JNSA 2017 年度活動報告会 2017 年度アイデンティティ管理 WG 成果報告日本電気株式会社 (NEC) 金融システム開発本部金融デジタルイノベーション技術開発室 (FDIT) 宮川晃一 2018 年 6 月 12 日

Size: px

Start display at page:

Download "JNSA 2017 年度活動報告会 2017 年度アイデンティティ管理 WG 成果報告日本電気株式会社 (NEC) 金融システム開発本部金融デジタルイノベーション技術開発室 (FDIT) 宮川晃一 2018 年 6 月 12 日"

ありみちこびき
5 years ago
Views:

1 JNSA 2017 年度活動報告会 2017 年度アイデンティティ管理 WG 成果報告日本電気株式会社 (NEC) 金融システム開発本部金融デジタルイノベーション技術開発室 (FDIT) 宮川晃一 2018 年 6 月 12 日

2 WG 活動報告内容 1.WGの紹介年度の活動内容サマリ 3.IoTにおけるチャットボットの認証と認可等 4. 認証要素認可要素その関係の整理年度の活動テーマ

3 1.WG のご紹介

4 WG の目的アイデンティティ管理 WG の目的 ID 管理 ( アイデンティティマネージメント ) 分野はセキュリティポリシーを実装する上での共通基盤として非常に注目されている分野ですまた最近のクラウド環境利用においても益々重要な要素になっています本 WG ではアイデンティティ管理における様々な課題を WG 討議の中で検討し必要性の啓蒙および導入指針の提示による普及促進市場活性化を目的に活動しています 2005 年から WG を発足し今年で 13 年目の WG です

5 WGの沿革エンタープライズロール管理解説書第2版内部統制におけるアイデンティティ管理解説書第２版改定新版クラウド環境におけるアイデンティティ管理ガイドラインエンタープライズロール管理解説書第3版エンタープライズ特権ID管理解説書第１版エンタープライズロール管理解説書第１版内部統制におけるアイデンティティ管理解説書第１版発展期導入期誕生期 2005 クラウド環境におけるアイデンティティ管理ガイドライン全盛期成熟期 WG１０周年記念セミナー合宿個人情報保護法/ISMS スマホ登場 J-SOX対応 ID管理チェックリスト OpenID ConnectとSCIMのエンタープライズ利用ガイドラインクロスボーダー時代のアイデンティティ管理セミナー働き方改革クラウドサービスの台頭 IFRS対応 2016 マイナンバー法 GDPR/改正個人情報保護法 IoT/AI/DX APIエコノミー Copyright (c) NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会

6 公開中の成果物１エンタープライズロール管理解説書第３版２エンタープライズにおける特権ID管理解説書第１版３ OpenID ConnectとSCIMのエンタープライズ利用ガイドライン JNSAと OpenID Foundation Japan との共同執筆４出版書籍改訂新版クラウド環境におけるアイデンティティ管理ガイドライン Copyright (c) NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 6

7 出版書籍の紹介書籍名 :< 改訂新版 > クラウド環境におけるアイデンティティ管理ガイドライン出版社 : インプレス R&D NextPublishing 形態 : 電子書籍 Ondemand Print(POD) 販売 : Amazon インプレス R&D libura PRO

WGメンバー紹介HP HP: http://www.jnsa.org/active/std_idm.

8 WGメンバー紹介HP HP: Copyright (c) NPO日本ネットワークセキュリティ協会 Copyright (c) NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会

9 2018 年度メンバー計 49 名敬称略会社名 : 五十音順 Page 9

10 年度の活動内容サマリ

11 2017 年度の活動内容サマリ 2017 年度活動状況成果物 ID 管理チェックリスト =>JNSA HP 公開テーマ IoT におけるチャットボットの認証と認可等 => 継続実施 ( 本日ご説明 ) アイデンティティと IoT(IDoT)=> 継続実施認証要素認可要素その関係の整理 ( 貞弘さん )=> 継続実施 ( 本日ご説明 ) プライバシー勉強会 ( 情報セキュリティ大学院大学の湯浅先生 )=> 独自セミナーアイデンティティ LT 大会 ( 初心者向け )=> 継続実施 IDaaS の動向について => 要望が薄く実施せず GDPR の動向について ( トーマツリスクサービス北野氏 )=> 独自セミナーセミナー企画 ( 若手育成テーマプライバシー動向含む )=> 独自セミナーその他 JASA ISACA 大阪講演 => チェックリスト解説 JICS2017 講演 => 講師対応

12 3.IoT におけるチャットボットの認証と認可等

13 課題提起なぜチャットボットの認証認可が課題なのか? 従来の認証認可の仕組みはユーザーが能動的に個人情報を提供するモデル ( 例 : 民泊したいので個人情報を提供 ) チャットボットは目的利用 ( 統計解析弁護士医療等 ) ではあっても個人データはユーザーが垂れ流す中でボットがデータを受動的に得る ( チャット空間での内容 ( 個人情報 ) をまずボットが見てサービスを判断 ) ユーザーユーザー認証認可 IdP 個人情報民泊 = 目的民泊サイト個人情報統計解析弁護士医者内容? 目的ボットチャットボットでの情報コントロールは従来モデルでは難しい? 13

14 課題まとめチャットボットでの認証認可の課題まとめ項目チャットチャネルでのプライバシー保護についてチャットチャネルとボットのあり方バックエンドでのボットの結託課題認証認可でプライバシー情報転送は最初の接続時のみチャットでは都度様々なレベルの情報がボットへ転送認証認可 (OIDC/OAuth2) の仕組みで今後もよいか? プライバシー保護の観点からボットとの接続はどうあるべきか? 接続構成 {1 対 1 1 対 n n 対 n}? アクセス権 {Read/Write}? ボットの結託 (DB 統合 ) ではバックエンドで情報共有 ( 結託 ) の可能性? リアルタイム情報 ( チャット音声画像等 ) でのうまい認証認可の手段がない? 14

15 4. 認証要素認可要素とその関係の整理

16 背景とゴール背景アクセスコントロール系はいろいろとキーワード ( リスクベース認証トランザクション認証 ) や概念があって個々にどのようなモノかは分かるがその関係がよく分からないゴールアクセスコントロールのモデルにおける認証と認可の位置づけを確認アクセスコントロール系キーワード / 概念のそのモデルにおける位置づけを確認実際のユースケースを踏まえて認証時に使う要素と認可時に使う要素の特徴と関係を明確化

17 一旦時系列でまとめてみた利用デバイスの割当環境要素利用デバイスアクセス経路 Subject Attribute 本人の識別誤操作不正操作漏洩などによる損害 Object Attribute Credentialの適切な発行ネットワーク Action Credentialの保護ネットワークレベル認証 Subject Attribute & Action ロール Digital Identity Provisioning Context AuthN AuthZ 一般的な異常例 IPアドレスブラックリスト異常の検知異常の検知当該Subjectに関する異常例通常と異なるAction 当該identifierに関する異常例通常と異なる時間帯のアクセスポリシー管理ポリシー管理 AuthN時ルール Copyright (c) AuthZ時ルール NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Action on Object

18 課題コメント課題コメント NIST に沿った形での整理が必要 Subjectは人に限定したほうがわかりやすいいくつかのユースケースで検討を進めるトランザクション認証などは状態遷移を含めないと整理ができない AuthNとAuthZはもっと細かく考えたほうがよいなど

19 NIST SP デジタル認証のガイドライン登録プロセス身元保証認証とライフサイクル管理フェデレーションとアサーション Copyright (c) NPO 日本ネットワークセキュリティ協会 19

20 再整理１認証 AuthN 利用デバイスの割当行おうとする ActionとObject アクセス時の環境要素 Digital Identity Provisioning 本人の識別利用デバイスアクセス経路 Credentialの適切な発行ネットワーク Credentialの保護ネットワークレベル認証 Subject AuthN Subjectの過去の認証履歴統計 OK この辺で利用認証要素が決まるポリシー管理 Subject非特有の認証統計静的異常データブラックリストIPなど過去の履歴 AuthN時ルール Copyright (c) NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 NG

21 再整理２認可(AuthZ) アクセス時点での Attribute & Action ロール Subject Attribute 誤操作不正操作漏洩などによる損害 Object Attribute Action AuthN OK Action on Object AuthZ 強度認証に使われた要素 AuthNContext AuthNを実施した主体アクセス元IPアドレスなどのアクセス時の環境要素ポリシー管理 Subjectの過去の Action履歴統計 Subject非特有の Action統計 MAC, DAC, RBAC 静的異常データあり AuthN時の要素過去の履歴 Copyright (c) AuthN時ルール NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 NG アクセス不適切 a.アクセス権無し b.こういうことやったらアクセスして OK 例認証強度不足

22 トランザクション認証 AuthZ AuthN 認証未認証 AuthN トランザクション認証と呼ばれるモノ以下どちらもあり得る認証済 L2 に遷移する都度実施されるより強い要素で認証認証済 L1 状態の変化認証済 L2 状態の変化状態の変化継続認証と呼ばれるモノ離席やトランザクション終了などにより状態の変化を検知認証の状態変化認証した瞬間だけでなくそれ以降の状態変化も考慮に入れる必要あり Copyright (c) NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会

23 方針転換元々の方針アクセスコントロール系のキーワードや概念の定義をはっきりさせてそれを元に ( 汎用的なユースケースで使える ) アクセスコントロールモデルを整理する転換後の方針 WG メンバの知見から特定のユースケースのアクセスコントロールモデルを描きそれにキーワードや概念をマッピングする対象ユースケースは人によるインターネットサービスへの Web ブラウザーアクセスとする

24 今後の方針モチベーション NIST における各種レベル (LoIA, LoA, etc.) への背景理解を助ける対象者認証認可について学び始めた人たちゴールアクセスコントロールのモデルにおける認証と認可の位置づけを明確化実際のユースケース ( 人による Web サービス利用 ) を踏まえて認証及び認可に影響する要素を図示 + 明確化認証認可に関わるキーワードは上図の中にどう位置付けられるか定義

25 年度の活動テーマ

26 2018 年度の活動テーマテーマ IoTにおけるチャットボットの認証と認可等アイデンティティとIoT(IDoT) 認証要素認可要素その関係の整理アイデンティティLT 大会 ID 管理チェックリストのCCMへの逆マッピングクラウド環境におけるアイデンティティ管理 6 章の検証教育コンテンツ制作検討( オンライン教育 ) その他他団体対応

ｽﾗｲﾄﾞﾀｲﾄﾙなし

ｽﾗｲﾄﾞﾀｲﾄﾙなし第 16 回 CSA 勉強会 JNSA アイデンティティ管理 WG の活動について JNSA 標準化部会アイデンティティ管理 WG WG リーダー日本ビジネスシステムズ株式会社セキュアデザインセンター部長宮川晃一 2015 年 9 月 25 日本日のアジェンダ 1.WG の目的 2.WG の沿革 3. 書籍紹介 4. エンタープライズロール管理 5. 個人アイデンティティの融合と分離 6. ご案内

JNSA 2017 年度活動報告会 2017 年度アイデンティティ管理 WG 成果報告 日本電気株式会社 (NEC) 金融システム開発本部金融デジタルイノベーション技術開発室 (FDIT) 宮川晃一 2018 年 6 月 12 日

JNSA 2017 年度活動報告会 2017 年度アイデンティティ管理 WG 成果報告日本電気株式会社 (NEC) 金融システム開発本部金融デジタルイノベーション技術開発室 (FDIT) 宮川晃一 2018 年 6 月 12 日