PowerPoint プレゼンテーション

Transcription

1 カンターラ イニシアティブ セミナー 2011 National Strategy for Trusted Identities in Cyberspace (NSTIC) 概説 2010 年 6 月 3 日 株式会社野村総合研究所 DI ソリューション事業部山崎崇生 東京都千代田区丸の内 丸の内北口ビル

2 NSTIC?? NSTIC = ゼロパスワード認証?? NSTIC = 国が IC カードを発行して国民全員に使わせる?? NSTIC = 対テロ対策として 国が情報を一元管理?? 2

3 NSTIC?? NSTIC = ゼロパスワード認証?? NSTIC = 国が IC カードを発行して国民全員に使わせる?? NSTIC = 対テロ対策として 国が情報を一元管理?? 3

4 目次 1. Big DataとPersonal Data 2. トラストとは? 3. トラストフレームワークとは? 4. NSTICとは? 5. NSTICで実現できること 6. 米国以外の動向 関連標準の動向 7. ( ご参考 ) 次世代 OpenID:OpenID Connectについて 4

5 Big Data? McKinsey Global Institute 野村総合研究所シニアフェロー村上輝康. 大規模データ処理の世界が今 クラウドコンピューティングの普及とともに Big Data として新たな光を当てられようとしている その引き金となっているのは 突如出現した ソシアルメディアのグローバルプラットフォーム上で 高機能携帯端末を駆使する利用形態の急成長によって生み出される Big Data である 期待されるのは 公的な大規模データの利活用の分野である この分野には 医療分野における PHR( パーソナル ヘルスレコード ) や 自動車のプローブ情報や信号情報等を統合する都市交通制御 携帯電話事業におけるモバイル空間統計等 利用可能になれば大きな社会的効用を生み出しそうな公的な情報が多々存在する この分野の Big Data の問題は 複雑な利害関係や規制の存在によって塀の中から出てこない Big Data をいかに利用可能にしていくか ということである 5

6 ダボス会議 (World Economic Forum) パーソナルデータ再考 プロジェクト Personal data is the newoil of the Internet and the new currency of the digital world. 6

7 最近 ID 連携を必要とするサービスが増えてきた Google Yahoo Facebook Twitter Mixi などの ID でサービスを連携させて ログインしたりデータ連携させる機会の増加 認証連携 (Twitter アカウントで Togetter にログイン ) ID の管理面倒くさい! 外部のプラットフォームサービスの情報を活用したい! Togetter データ連携 (Twitter の情報を Togetter に取り込み ) ユーザ本人の同意 Twitter API 公開しておくから ID とデータを使ってサービスどんどん開発して! この仕組みをよりセキュリティが要求されるサービスにも利用できないか? 必要なのは 事業者の信頼性 データの信頼性 ユーザの信頼性 7

8 サイバー犯罪は増加の一途 サイバー犯罪は年々増え続けており 市民 国家に与える負の影響も大きくなっている 2009 年の 1 年間で インターネット犯罪相談センター (IC3) は 336,655 件の相談を受けており 1 年前に比べて 22.3% の増加 全ての被害額を合計すると 5.6 億ドルとなっている (2008 年は 2.6 億ドル ) 連邦議会調査サービスによると 2004 年時点でサイバー犯罪による経済的ロスは 460 億ドルと試算されている Cyberspace Policy Review によると 2008 年の知財やデータの窃盗による被害額は 1 兆ドルにも達すると述べられている 毎年 1,000 万のアメリカ人が Identity 窃盗の被害にあっている Identity Theft の回復 (reputation) を行うには 130 時間かかるといわれている サイバー犯罪の増加により 市民 民間企業のオンライン利用が萎縮 オンラインの情報流通が減少 オンライン経済が縮小 でも単純にオンライン利用を規制したら もっと経済が萎縮してしまう 8

9 トラスト ( 信頼 )= インターネットに長年求められてきたもの 9

10 必要なのは 利用者がサービスを 信頼して 使える仕組み 事業者が利用者 ( または他の事業者 ) を信頼してサービスを提供できる仕組み この 仕組み ( トラストフレームワーク ) を国家レベルで 持続可能な形で実現するための戦略 NSTIC 10

11 トラストフレームワーク? 従来のモデル 事業者同士が個別に信頼関係を結ぶ必要があるため 様々な課題が存在 信頼関係を結ぶ度に毎回事業者間の交渉が必要となるため コストと時間がかかる 結果的にスケーラビリティに限界がある ( 参加する事業者を爆発的に増やすことができない ) OITF(Open Identity Trust Framework) モデル ポリシー立案者 (Policymaker) の認定をうけた 信頼フレームワーク提供者 (Trust Framework Provider; TFP) が 各事業者を認定するモデル 事業者は TFP の認定のみを受けるだけで済むようになり コストと時間が大幅に短縮され その結果スケーラビリティが向上する ポリシー立案者は複数の TFP を認定することで TFP 同士の競争を発生させ 市場原理によるサービス向上が期待できる OIX はこの TFP 業務を行う企業 団体のひとつとなる 独占的なものではなく 他にも カンターラ イニシアチブ 等の TFP 団体がある ポリシー立案者 U.S. GSA ICAM ID 発行サイト 図は OIX の Web サイトより引用 ID 受入サイト ID 発行サイト Google PayPal Equifax VeriSign Verizon 信頼フレームワーク提供者 OIX Kantara 認定検査人 ID 受入サイト NIH( 国立衛生研究所 ) NLM( 国立医学図書館 ) LOC( 米国議会図書館 ) 11

12 Open Identity Trust Framework のスキーム OITF は IdP と RP の信頼関係締結のコストを TFP が仲介することで軽減し さらに TFP が認定した認定検査人が IdP と RP の組織の信頼性や業務 システム 技術の信頼性をチェックする枠組み OITF Open Identity Trust Framework ポリシーメーカー 認定 Trust Framework Provider(TFP) 契約 認定 契約 監査 認定監査人 監査 Identity Service Provider(IdP) データ連携 Relying Party (RP) サービス提供 サービス提供 サービス利用申請 利用者 サービス利用申請 12

13 なぜトラストフレームワーク? 13

14 JAS モデル トラストフレームワーク 有機食品認定制度 農林水産大臣 登録申請 登録 JAS 法 17 条の 2 の基準に基づき判断 登録認定機関 (NPO 財団等を含む法人 ) 検査 ( 調査 ) 機関独立行政法人農林水産消費安全技術センター 申請認定 調査申請認定 調査 生産農家 ( 農産物 ) 製造業者 ( 加工食品 ) 認定の技術的基準に関する農水省告示に基づき認定 格付 小売業者 格付 自ら生産した農産物 製造した加工食品を格付するもの 告示の認定基準において 格付規程の具備を明記 消費者 14

15 米国政府のサイバースペースに関する戦略 e-goverment Act Open Government Directive Cyberspace Policy Review International Strategy for Cyberspace OMB M NIST SP HSPD12 / Fed-PKI / PIV National Strategy for Trusted Identity in Cyberspace Open Identity Trust Framework International Strategy for Trusted Identity in Cyberspace??? 15

16 NSTIC とそのビジョンを実現する Identity Ecosystem NSTICのビジョン個人や組織が セキュアで 効率的で 簡単で 相互運用性がある アイデンティティソリューションを利用して 信頼性 プライバシー 選択 イノベーション を促進するような形でオンラインサービスにアクセスできる このビジョンを持続的な形で実現したものが ユーザー中心の Identity Ecosystem 信頼できるアイデンティティに紐付き 安全に個人データが流れるように なれば 飛躍的にインターネット経済が拡大する ( はず ) 16

17 Identity Ecosystem とトラストフレームワークの関係 Steering group Trustmark scheme NSTIC トラストフレームワークのベースラインとしての Identity Ecosystem Framework の推進 政府や民間事業者に対するビジョンと それに向けた政府の主な今後のアクション 17

18 Identity Ecosystem のモデル ~ クレデンシャル発行 ~ 18

19 Identity Ecosystem のモデル ~ 属性取得 ~ 19

20 Identity Ecosystem のモデル ~ クレデンシャルと属性の利用 ~ 20

21 実現する未来の例 #1 サービスにあったクレデンシャルの選択 銀行 大学 メール ID Provider SNS Subject サービスに応じて ID クレデンシャルを使い分け 医療 料金支払 Relying Party 21

22 実現する未来の例 #2 必要な資格情報のみ提供 学校 Attribute Provider 子供向けチャットルーム 12 歳 ~17 歳の証明 Subject 匿名での利用 ( 利用資格のみ証明 ) Relying Party 22

23 実現する未来の例 #3 病院 警察など ID Provider & Attribute Provider 緊急医 クレデンシャル医師資格 専門性 災害緊急ポータル Subject 資格に応じた情報提供 Relying Party 23

24 ID ソリューションに求められる要件 1. プライバシー保護と参加の自由 Privacy-Enhancing and Voluntary 2. セキュアで回復力があること Secure and Resilient 3. 相互運用性があること Interoperable 4. 安価で簡単に使えること Cost-Effective and Easy to Use 24

25 Fair Information Practice Principles (FIPPs) の 8 箇条 (DHS version) 1. 透明性 Transparency 2. 個人の参画 Individual Participation 3. 目的の特定 Purpose Specification 4. データの最小化 Data Minimization 5. 利用の制限 Use Limitation 6. データの品質と完全性 Data Quality and Integrity 7. セキュリティ Security 8. 説明責任と監査 Accountability and Auditing 25

26 Identity Ecosystemを実現するための政府 民間の役割 民間の役割 各役割への参画 (IdP RP AP ) Identity Ecosystemのデザインと運営におけるリーダーシップ 政府の役割 民間セクターがIdentity Ecosystemを採用 参画するようサポート 個人の権利保護の観点からの主張 国際パートナーの協力取り付け 26

27 Identity Ecosystem のベネフィット 個人にとってのベネフィット 便利 プライバシー セキュリティ オンライン作業時間が節約でき 生産性が向上する たくさんの ID やパスワードを管理せずとも簡単にサービスにアクセスできる オンライントランザクションに必要な情報以外収集されない オンラインでの様々な活動を紐づけられることも防ぐ セキュリティ標準に従った安全な技術の利用と 必要な情報のみトランザクションで利用するように制限することで データ暴露の危険性が低くなる 民間セクターにとってのベネフィット イノベーション 効率性 信頼性 政府にとってのベネフィット 国民の満足 経済成長 公共の安全 複数の事業者がつながりやすくなることで 新しいサービスが生まれる また 医療や金融などの いわゆる高リスクな分野のオンライン活用が用意となることで 革新的なサービスが誕生する 個人のオンライン利用のハードルが下がること オンラインに関する信頼性が高まることで 潜在顧客が増え 生産性があがり コストが削減できる また 紙ベースのプロセスや アカウント管理に関わるヘルプデスクコストを削減すると同時に オンライン詐欺や ID 窃盗などの被害も減らすことができる Identity Ecosystem に参画することで プライバシーとセキュリティの標準を守っていることが証明できるため 顧客からの信頼を得ることができると同時に ブランドイメージの向上 維持につながる Identity Ecosystem により電子行政が広がり 行政の効率性 透明性が向上する また 行政機関内のサービスがより効率的に連携することができ 国民にとって使いやすい行政サービスを提供できる 政府が Identity Ecosystem をサポートすることで 市場に革新をもたらし 新しいビジネスの機会を生み出すことができる オンラインのセキュリティを向上することで サイバー犯罪を減らし 結果として全体的な消費者の満足度を向上することができる また オンライントラストを増大することは 国家的な緊急事態の際により効率的に対応するための基盤を提供することにつながっていく 27

28 米国以外のトラストフレームワーク採用の動き ダボス会議 パーソナルデータ利活用 プロジェクト Personal data is the newoil of the Internet and the new currency of the digital world. 他の ID 先進国 カナダ オランダ オーストリア NZ 次期国民 ID 制度として 検討を開始? ISO / ITU-T ISO / x.eaa x.oitf 学認 / InCommons / NORDUnet 28

29 NSTIC OITF 関連の動向 ITU-T X.OITF 2014Completion ISO29115/X.EAA CD6(Committee Draft v6) Kantara OIX Trust framework meta model WG Kantara-IAF Attributes Assurance model 29

30 ちなみに

31 Working Together OpenID Connect

32 Design Criteria Easy Things Easy Harder Things Possible Modular Design

33 Easy Things Easy Standard UserInfo for Simple Connect Ability Designed to Work Well on Mobile Phones

34 Harder Things Possible Range of Security Profiles Claims Aggregation Distributed Claims

35 Range of Security Profiles LoA3 LoA4 LoA2 LoA1 Increasing Level of Assurance

36 OpenID Connect Framework 出典 :OpenID Blog post A Map for OpenID ABC

37 Claims Aggregation Data Source Data Source Signed Claims IdP Relying Party

38 Distributed Claims Data Source Data Source Data Source Signed Claims IdP Permission Relying Party Better scalability, etc.

39 Use of Summits Munich: Discuss progress, specs gather input Colorado: Interop work potentially in cooperation with OSIS Tokyo: Test implementations; learn from implementation and deployment experiences London: Discuss progress, specs gather input Nov IIW: Spec refinement and/or finalization Kantara: Consensus on certification