勉強会・ハンズオン 実施報告書

Transcription

1 不正アクセスから Web を守る リスクベース認証 と インベントリ認証 株式会社オージス総研テミストラクトソリューション部千野修平

2 Who am I 名前 千野 修平 せんのしゅうへい 役割 認証技術グループ 主任アーキテクト 好きな技術 認証 IdM (OpenAM,OpenIDM) Node.js AWSまわり

3 ThemiStructとは OpenAM EJBCA ThemiStruct-WAM OpenIDM ThemiStruct-IDM ThemiStruct(テミストラクト)は オージス総研が持つOSS活用の ノウハウと導入実績に裏打ちされた 統合認証ソリューションです テクニカルサポート ThemiStruct-CM ThemiStruct-Monitor 利用方法などの問合せへの回答 障害時の調査 回避策や代替案の提示 復旧 の技術支援 ThemiStruct-OTP シングルサインオン ID管理 システム監視 プロフェッショナルサービス OTP 電子証明書発行 要件実現方法の相談 回答 概念実証 技術検証の支援 自社で実施する開発 構築の技術支援 テクニカルサポート プロフェッショナルサービス システムインテグレーションサービス システムインテグレーションサービス Zabbix お客様の要望に応じたシステムの実現を責任 を持ってお引受け

4 今日のお話 F/W is DEAD!

5 ? なぜ F/W は死んだ とか言うのか?

6 企業のIT資産を取り巻くリクエストの変化 １ クラウド や モバイル が浸透していなかった時代 IT資産は 所在が明らか で 限定した場所で使う ものだった オンプレ

7 企業のIT資産を取り巻くリクエストの変化 ２ デバイスの種類 が増え システムの置き場所 が増え アクセス できる場所 が増えていった 自ずと IT資産はInternet-facingに グローバル スマデバ オフィス 在宅 オンプレ (グループ化 HD化) クラウド

8 企業のIT資産を取り巻くリクエストの変化 ３ Internet-facingだけれども 要件を満たしつつ防御するには F/Wの 制御や IT資産ごとに設けられた機能だけでは限界がある グローバル スマデバ オフィス 在宅 オンプレ クラウド

9 企業のIT資産を取り巻くリクエストの変化 ４ 被害を被ると IT投資なんか比較にならないくらいの コストが発生す る 攻撃者 グローバル 悪い人に 唆された スマデバ オフィス 在宅 オンプレ クラウド

10 IT資産にどこからでもアクセスしたいニーズ なぜ 死んだ 1. 最早 あたりまえという風潮 - 今や 社内のシステムをInternet-facingにすることは ごく普通 のことになってきている 2. 外に公開するとシステムの価値が上がる - その価値が企業やサービスの価値や収益を左右するといっても過言 では無い 場所に因われないワークスタイルの確立 固定資産 社員向けPCやサーバー を持たない IT資産の利用促進 良く使われるシステム へ ただし 防御は考える必要がある - 長年 境界防御の要だったF/Wでは制御できない - IT資産ごとにセキュリティを担保するのは コスト増になる

11 ? 次代の境界は何か?

12 新たな境界を アイデンティティ とする風潮 クラウドやモバイルなどの 浸透で 人のシステムの 使い方が変わってきた 企業が長年 境界 として 位置づけてきたものの 有効性が無くなった 5.html より 新しい境界を 人が何者かを示す アイデンティティ と定義する

13 アイデンティティ境界に求められる要件 認証を強くできる 多段階で認証する 一時的な認証情報を使う リスクをチェック コールバックで本人確認をする 同じ仕組みに沢山のシステムを ぶら下げられる すべて 認証基盤で実現可能です

14 認証基盤を アイデンティティ境界 として使う 認証を 強く出来る 認証基盤 システムを たくさん ぶら下げる

15 認証基盤を アイデンティティ境界 として使う 認証を 強く出来る 認証基盤 システムを たくさん ぶら下げる

16 Multi-Factor Authentication 1.Something you know 2.Something you have 3.Something you are

17 ? ただ 強くすれば良い?

18 認証を強くするのが正義か ただ強くするだけだと 利便性が 損なわれる IT利用促進を 阻害する 使われない システムの 誕生

19 多要素認証は 次のステージへ something you are をもっと使う

20 本日ご紹介のsomething you areを使った認証 １ ２ ３ リスクベース認証 デバイスID認証 インベントリ認証

21 ? 何を使って実装するの?

22 具体的にどうやるのか でやる でやる

23 リスクベース認証

24 リスクベース認証 リスクベース認証とは - ユーザーの状態 環境情報 や行動パターン を分析して リスクを判定したうえで認証を 課す方式 機能は大きく３つ 1. ユーザーの環境情報を収集して 点数をつけ る 時には過去の行動パターンと照会する 2. 点数でリスクの有無を判断 3. リスクが高い場合は追加認証をユーザーに課 す

25 ユーザーの環境情報 アクセスしてきたユーザーの状態を取得することができ ポリシーと照らして 点数をつける 要素 例 アクセス元のIP 外出先か? 社内か? User-Agent ブラウザの種類で制御 アクセス時間 勤務時間内か? 役職 偉い人か? 否か? 所属 営業か? 経理? 情シス?

26 追加の認証を課す ユーザーが リスクが有る と判断されると(ポイ ントがポリシーより高い場合)追加認証となる 上記のように 認証の連鎖を定義することが可能

27 認証連鎖という概念がある 管理者の認証

28 認証連鎖 どんな認証をするか RiskBasedの設定画面 OTPの設定画面

29 認証連鎖 どんな認証の組み合わせか 必要 成功したら連鎖から抜ける 必須 成功したら次の連鎖に進める 十分 成功したら連鎖から抜ける 失敗したら次の連鎖に進める

30 認証連鎖完成図 ID/PW 認証 : 必須成功失敗 失敗 認証 完了 認証 リスク判定 : 十分成功失敗 完了 認証 OTP 認証 : 必要成功失敗 失敗 認証

31 デバイスID認証

32 あのサービスの認証 デバイスID認証 ワンタイムパスワード を入力 アクセスしている ブラウザを覚えさせる 既に あちこちで使われている 認証方式です

33 デバイスID認証とは ブラウザ情報を保存す るか否かを問われる Success! ID/PW認証 ブラウザの種別 画面サイズ 地 域情報を収集し 照会する DeviceID (Match) Unmatch! OTP認証 なんでもいい Match! DeviceID (Save) Success! Saved!

34 ぜひ BtoC向けサイトでご活用下さい ThemiStruct-WAMでも実装できます 記録する情報 - ブラウザのUser Agents インストール済みのフォント 解像度と色深度 タイムゾーンかデバイスのジオロケーション 例 - Firefoxでログインした後 Chromeでログイン - PCでログインした後 スマホでログイン - 東京でログインした後 大阪でログイン

35 インベントリ認証

36 電子証明書はコピーされるリスクがある 電子証明書認証 アクセス 発行する できる 電子証明書がコピーされて 電子証明書発行 アプリケーション 証明書を 想定外の端末にインストールされる システム コピーする リスクがある アクセス できてしまう

37 最上級のsomething you areを使った認証 要求 組織によって 確実に許可されたデバイスからのア クセスに制限したい Something you know IDとパスワードを知っている Something you have 電子証明書を持っている Something you are 会社で許可された端末を使っている

38 インベントリ認証 インベントリ認証とは - ユーザーアクセス時に ユーザーが使用している端末 の固有情報を用いて認証を行なう機能 応用分野 - ユーザー認証を行なう際に パスワード + 使用デバ イスを使った多要素認証を実現する 証明書認証の 代替 - 証明書認証を行なう際に 証明書のコピー利用を予防 するために 使用デバイスと証明書の紐付けチェック を実現する 証明書認証の強化 - デバイス内の構成が変更されたことを検出することで 認証方式を切り替えるリスクベース認証を実現する 高度なリスクベース認証の実現

39 インベントリ認証の流れ 認証基盤 使ってる 知ってる 持ってる ID/ イ ン ベ ン ト リ 認 証 パ ス ワ ー ド 認 証 証 明 書 認 証 ID/ パ ス ワ ー ド 認 証 SSO対象アプリ 提示された証明書のシリアル 番号とインベントリ情報が一 致しているかどうかを検証 証明書発行 情イ 報ン のベ 要ン 求ト リ 証明書のダウンロード時に クライアントの インベントリ情報を要求 Copyright 2015 OGIS-RI Co., Ltd. All rights reserved. 証明書シリアル番号 証明書シリアル番号 証明書シリアル番号 インベントリ情報 インベントリ情報 インベントリ情報 証明書のシリアル番号と セットで インベントリ情報 を保管する

40 インベントリ認証の流れ 発行した証明書と証明書を導入した端末が SSO対象アプリ 認証基盤 使ってる 知ってる 持ってる ちゃんと紐付いていることを保証する ID/ ID/パスワード 証 知ってる 証明書 パ 持っている ス ワ ー ド 認 証 ID/ 明 書 認 証 パ ス ワ ー ド 認 証 イ 正しい端末 ン 結果 使っている ベ ン ト リ 提示された証明書のシリアル 認 番号とインベントリ情報が一 証 NG 情イ 報ン のベ 要ン 求ト リ 証明書のダウンロード時に クライアントの インベントリ情報を要求 Copyright 2015 OGIS-RI Co., Ltd. All rights reserved. 致しているかどうかを検証 ユーザーの識別 が出来ない 証明書発行 NG SSL接続の 失敗 証明書シリアル番号 証明書シリアル番号 証明書シリアル番号 NG インベントリ情報 インベントリ情報 インベントリ情報 インベントリ 情報が不正 証明書のシリアル番号と セットで インベントリ情報 を保管する

41 どんな技術使っているの 端末側のエージェントソフトウェア - クライアント側で動作するOpenID Provider - 端末固有の情報を含めた 自己署名のIDトークンを発 行する - OpenID Connect Core 1.0のSelf Issued OpenID Providerの仕様に準拠 - built on OpenID Connect standard!

42 宣伝 ID&ITでインベントリー認証デモします 展示ブース 弊社講演枠 あります

43 ! たくさんのシステムをぶら下げる

44 認証基盤を アイデンティティ境界 として使う 認証を 強く出来る 認証基盤 システムを たくさん ぶら下げる

45 ThemiStruct-WAMの認証連携方式 Reverse Proxy Policy Agent OAuth 2.0 SAML 1.x/2.0 OpenID Connect 1.0 Shibboleth 2.x/3.x

46 ! ぶら下げると得られるメリット

47 わざわざ認証基盤をたてる理由 ①利用者が便利になる ②セキュリティの ばらつきが無くなる 認証基盤 ④認証方式の変更が やりやすい ③システム開発が しやすい

48 1 利用者が便利になる ID パスワードの統合 利用者が複数の ID パスワードを覚える必要がなく 予期せぬ認証失敗や忘れを予防し負担を軽減できる シングルサインオン アプリケーション毎にログイン認証をすることなく 1 度の認証でアプリケーションへアクセスできる 結果 利用者の作業効率の向上 IT 活用の促進に繋がる

49 2 セキュリティレベルのばらつきが無くなる パスワード運用の徹底 パスワード変更 パスワード忘れ対応 パスワードポリシーなど パスワードを取り巻く運用を一元的に実施できる アクセスポリシーの統合 アプリケーションの認証レベル アクセス制御を一元的に管理でき セキュリティ強度の均一化ができる 結果 システム システム開発者に依存したばらつき ユーザーに依存したばらつきが解消される

50 3 システム開発がしやすい 認証画面の統合 認証経路を集約することでセキュリティ対策を集中的に実行できる 認証セッションの統合 認証セッションの管理を一元化でき セッションタイムアウト時間を統合できる 結果 アプリケーション毎に認証機能を開発する必要がなくなる

51 4 認証方式の変更がやりやすい 人 デバイス ネットワークの認証強化 知っている情報 (ID/ パスワードなど ) 持っている情報 (OTP や電子証明書 ) や アクセス元 の組み合わせでの認証ができる リスク評価での認証 IP や認証の履歴 アクセス時間 曜日など アクセス傾向による要素に基いて ユーザーに課す認証の種類を変更することができる 結果 ID/ パスワードを使った認証から多要素認証まで あらゆる認証方式を柔軟に組み合わせて適用可能

52 まとめ

53 まとめ エンタープライズにおけるシステムの利用の仕方に大きな変革が起こっている 変革から生まれる多様な要求を満たすために従来の境界型の防御手法では太刀打ち出来ない 新しい境界として アイデンティティ が注目されている アイデンティティ境界に求められる機能要件の一つ 認証強化 は ThemiStruct-WAM で柔軟に実装できる 特に something you are のポリシーを使った認証は IT 利用を厳密に管理しつつも 利便性を損なわない MFA だけではなく 認証基盤の導入には様々なメリットが存在する

54 当社 ソリューションの ご紹介

55 ThemiStruct は統合認証ソリューション ThemiStruct テミストラクト は統合認証ソリューション 統合認証 ID管理 ライフサイクル管理 認証基盤 多要素認証 シングルサインオン 人の属性 存在を管理 不正IDを残さない ハード ソフトの違いを超え安全なアクセスを提供

56 ThemiStruct-WAM OpenAM (trunk) がベース 専用のインストーラー (Linux Windows Server に対応 ) 当社オリジナルの日本語マニュアル スマートデバイスに対応するレスポンシブ UI パスワード管理強化のためのアドオンモジュール群 高度なリスクベース認証を実現するインベントリ認証オプション 57

57 ThemiStruct-IDM OpenIDM (trunk) がベース 専用のインストーラー 当社オリジナルの日本語マニュアル 権限委譲に対応した専用のWebUI (SSI) 組織 グループ ロールの管理 プロビジョニングのスケジューリング 予約への対応... 58

58 ThemiStruct-CM EJBCA (Enterprise 版 ) がベース 当社オリジナルの日本語マニュアル 証明書の一括登録 一括ダウンロード 秘密鍵がエクスポートできない証明書発行への対応 デバイスアクセスコントロールへの対応... 59

59 OSSを安心して活用いただくための取り組み テスト実行 コミット ソースコード管理基盤 テスト実行 テスト実行 コンパイル ユニット インスペクション コミット コミット モジュール単位での 可読性やコーディング 開発 修正を行った ソースコード管理基盤 ソースコード管理基盤 テスト ルール等を数値化し 測定 ソースをコンパイル 開発者 開発者 コンパイル 開発 修正を行ったソースをコンパイル コンパイル 開発 修正を行ったソースをコンパイル ユニット モジュール単位でのテスト ユニット モジュール単位でのテスト インスペクション 可読性やコーディングルール等を数値化し 測定 インスペクション 可読性やコーディングルール等を数値化し 測定 デプロイ 実行環境でデプロイ工程をテスト インテグレーション ロングランパフォーマンス デプロイ デプロイ 実行環境でデプロイ工程をテスト インテグレーション 実行環境上で各機能の動作を確認 実行環境上で各機能の動作 実行環境上で長期稼働 実行環境でデプロイ工程 インテグレーション 実行環境上で各機能の動作を確認 ロングラン パフォーマンス 実行環境上で長期稼動 過負荷稼動を確認 を確認 ロングラン パフォーマンス 実行環境上で長期稼動 過負荷稼動を確認過負荷稼働を確認 をテスト アベイラビリティ 障害を発生させた状態での稼動確認 復旧テスト アベイラビリティ 障害を発生させた状態での稼動確認 復旧テスト バルネラビリティ 既知の脆弱性を含んでいないことを確認 ライセンスリスク ソースコードのライセンスリスクを確認 バルネラビリティ 既知の脆弱性を含んでいないことを確認 統合認証ソリューション ThemiStruct テミストラクト リリース ライセンスリスク ソースコードのライセンスリスクを確認 統合認証ソリューション ThemiStruct テミストラクト リリース バルネラビリティ アベイラビリティ 障害を発生させた状態での 稼働確認 復旧テスト 既知の脆弱性を含んで いないことを確認 統合認証ソリューション ライセンスリスク ソースコードのライセンス リスクを確認 リリース 開発者

60 Amazon Web Services上に展開されたテスト基盤 テストターゲットの自動デプロイによる クリーンなテスト環境の構築 自動インテグレーションテスト スポットインスタンスを活用した大規模 なパフォーマンステスト etc 当社は APN (AWS Partner Network) コンサルティングパートナー です

61 ライセンスリスクの確認 使用しているOSS 著作権者 ライセンス 条件を正しく把握 権利の瑕疵の発生を予防 OSS自動検出ツール Palamida を使 用 当社は 米国PALAMIDA社の パートナー です

62 サポート力向上のための更なる挑戦 ソースコード静的解析ツール COVERITY を使った 不具合発見と 修正へのトライに着手 - クラッシュ - リソースリーク - 脆弱性 - 当社は 米国シノプシス社 旧 コベリティ社 の 販売代理店 です

63 ご清聴ありがとうございました お問合せ先 TEL: / info@ogis-ri.co.jp