モバイル アクセス ゲートウェイ あらゆる場所から 社内同様にアクセス (BeyondCorp/SDP) ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 26 まとめ クラウドサービス利用やリモートアクセスの課題を解決するために、 セキュリティ境界がネットワークからアイデンティティに変わっていく IDaaSなどを利用したクラウドサービスに対するユーザビリティ向上、 統合認証への組み込み、ID管理の範囲拡大が必要となる Shadow ITを解決するソリューションとして、CASBはアイデンティティを 軸にクラウドサービスと連携してIT統制をかけていく モバイルからシームレスに企業内リソースへアクセスするために、 デバイス/ユーザのアイデンティティに基づいたアクセス制御が重要である
Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル TEL:03-6706-0500 E-mail:info@nri-secure.co.jp HomePage:http://www.nri-secure.co.jp この資料に掲載されている社名、製品名などは、各社の表示、商標または登録商標です。

Recommended

Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityIntroduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityTatsuya (達也) Katsuhara (勝原)
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_publicTatsuya (達也) Katsuhara (勝原)
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 

Recommended

Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityIntroduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityTatsuya (達也) Katsuhara (勝原)
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_publicTatsuya (達也) Katsuhara (勝原)
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationTatsuya (達也) Katsuhara (勝原)
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID Foundation Japan
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編Tatsuya (達也) Katsuhara (勝原)
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったことゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったこと直生 亀山
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略Tomohiro Nakashima
 
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)Tatsuya (達也) Katsuhara (勝原)
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionTatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problemsNat Sakimura
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-Masaru Kurahayashi
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?Kyohei Komatsu
 
39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介 39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介Osaka University
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはjunichi anno
 

More Related Content

What's hot

APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID Foundation Japan
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったことゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったこと直生 亀山
 
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)Tatsuya (達也) Katsuhara (勝原)
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionTatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problemsNat Sakimura
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-Masaru Kurahayashi
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?Kyohei Komatsu
 

What's hot (20)

APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
 
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったことゼロトラスト的なことを始める時に注意すべきだと思ったこと
ゼロトラスト的なことを始める時に注意すべきだと思ったこと
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
 
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problems
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
 

Viewers also liked

39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介 39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介Osaka University
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはjunichi anno
 
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴールNat Sakimura
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016Nov Matake
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 Masahiro NAKAYAMA
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編Takashi Yahata
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会満徳 関
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13Nov Matake
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
Where are the data professionals
Where are the data professionalsWhere are the data professionals
Where are the data professionalsSteven Miller
 

Viewers also liked (14)

39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介 39 works:ドコモにおける オープンイノベーションプログラムの紹介
39 works:ドコモにおける オープンイノベーションプログラムの紹介
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するには
 
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
 
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
 
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
寿司から学ぶ技術習得 ~目で見て盗むとは~ LT大会
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
Where are the data professionals
Where are the data professionalsWhere are the data professionals
Where are the data professionals
 

Similar to InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界Kazuhito Shibata
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka Katsumi Yamashita
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバックNISSHO USA
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaKanako Kodera
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)Toshihiko Yamakami
 
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版junichi anno
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Daisuke Masubuchi
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Azure 相談センター
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdfYusukeTamura7
 
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築cloudconductor
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
先行事例から学ぶ IoT / ビッグデータの始め方
先行事例から学ぶ IoT / ビッグデータの始め方先行事例から学ぶ IoT / ビッグデータの始め方
先行事例から学ぶ IoT / ビッグデータの始め方Cloudera Japan
 

Similar to InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - (20)

指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
NGSIを利用するプラットフォームFIWAREとは何か?(in Japanese)
 
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
「ネットワークが遅い!」即診断: Extremeアナリティクスで何がわかる?
 
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
 
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf
 
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
 
先行事例から学ぶ IoT / ビッグデータの始め方
先行事例から学ぶ IoT / ビッグデータの始め方先行事例から学ぶ IoT / ビッグデータの始め方
先行事例から学ぶ IoT / ビッグデータの始め方
 

Recently uploaded

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Hiroshi Tomioka
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki
 

Recently uploaded (11)

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter -

  • 1. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimeter - Internet Week 2016 @ 11/30 サイバーセキュリティサービス事業本部 勝原 達也
  • 2. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1 自己紹介 勝原達也 https://www.linkedin.com/in/kthrtty , katsuhara[AT]nri-secure.co.jp 所属 野村総合研究所(2007~) NRIセキュアテクノロジーズ(2014~) 活動 Digital Identityに関わるビジネス企画・コンサル・開発運用  CIAM(Consumer Identity and Access Management)  認証・認可、OpenID/OAuth、APIエコノミー OpenIDファウンデーション・ジャパン  法人立ち上げ、教育・翻訳WG 新領域開拓中 ペネトレーションテスター デバイス・制御セキュリティ
  • 3. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2 はじめに - Identity Is The New Perimeter Source: Cloud Identity Summit 2012, http://www.slideshare.net/tkudo/cis2012toi (web.archive.org/web/20120808171917/http://www.cloudidentitysummit.com/) ペリメタ(境界)はもはやネットワークによって定義される ものではない。セキュア/非セキュア、内部/外部という定 義は意味がない。 企業の流動化で、重要なデータにアクセスするユーザーやデ バイスが急増している。 仮想化、パブリック/プライベート/ハイブリッドクラウド 環境を混ぜ合わせ、揮発性、不確実性、複雑性、あいまい性 (VUCA)を持ったネットワークを取り扱うことになった。 物理的な統制がより難しいのは、Firewallの内側にあるもの をセキュアにすることではなく、Firewallの先にあるものを セキュアにしていくことなのだ。
  • 4. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3 とある憂鬱な企業システムの例 クラウドサービスのアカウントは社内と統合されておらず個別ログイン 高コスト・低信頼性のクラウドサービスのアカウント管理がまかりとおる 生産性向上を目的としてShadow IT利用が増え、潜在リスクが増加 モバイルからVPN経由で社内システムを利用できるが、制限が多い スマートデバイスのネイティブアプリから利用できる業務はほとんどない
  • 5. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 4 企業内ネットワーク 課題を解決するために何をするべきか 目指す姿 マルチクラウドと社内システム間でのSSO クラウドに対するID管理の自動化 Shadow ITからSanctioned ITへのシフト どこからでもアクセスできる企業システム アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 Shadow IT問題 VPN CSVによる高コスト 低信頼性のID管理 モバイル NWペリメタ依存の 低ユーザビリティ リモートアクセス クラウド毎に別々の ID/PWで認証
  • 6. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 5 企業内ネットワーク ユーザビリティの低いクラウドサービスの利用は進まない システム毎に異なるID/PWを入力するフラストレーションは すでに企業内で体験済み クラウドを企業内で実現されている統合認証の傘下におさめたい アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル クラウド毎に別々の ID/PWで認証
  • 7. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6 クラウドサービスが備える連携機能 コンシューマ向けSSO  OAuth2/OpenID Connectベース一択  当然ながら、SAMLよりもAPI化との相性が良いプ ロトコルが好まれる 企業向けSSO  復活したSAMLニーズ 歴史的にエンタープライズIAM製品の多くが対応済 利用しているのはSSOプロファイルだけ 操作・管理API  今更SAML対応APIなんて作りたくはない(はず)  コンシューマ/スマホアプリ向けAPIを作って、 あとから”for Business”と題してSAML対応する  レガシー対応 CSVでのID管理機能 企業向け SSO 操作・管理 API コンシューマ 向けSSO
  • 8. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7 マルチクラウドを束ねるIdentity as a Service Cloud/SaaS IDaaSに認証を移譲(結果のID情報を受け入れ) 認証結果に基づき、サービス利用及びAPIアクセ ス認可 IDaaS ID管理、セキュリティトークン、アサーションの 生成・変換 IdP(対SaaS)であり、RP(対社内IdP)でもある 高付加価値:多要素認証、リスクベース認証 社内IdP 従業員の認証を行い、IDaaSやSaaSにID情報を 返却 7 認証結果 ID情報 サービス APIアクセス認可 Cloud/ SaaS IDaaS Enterprise *** 認証結果 ID情報 サービス APIアクセス認可 IDaaSに認証 を依頼して SSOしよう! 社内IdPに認証 を依頼して SSOしよう! IDaaSに認証 結果を返して SSOしよう!
  • 9. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8 企業内ネットワーク ID連携・IDaaS導入によるSSO実現はクラウド統制の大きな一歩 ID連携・IDaaSで、マルチクラウドの認証・認可をコントロール ユーザビリティ向上 アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 VPN モバイル マルチクラウド 認証・認可・管理 (IDaaS) ユーザビリティ 認証セキュリティ
  • 10. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9 企業内ネットワーク 現場部門によるCSV手動メンテナンスはもうやめよう そのコストを正当化していないだろうか? 改善を諦めていないだろうか? アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル CSVによる高コスト 低信頼性のID管理 マルチクラウド 認証・認可・管理 (IDaaS)
  • 11. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10 ネットワーク境界の先とを繋ぐIDM SCIM - System for Cross-domain Identity Management Enterprize IAMにおけるアカウントプロビジョニングを、 SaaSやCloudなど異なるドメイン/事業者間でも実現でき るようにする仕様。 2011年 SCIM1.0発表 2015年 SCIM2.0(RFC7642、RFC7643) 標準スキーマ(スキーマ拡張可能) JSON/RESTベースのAPI 操作:作成、検索・参照、変更・削除、バルク処理 API認可手段としてOAuth2.0トークン利用を推奨 SCIM APIエンドポイントにJSONメッセージを送信し、 プロビジョニング実施 http://www.simplecloud.info SCIMクライアント SCIMサーバ JSON Method 操作 POST 作成 GET 参照 PUT 変更(全体) PATCH 変更(一部分) DELETE 削除
  • 12. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11 クラウドはSCIM I/Fを備え、IDaaSはSCIMを取り込み始めた 著名SaaS/CSPやIDM製品が実装するなど、 今のところ利用拡大の見込みあり 過去にも類似仕様はあったが・・・ SPML:Service Provisioning Markup Language 対象が広範かつ汎用的で複雑 SCIMはシンプルゆえに、浸透していく? G suiteのプロビジョニング例 G suiteはIDaaSでもある 外部のSaaSサービス(Slackなど)へSCIMで プロビジョニング オンプレ側からはプロプライエタリな Directory API利用 社内IdPとのID連携構成にすれば、 社内IdPで認証して、一気にSaaSへSSO Directory API (OAuth2ベース) 社内 プロビジョニング SSO(Google→SaaS) プロビジョニング SSO(社内→Google)
  • 13. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 12 企業内ネットワーク アイデンティティ管理はNW境界を超えることができる アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  • 14. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 13 企業内ネットワーク Shadow ITを、どのようにSanctioned ITへ変えていけばよいだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除 マルチクラウド 認証・認可・管理 (IDaaS) 登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル Shadow IT問題 ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング)
  • 15. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 14 情報システム部は悩んでいる クラウド利用におけるジレンマ Monitoring 利用されているクラウドサービスを発見し、潜在 リスクを把握したい。ハイリスクサービスはブロ ックしたい。 Sanctioned IT(↔Shadow IT) 生産性向上を邪魔したいわけではない 安全性を予め確認したサービスを使ってほしい Control 全てのクラウド・サービスにおけるアクティビテ ィ・データに対するIT統制をかけたい ポリシー違反、データ漏洩などに対する予防的・ 発見的統制 Source: Top Strategic Predictions for 2016 and Beyond http://www.gartner.com/newsroom/id/3143718 2020年における、クラウド・セキュ リティにおける失敗の95%は、利用者 の過失によるものとなる 2018年には、利用者が1000人以上の 企業の50%が、CASBを活用しSaaS等 のパブリック・クラウド利用をモニタ リング・管理するようになる。 クラウドは通常安全であるが、パブ リック・クラウドの利用を安全にする ためには、クラウド利用者側の明示的 な努力が必要であるという認識が高 まっていく。
  • 16. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 15 IT統制はクラウドと協調しながら行う時代へ CASB – Cloud Access Service Broker 可視化 クラウドサービスの発見/評価 クラウドと連携し、ユーザのアイデンテ ィティに基づく活動把握 データ・セキュリティ 機微情報の暗号化 管理外のファイルはあってはならない DLP(Data Loss Prevention)との連携 脅威防御 ユーザ/デバイスのアイデンティティ情 報を元にしたアノマリ検知 コンプライアンス 監査のための適切な情報記録・提供 ワークフロー Cloud Access Service Broker Private Cloud 社内モバイル アクセス Source: Gartner – The growing importance of Cloud Access Security Broker アクセス制御 情報保護 可視化 統制 セキュリティ コンプライアンス 管理・監査用 API提供
  • 17. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 16 広義のIdP CASB動作概要 利用者 CASB IDaaS 認証サーバ (オンプレミス) 1.サービス利用要求(login.saas.com) 2. ID連携要求(SaaS➙CASB) 3. 認証を移譲するため、 更にID連携要求 (CASB➙IDaaS/社内IdP) 4. ユーザ 認証実施 5. ID連携応答 (対CASB) 6. CASB経由でクラウドにアクセス (リバースプロキシ:saas.casb.com) 7. 直接クラウドにアクセスさ れても、クラウド側が用意 したAPI経由で監査・分析 ***
  • 18. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17 アイデンティティを軸に拡張された企業ネットワーク 企業内ネットワーク アイデンティティを軸にしたIT統制で企業NWは拡張していく アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS)
  • 19. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 18 企業内ネットワーク モバイルと社内のネットワーク境界を感じさせないようにできないだろうか アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ VPN モバイル データ・セキュリティ ガバナンス ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) セキュアクラウド利用 (CASB) マルチクラウド 認証・認可・管理 (IDaaS) NWペリメタ依存の 低ユーザビリティ リモートアクセス
  • 20. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 19 Googleが推進するイニシアチブ BeyondCorp – A new Approach to Enterprise Security “Zero Trust” エンタープライズ・ネットワークは、もはやインターネ ット同様に「安全な場所ではない」という原則 “Identity Is The New Perimeter” 従来のネットワークに基づくアクセスコントロールから の脱却 「デバイス」・「ユーザ」・「状態」に基づくアイデン ティティベースの制御 “Access the Application, Regardless Network” Public DNSにエンタープライズ・リソースを登録 Access Proxyを介してリソースへアクセス VPN接続の廃止 Googleエンタープライズ・アプリケーション ログイン画面(インターネットから到達可能) 2要素認証 (OTP/FIDO U2F) Source: “BeyondCorp” - USENIX login; 2015, 2016
  • 21. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20 モバイル (境界の外) オフィス内 (物理境界/NW境界) BeyondCorpが実現する「切れ目のない」境界 利用者にとっては、インターネット と社内システムの境界が無くなった ように見える デバイスのアイデンティティが重要  インベントリ情報を収集・送信する エージェント導入  ソフトウェアのパッチ適用  クライアント証明書導入  etc… デバイス・人のアイデンティティに 基づいて、アクセス可能な 「トラスト・ティア」が計算される 802.1x RADIUS Gateway (Access Proxy) Access Control Engine SSO/認証システム Trust Tier 必要に応じて 社内ID/PW認証 High Device Inventory Service Low パブリック ネットワーク インベントリ情報 ***
  • 22. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 21 BeyondCorp アクセスコントロールとコンポーネントの関連 データソース アクセス・インテリジェンス ゲートウェイ リソース アクセス制御に必要なデバイス の情報をDevice Inventory Serviceに提供。 インベントリ情報を元に、アク セスして良いティアを計算。 ゲートウェイに対してアクセ ス・コントロールを実施 リソースへのアクセスを制 限・許可する。 アクセス先ネットワークやア プリケーション。 Web APIのエンドポイントも含 まれる。 リソース・アクセスを認可するのに 必要なトラスト・ティア、条件を記 述 インベントリ情報を元に、デバイスが アクセス可能なトラスト・ティアを計 算 Source: BeyondCrop - Design to Deployment at Google, ;login: SPRING 2016 VOL.41 計算されたトラスト・ティアと、インベントリ情報、 ユーザ情報とAccess Policyを総合して、リソースへ のアクセス認可を判断する。Policy Decision Point デバイスの状態(インベン トリ情報)を収集、管理する Policy Enforcement Point
  • 23. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 22 BeyondCorpに到達できるだろうか・・・? Google 15種類のソースから、1日300万件のインベントリ情報(80テラバイト超) B4(データセンターWAN)やAndromeda(GCP仮想化スタック)など、高度なSDN IT内製主義 ブラウザ中心主義 VPNなど専用のソフトウェア不要 ネイティブアプリ向けWebAPI対応も同じ仕組みにのっかる そもそもやりたかったことは何か? ITシステムへのアクセスをよりシームレスかつセキュアにできれば良い ユーザに意識させずに動的にNW境界を組み替える方法はないのか? (ネットワーク境界からの代替アプローチがありそう)
  • 24. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23 Software Defined Perimeter 動的にNWレベルの境界を構成するためのフレームワーク  米国防総省が開発したコンセプトに、NISTなどのセキュリ ティ標準を組み合わせ、民間利用に転用 概要  制御とデータを取り扱う経路を分ける  ネゴシエーションしなければホストのIPは見えない(秘匿)  目的のホストと動的にセキュア・チャネルを構築  ユーザ認証・認可の細かい方法はスコープ外 デバイス/ユーザ・アイデンティティに基づいたアクセス制御 を導入することが望ましい点は、BeyondCorpと一緒  クライアントアプリが必要なので、スマートデバイスでの対 応は簡単ではないかもしれない Cloud Security Allianceが2013年に”SDP WG”を立上げ  共同議長に 元CIA CTO https://downloads.cloudsecurityalliance.org/initiatives/sdp/Software_Defined_Perimeter.pdf  コカ・コーラ社が先行適用? https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf Client Server Data 通常の通信 制御とデータの両方が直接やり取りされる SDPのコンセプト 制御とデータを取り扱うエンティティを分割する Client ServerData Controller ControlControl Control
  • 25. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 24 Source: https://cloudsecurityalliance.org/group/software-defined-perimeter/ SDP≒アクセスしたいときにだけ動的に構成されるNW境界 登場人物 Initiating SDP Host SDP Hostに接続を要求するホスト SDP Controller Initiating SDP Hostからの要求に基づき、認 証・認可を行い、Accepting SDP Hostとの 動的なチャネル構築を仲介するコントローラ Accepting SDP Host SDP Contorollerからの認可に基づき、 initiating SDP Hostからの接続を受け入れる 実体としては、例えばアプライアンス機器 更にその裏に実際に配備されているホスト、 またはネットワーク 5. 接続元Initiating SDP Hostからの接続待ち開始 4. アクセス認可対象の Accepting Host決定 1. コントローラがオンライン 3. アクセス認可を要求 (セキュアVPN構築) 2. コントローラと セキュアVPN構築 7. セキュアVPN構築 6. 接続先Accepting SDP HostのIPリストを受領
  • 26. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25 アイデンティティを軸に統合された広義の企業ネットワーク 企業内ネットワーク アイデンティティを軸に広がる企業ネットワーク アクセス アクセス制御 (統合認証/SSO) アプリケーション アプリケーション HR アイデンティティ 管理 パートナー管理 ディレクトリ (IDリポジトリ) プロビジョニング リコンシリエーション 登録/変更/削除登録/変更/削除 ユーザビリティ 認証セキュリティ セキュアクラウド利用 (CASB) データ・セキュリティ ガバナンス モバイル アクセス ゲートウェイ あらゆる場所から 社内同様にアクセス (BeyondCorp/SDP) ネットワーク境界を超えたアイデンティティ管理 (SCIM、プロビジョニング) マルチクラウド 認証・認可・管理 (IDaaS)
  • 27. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 26 まとめ クラウドサービス利用やリモートアクセスの課題を解決するために、 セキュリティ境界がネットワークからアイデンティティに変わっていく IDaaSなどを利用したクラウドサービスに対するユーザビリティ向上、 統合認証への組み込み、ID管理の範囲拡大が必要となる Shadow ITを解決するソリューションとして、CASBはアイデンティティを 軸にクラウドサービスと連携してIT統制をかけていく モバイルからシームレスに企業内リソースへアクセスするために、 デバイス/ユーザのアイデンティティに基づいたアクセス制御が重要である
  • 28. Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル TEL:03-6706-0500 E-mail:info@nri-secure.co.jp HomePage:http://www.nri-secure.co.jp この資料に掲載されている社名、製品名などは、各社の表示、商標または登録商標です。

Editor's Notes

  1. 2012年頃から登場したキーワード Bob Blakley @ Gartner(当時)? The perimeter is no longer defined by your network and your definition of secure, non-secure, internal or external is irrelevant. With a fluid enterprise, users and the devices used to access your critical data are multiplying. Add virtualization, public, private and hybrid cloud environments to the mix, and you get a Volatile, Uncertain, Complex and Ambiguous (VUCA) network. With less physical control, it's not about securing what's behind your firewall, but securing what's beyond.
  2. 事例 やはり社内IdPとの連携はSAMLが主流 歴史的経緯、エンタープライズIAM製品の多くが対応 IDaaSとSaaSの連携はOAuth/OpenID Connectが主流になりはじめた SaaSにとってはSAMLよりもスマホAPIなどとの相性が良いプロトコルが好まれる コンシューマ/スマホアプリ向けのAPIをベースに、 あとから”for Business”と題してSAML対応する
  3. http://otn.oracle.co.jp/technology/global/jp/sdn/javasystem/techtopics/identity/200810.html https://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_08.html ■SCIM1.0 https://www.pingidentity.com/en/blog/2011/10/20/SCIM-interop-shows-specification-coming-to-life.html The SCIM work has been led by Cisco, Google, Ping Identity, SailPoint, Salesforce.com, VMware, and UnboundID.
  4. https://help.salesforce.com/articleView?id=identity_scim_overview.htm&language=ko_3_3_2_3_2&type=0 https://api.slack.com/scim
  5. 10) Through 2020, 95 percent of cloud security failures will be the customer's fault Security concerns remain the most common reason for avoiding the use of public cloud services. However, only a small percentage of the security incidents impacting enterprises using the cloud have been due to vulnerabilities that were the provider's fault. This does not mean that organizations should assume that using a cloud means that whatever they do within that cloud will necessarily be secure. The characteristics of the parts of the cloud stack under customer control can make cloud computing a highly efficient way for naive users to leverage poor practices, which can easily result in widespread security or compliance failures. The growing recognition of the enterprise's responsibility for the appropriate use of the public cloud is reflected in the growing market for cloud control tools. By 2018, 50 percent of enterprises with more than 1,000 users will use cloud access security broker products to monitor and manage their use of SaaS and other forms of public cloud, reflecting the growing recognition that although clouds are usually secure, the secure use of public clouds requires explicit effort on the part of the cloud customer.
  6. MicrosoftのActivity API BoxのAPI
  7. https://totalproductmarketing.com/the-growing-importance-of-cloud-access-security-brokers/ https://www.skyhighnetworks.com/cloud-security-blog/how-a-casb-integrates-with-an-on-premises-dlp-solution/ http://www.gartner.com/newsroom/id/3143718
  8. レガシー/サードパーティシステム向け考慮 SSHトンネル ローカルプロキシ
  9. データソース 例)資産情報、パッチ管理、デバイス/ユーザ証明書CA、脆弱性情報、接続ネットワーク
  10. https://www.rsaconference.com/writable/presentations/file_upload/cds-t08-software-defined-perimeter-securing-the-cloud-to-the-internet-of-things.pdf http://cloudsecurityalliance.jp/Benkyokai/20141028/Benkyokai1028_Congress2014_Report_SDP.pdf https://downloads.cloudsecurityalliance.org/initiatives/sdp/Coca_Cola_SDP_Presentation_June-30-2016.pdf
  11. https://pixabay.com/ja/%E3%83%9B%E3%83%AF%E3%82%A4%E3%83%88-%E3%83%9C%E3%83%BC%E3%83%89-%E7%94%B7-%E3%83%97%E3%83%AC%E3%82%BC%E3%83%B3%E3%83%86%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3-%E6%9B%B8%E3%81%8D%E8%BE%BC%E3%81%BF-%E3%83%87%E3%82%A3%E3%82%B9%E3%83%97%E3%83%AC%E3%82%A4-849811/