Microsoft PowerPoint - NSF2014_IDMWG発表資料（発表用）.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - NSF2014_IDMWG発表資料（発表用）.pptx"

ひできももき
4 years ago
Views:

1 エンタープライズ ID 連携トラストフレームワークにおけるポリシーのあり 2014 年 1 月 29 日アイデンティティ管理 WG

2 本のセッション内容 1. エンタープライズ市場での認証基盤システム概要 2. エンタープライズ市場での認証基盤整備的の変化 3. 運管理ポリシーの説明先 4. トラストフレームワーク 5. ポリシーを主張することでトラストを築く 6. ID 情報の正当性を保つための要素本のパネルテーマパネルディスカッション

3 モデレーター / パネリストモデレータ : アイデンティティ管理 WG リーダー宮川晃 ( 本ビジネスシステムズ株式会社 ) パネリスト : 南芳明 ( 株式会社シマンテック ) 富榮尚寛 ( 伊藤忠テクノソリューションズ株式会社 ) 中島浩光 ( 株式会社マインドトゥーアクション ) 江川淳 ( エクスジェンネットワークス株式会社 )

4 1. エンタープライズ市場での認証基盤システム概要源泉情報運統合 IDM 連携 ID 情報マスター ( 認証サーバ ) SSO 3

5 1. エンタープライズ市場での認証基盤システム概要クラウド利 / フェデレーションの認証利で対応源泉情報運統合 IDM 連携 ID 情報マスター ( 認証サーバ ) IdP SSO Cloud service SP 4

6 2. エンタープライズ市場での認証基盤整備的の変化 2002 認証 ID 管理の効率化時代クライアントサーバシステムの増殖認証 ID 管理パスワードメンテの煩雑性顕著にセキュリティ強化時代個情報保護法顧客情報漏えい事件多発 5

7 2. エンタープライズ市場での認証基盤整備的の変化統制強化時代 2006 J-SOX( 融商品取引法 ) Compliance 2009 リーマンショック IT 統制未対応 2010 Compliance is dead. 多様なステークホルダーの存在 Accountability 2011 オリンパス事件 Transparency 6

8 2. エンタープライズ市場での認証基盤整備的の変化 2012 クラウド利時代クラウドビジネスの興隆クラウド利普及前夜クラウドサービス利企業クラウドサービス提供企業認証 ID 管理の効率化セキュリティ強化クラウド利ライセンス管理フェデレーション対応の裏付け透明性確保 (IT 統制必須 ) 7

9 2. エンタープライズ市場での認証基盤整備的の変化クラウド利ライセンス管理源泉情報 ID 情報メンテナンスメンテナンス時の記録運統合 IDM 連携 ID 情報マスター ID 情報 ( 識別 ) フロヒショニンクライセンス付与とはく奪 IdP SSO ライセンス管理 Cloud 課処理 service SP 8

10 2. エンタープライズ市場での認証基盤整備的の変化フェデレーション対応の裏付け源泉情報 ID 運管理が適切に実施運統合 IDM 連携 ID 情報マスター認証処理が委譲される IdP SSO サービス提供側で認証しない Cloud service SP 認証結果を信じる 9

11 2. エンタープライズ市場での認証基盤整備的の変化クラウド利時代は ID 運管理が適切に実施されている必要がありそのために認証基盤を整備する誰が必要としているのか情報共有相何を以て適切と判断するのか運管理ポリシーに沿った ID 運管理システム 10

12 3. 運管理ポリシーの説明先密結合完結時代従業員 P 認 ID 情報マスタ DB 認証密結合 IT 部管理者 ID Active Directory ファイルサーバ RDB 業務システム ID 情報 DB 運管理ポリシー密結合完結時代 J-SOX 企業 ( 統制説明先 ) 株主様 11

共有 A 情報共有相の ID 運管理 (ID の正当性 ) を信頼する従業員 P IT 部管理者認 ID 情報共有企業 B IdP ID 情報マスタ DB

13 3. 運管理ポリシーの説明先 SaaS による情報共有従業員 P IT 部管理者認 ID 情報共有企業 A ID 情報マスタ DB Active Directory IdP CSV RDB LDAP 認証 = 疎結合フェデレーショントラスト共有 A ( 統制説明先 ) 共有 B 共有 B ( 統制説明先 ) 共有 A 情報共有相の ID 運管理 (ID の正当性 ) を信頼する従業員 P IT 部管理者認 ID 情報共有企業 B IdP ID 情報マスタ DB Active Directory CSV RDB LDAP RP ID 情報 SaaS 共有情報 GoogleApps salesforce.com Office365 12

14 3. 運管理ポリシーの説明先プライベートクラウドによる情報共有従業員 P IT 部管理者認 ID 情報共有元企業 ID 情報マスタ DB Active Directory IdP CSV RDB LDAP 認証 = 疎結合フェデレーショントラスト共有元 ( 統制説明先 ) 共有先情報共有元の ID 運管理 (ID の正当性 ) を信頼する従業員 P IT 部管理者認 ID ID 情報マスタ DB Active Directory 情報共有先企業 CSV CSV RDB RP ID 情報プライベートクラウド共有情報 13

15 3. 運管理ポリシーの説明先密結合 & 疎結合時代従業員認証密結合 P IT 部管理者認 ID ID 情報マスタ DB Active Directory ファイルサーバ IdP LDAP IdP 認証サーバ RDB 業務システム ID 情報 DB 認証疎結合認証疎結合情報共有 RP GoogleApps salesforce.com Office365 プライベートクラウド RP 運管理ポリシー密結合 & 疎結合時代トラスト企業 ( 統制説明先 ) 共有相 J-SOX 企業 ( 統制説明先 ) 株主様 14

16 4. トラストフレームワーク基本モデル Policy Maker ( ポリシー策定者 ) 認定契約 Trust Framework Provider ( トラストフレームワーク提供者 ) 認定契約 Identity Provider 認証利者監査監査 LoA LoP Relying Party 利 15

17 4. トラストフレームワーク学認モデル Policy Maker ( ポリシー策定者 ) ICAM 契約認定 OIX 学認 (NII) Trust Framework Provider ( トラストフレームワーク提供者 ) 認定契約学 Identity Provider 認証利者先 / 学監査監査 LoA LoP Relying Party PubMed 利 16

18 4. トラストフレームワークエンタープライズモデル共有元契約 Identity Provider (Supply chain user) 認証利者従業員 Policy Maker ( ポリシー策定者 ) Trust Framework Provider ( トラストフレームワーク提供者 ) 監査第三者機関認定なし認定監査 LoA LoP 共有先 (Supply chain user) 契約情報オーナー (Supply Relying chain owner) Party SaaS 利業者 17

5. ポリシーを主張することでトラストを築く IDM-WG の検討内容としてエンタープライズ市場のトラストフレームワークにおいて第三者機関が存在しない状態でフェデレーションを利して情報を共有する場合 IdP での適切な認証とアクセス制御が維持されていると主張できるポリシーの要点をまとめる共有元弱情報オーナー & 共有先強ポリシーを主張することでトラストを築く弱強

19 5. ポリシーを主張することでトラストを築く IDM-WG の検討内容としてエンタープライズ市場のトラストフレームワークにおいて第三者機関が存在しない状態でフェデレーションを利して情報を共有する場合 IdP での適切な認証とアクセス制御が維持されていると主張できるポリシーの要点をまとめる共有元弱情報オーナー & 共有先強ポリシーを主張することでトラストを築く弱強ポリシーの強要 ( ポイント ) 1. 多額の投資や多くの運負荷がかからないReasonableなレベル 2. 以下の規定を参考にして良いとこ取りをする 1 学認運規定 2PCIDSS (Payment Card Industry Data Security Standard) 3FISC (Center for Financial Industry Information Systems) 4SYMANTEC PKI CP/CPS 18

20 6. ID 情報の正当性を保つための要素 ID 体系の定義ポリシーとシステム適切なアクセス制御の維持認証システムアクセス制御システムパスワードポリシー認証ポリシーアクセス制御ポリシー利者の特定引き渡し続きポリシー ID 情報 DB ID 情報 DB RP 事システム事情報 DB ID 管理システム ID 情報マスター DB ID 管理システム ID 情報 DB IdP ID ライフサイクル管理ポリシープロビジョニングポリシー ID 管理システム ID 情報の鮮度維持 19

21 パネルディスカッションテーマ 1. エンタープライズ間で ID 連携をうときの問題点とは具体的なケースとしてアクセス権限を維持するにはエンタープライズ IT における適切な ID の引き渡し 2. トラストポリシーを内部統制モデルとして解説トラストの構成要件とそれにもとづく統制活動とは

22 トラストポリシーを内部統制モデルとして解説したら IDP 人組織 ID 管理業務 ( ライフサイクル管理 ) ID 管理システム ID 管理アプリケーションシステム基盤 ID 情報マスター DB 全社統制組織体制職務分掌全社規程教育業務処理統制権限分割業務処理中での承認リスクに応じた統制業務アプリケーション統制入力チェックアプリケーション機能 IT 全般統制システム基盤運用での統制活動 IT 運用管理業務

23 トラストの構成要件とそれにもとづく統制活動とはトラスト = 望ましい状態 = NOT( 望ましくない状態 ) = NOT( リスクがきい状態 ) どのようなリスクがトラストの何 ( 構成要件 ) を侵すのかまたそれをどう防ぐのか ( 統制活動 ) トラストの構成要件 ( 一部 ) リスク統制活動 ID 有効性 IDが有効なIDであること期限切れIDの利用退職者 IDの利用 ID 本人到達性 ID 利用者認証 ID が表す本人を唯一に特定可能であること ID の利用者が本人であること行為者が分からない例 ) 請求先が不明になる ID の利用時の成りすまし ID のライフサイクル管理 ID 登録発行手順認証方式

<4D F736F F F696E74202D DB293A190E690B C835B83938E9197BF81698CF68A4A A2E >

<4D F736F F F696E74202D DB293A190E690B C835B83938E9197BF81698CF68A4A A2E > 資料 1 トラストフレームワーク利用者の利益を守る / サービス提供者を制御するために学認 / 東京大学学認 / 情報学研究所佐藤周行山地一禎学認のほうからきました (GAKUNIN.JP) 2 EXECUTIVE SUMMARY (1/3) 利用者の利便性を図るためのポータルを提供することがいろいろなレベルで行われています利用者は一つのアイデンティティ (ID) を使って複数のサービスを利用できます