More Related Content Similar to 組織におけるアイデンティティ管理の基本的な考え方 (20) More from Naohiro Fujie (16) 組織におけるアイデンティティ管理の基本的な考え方2. 自己紹介
• 役割
• OpenIDファウンデーション・ジャパン理事、KYC WGリーダー
• IDをコアとしたビジネス開発担当。大阪から全国をカバー
• 書き物など
• Blog:IdM実験室(https://idmlab.eidentity.jp)
• 監訳 : クラウド時代の認証基盤 Azure Active Directory 完全解説
• 共著 : クラウド環境におけるアイデンティティ管理ガイドライン
• その他活動
• 日本ネットワークセキュリティ協会アイデンティティ管理WG
• Microsoft MVP for Enterprise Mobility(Jan 2010 -)
• LINE API Expert (Feb 2018 -)
• Auth0 Ambassador(Sep 2018 -)
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 2
3. そもそもIDとは?
• IDは何の略?
• Identifier:識別子
• 特定の集合の中で実体を一意に識別するための属性情報(一つとは限らない)
• 日本の中に「富士榮」は複数いるので苗字は識別子にならないが、大阪府の中なら苗字で
識別できる
• Identity:アイデンティティ
• 実体を構成する属性の集合(ISO/IEC 24760-1より)
• 識別子もアイデンティティを構成する要素の一つ
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 3
要素 解説 例
属性 後天的に取得された主体に関わる情報
(後から変化する)
名前、電話番号、社員番号、メールアド
レス、認証状態、位置情報
好み 主体の嗜好に関わる情報 甘いものが好き
形質 主体の先天的な特有の性質
(後から変化しにくい)
生年月日、性別
関係性 他の主体との関係に関わる情報(一部属性と重複) XX大学卒業、YY部所属
「ID管理」で言う
IDはこちら
日本大阪府
富士榮
富士榮
富士榮
富士榮
6. 重要な点①:プライバシー(コンテキスト侵害)
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 6
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
親戚関係の構造
⇒労働には無関係
A県出身
XX大学出身
⇒取引には不要
職場での姿
⇒家族に知られたく
ない?
学生時代の交友関係
⇒労働には無関係
○○地区出身
⇒採用には無関係
職場での姿
⇒家族に知られたく
ない?
7. 重要な点①:プライバシー(コンテキスト侵害)
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 7
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
親戚関係の構造
⇒労働には無関係
A県出身
XX大学出身
⇒取引には不要
職場での姿
⇒家族に知られたく
ない?
学生時代の交友関係
⇒労働には無関係
○○地区出身
⇒採用には無関係
職場での姿
⇒家族に知られたく
ない?
コンテキスト毎に自己像を
自身の意思で形成することが
必要
8. 重要な点②:属性の信頼性
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 8
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
XX大学出身
YY社での実績
⇒採用
ZZ社所属
⇒取引
XX大学出身
⇒採用
A県出身
⇒入寮許可
家族構成
ZZ社所属
⇒補助金
XX大学出身
ZZ社所属
⇒結婚
本当に?
本当に?
本当に?
本当に?
本当に?
本当に?
9. 属性付与主体による証明を求める
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 9
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
XX大学出身
YY社での実績
⇒採用
ZZ社所属
⇒取引
XX大学出身
⇒採用
A県出身
⇒入寮許可
家族構成
ZZ社所属
⇒補助金
XX大学出身
ZZ社所属
⇒結婚
大学への照会
卒業証明書
職歴(履歴書)
住民票
課税証明
会社への照会
身分証提示
家族への照会
住民票
大学への照会
卒業証明書
探偵?
10. 何故信じられるのか?
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 10
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族存在する大学か?
レベルは?
存在する会社か?
財務状態は?
存在する大学か?
レベルは?
存在する国か?
11. 何故信じられるのか?
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 11
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族存在する大学か?
レベルは?
存在する会社か?
財務状態は?
存在する大学か?
レベルは?
存在する国か?
属性付与主体の有効性
(人の前に組織の信頼性)
12. 何故信じられるのか?
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 12
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
採用時に身元確認
をしているか
ちゃんと試験をして
卒業させているか
行政システムが有効
に働いているか?
13. 何故信じられるのか?
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 13
国
地域
現在の
職場
取引先
出身校
以前の
職場
家族
採用時に身元確認
をしているか
ちゃんと試験をして
卒業させているか
行政システムが有効
に働いているか?
取得する属性の有効性
(本人確認、身元確認)
15. 信頼モデル:トラストフレームワーク
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 15
出典)OpenIDファウンデーション・
ジャパン/トラストフレームワークWG
登場人物 概要
ポリシー策定
者(Policy
Maker)
トラストフレームワークのポリ
シー策定者
トラストフ
レームワー
ク・プロバイ
ダ(TFP)
ポリシーに基づいてトラストフ
レームワークを策定しIdP、RP
の信頼関係構築の仲介を行う事
業者
認定監査人
(Assessor)
TFPによって認定され、IdP、
RPがトラストフレームワーク
に沿って運営されているか監査
する事業者
Identity
Provider
(IdP)
利用者のアイデンティティを保
持・管理し提供する事業者
Relying Party
(RP)
IdPの認証結果を受け入れ、ア
イデンティティ情報の提供を受
ける事業者
16. Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 16
出典)JICS2013
学認トラストフレームワーク
東京大学 佐藤先生
学生、教職員
大学、機関
電子ジャーナル
などのアプリ
国立情報学研究所
(NII)が運営
17. 運用と得られるモノ
• 運用
• LoA(Level of Assurance/ID保証レベル)の認定
• 大学(IdP)がトラストフレームワーク(実施要領、運用基準)に沿って適切運用されてい
ることをアセスメント・認定(学認アンケート)
• LoP(Level of Protection/ID保護レベル)の認定
• 電子ジャーナル等のアプリケーション(RP)が安全にアイデンティティ情報を利用しているか検
査・認定
• 得られるモノ
• 大学(IdP)、利用者は安心してアプリケーション(RP)を利用できる
• 自分のIDが不正に利用されていない
• アプリケーション(RP)は安心してアプリケーションを利用させられる
• 不正な利用者がアクセスしに来ていない
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 17
18. 信頼を得るために組織が行うID管理
• IDの利用用途
• 業務に必要なITシステムや情報を利用させること
• ID管理の目的
• 正しい利用者に業務に必要なITシステムや情報を正しく利用させること
• ITシステムを利用させるために必要なプロセス
• 「正しい利用者に」
• 識別(Identification):利用者を他者と区別する
• 認証(Authentication):利用者の正当性を検証する
• 「正しく利用させる」
• 認可(Authorization):利用者応じた権限を与える
18
これらのプロセスを
管理・制御すること
が必要
19. 管理とは?
• 2つの管理
• Management(マネージメント)
• Do Right Things
• 何が正しい状態なのかを定義する
• ルール化、手順化
• Control(コントロール)
• Do Things Right
• 正しい状態へ持っていく
• 制御、統制
• 予防的:抑止力、違反できないようにする仕組み
• 発見的:証拠、違反したことを気づけるための仕組み
19
ルールの定義
プロセスの実行
ルールどおりにプロ
セスを実行させる
(予防と発見)
この道は60km/h制限
制限速度で運転する
予防
- 監視カメラ
ポリシー 道路交通法
目標 交通事故を減らす
マネジメント・システム
発見
- 取締り
22. 棚卸・ログ管理機能(ID管理システム、ログ管理システム)
• 各システムのID状態を棚卸しし、意図した状態でない場合は警告を出す
• 各システムのID状態、運用ログ情報を収集する
ID基盤の構成要素
と役割分担
22
管理者
源泉情報(人事DB等)
ID管理システム
統合認証システム
アプリケーション
(クラウド/オンプレ)
- IDライフサイクル管理機能
(人事業務/イベントに合わせた
アカウント管理)
- ID同期機能
(認証用IDの同期)
- ID棚卸し
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイルメンテナンス
認証/ID管理に関連する機能
認証機能(統合認証システム)
• ID/PWDなどでログオン制御を行う
• アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ
ンを実現する
• 一般に、認証に使うID情報(社員番号やパスワード)はID管理システムを使っ
て管理される
認可機能(アプリケーション)
• ログオン後、ユーザの権限(メニューを出す・出さない等)制御を行う
• 一般に制御自体はアプリケーション側で行い、認可に必要な情報(役職や所属組
織)はID管理システムを使って管理される
ID同期機能(ID管理システム)
• ID管理システムから認証システムへ、認証に使うID情報(社員番号やパスワー
ド)を同期する
• ID管理システムからアプリケーションへ、認可に使うID情報(役職や所属組
織)を同期する
- ID同期機能
(認可用IDの同期)
- ID棚卸し
IDライフサイクル管理機能(ID管理システム)
• ID情報を源泉(人事等)から取り込み、人事イベントに応じて認証システムや
各アプリケーションへ必要なID情報を同期する
• 管理者や利用者自身でIDのメンテナンスを行う(パスワード・リセット、プロ
ファイルメンテナンス等)
ログ管理システム
ログ収集機能
一般的な認証/ID管理システムのスコープ
23. 棚卸・ログ管理機能(ID管理システム、ログ管理システム)
• 各システムのID状態、運用ログ情報を収集する
• 各システムのID状態を棚卸しし、意図した状態でない場合は警告を出す
ID基盤の構成要素
と役割分担
23
管理者
源泉情報(人事DB等)
ID管理システム
統合認証システム
アプリケーション
(クラウド/オンプレ)
- IDライフサイクル管理機能
(人事業務/イベントに合わせた
アカウント管理)
- ID同期機能
(認証用IDの同期)
- ID棚卸し
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイルメンテナンス
認証/ID管理に関連する機能
認証機能(統合認証システム)
• ID/PWDなどでログオン制御を行う
• アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ
ンを実現する
• 一般に、認証に使うID情報(社員番号やパスワード)はID管理システムを使っ
て管理される
認可機能(アプリケーション)
• ログオン後、ユーザの権限(メニューを出す・出さない等)制御を行う
• 一般に制御自体はアプリケーション側で行い、認可に必要な情報(役職や所属組
織)はID管理システムを使って管理される
ID同期機能(ID管理システム)
• ID管理システムから認証システムへ、認証に使うID情報(社員番号やパスワー
ド)を同期する
• ID管理システムからアプリケーションへ、認可に使うID情報(役職や所属組
織)を同期する
- ID同期機能
(認可用IDの同期)
- ID棚卸し
IDライフサイクル管理機能(ID管理システム)
• ID情報を源泉(人事等)から取り込み、人事イベントに応じて認証システムや
各アプリケーションへ必要なID情報を同期する
• 管理者や利用者自身でIDのメンテナンスを行う(パスワード・リセット、プロ
ファイルメンテナンス等)
ログ管理システム
ログ収集機能
認証/シングルサインオン
プロビジョニング
ID連携/フェデレーション
29. 海外事例)学位の電子化
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 29
• 大学で発行され、DIDで署名された学位を就職先やプロフェッショナル・ネットワークへ提示する
• 就職先の企業やプロフェッショナル・ネットワークは発行元の検証を行う
出典)Decentralized Identity for a Decentralized World
Alex Simons, Microsoft, EIC2018
30. 海外事例)研修医の身元確認の電子化
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 30
控えめに見積もってもドク
ターは年間25,000人日かけて
55,000人の研修医の身元確認
を行っている。
出典)The world's first digital self sovereign identity for Doctors:
Where trust meets trust / Dr Manreet Nijjar, Microsoft, EIC2018
32. 背景)無戸籍者、移民の話
Copyright 2018 OpenID Foundation Japan - All Rights Reserved. 32
戸籍がない人は確実に存在するのです。きちんとした統計はどこにもないので、1
万人というのは「最低限、確実にそのぐらいはいる」という数字です。実際には
もっとたくさんいると思います。出生届が出せないなどの事情で、一時的に無戸籍
になったことのある人を含めて累計すれば、20年間で6万人いることになるんです。
出典)日本の無戸籍者/井戸まさえ著
厚生労働省の集計によると、いま日
本では約128万人の外国人が働いて
いる(2017年10月時点)。これは届
出が義務化されてから過去最高の人
数であり、この10年で倍増している。
出典)
http://gendai.ismedia.jp/articles/-
/56296