自己紹介 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 2

アジェンダ組織 IT 部門への要求事項と対応コミュニケーションの BYOC~BYOID へ BYOID を組織において実現するためには IDライフサイクル管理 ID 保証レベル (IAL) 認証保証レベル (AAL) Azure AD B2Cで実装した例コミュニケーションのBYOCは可能か? まとめ Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 3

組織 IT 部門の対応働き方改革 (Any where, Any time, Any device) リモートアクセス使い慣れたデバイスコミュニケーション基盤 VPN の整備 BYOD の許可と MDM メール +α 現場 (LoB) 中心の業務改革 ( スピード利便性 > 管理 ) 現場でのクラウド導入使い慣れたツール BYOC の許可と IDaaS や CASB Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 5

大前提となるのがコミュニケーション強化メールシステムの課題と限界増え続ける添付ファイルグループウェアで解消? リアルタイム性の欠如ビジネスチャットで解消? そもそも見なくなるここでもBYOC 野良 LINE Slackなど結局ツールが増えるだけコミュニケーションツールのBYOC に伴う BYOID (Bring Your Own Identity) について向き合うべき時代の到来 MDMやCASB で対応し続ける? Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 7

BYOID への対応 CIAM のテクノロジーを使って実現 CIAM=Customer Identity and Access Management CIAM の主要な機能コンシューマ ID(SNS など ) を使った ID 登録ログイン認証強化 ( 多要素認証リスクベース認証 ) 顧客 DB との紐づけ管理アプリケーションや API の保護主なプレイヤー Gigya(SAP) Janrain PingIdentity Microsoft など Source: Kuppingercole

組織における課題組織における ID 管理の要件 ID ライフサイクル管理 ID の作成 ~ 破棄が組織側によって管理されること ID 保証が組織のポリシーに則って実行されること認証組織のポリシーに則って認証されること認可 ( アクセス制御 ) ID ライフサイクルに連動してコントロールされること BYOID を実現する上で必要なこと組織で ID 作成 ~ 破棄ができること組織の要求するレベルの ID 認証保証がされること Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 10

そのために必要なこと組織でID 作成 ~ 破棄の管理ができること顧客 DBとの紐づけ機能を応用し組織内のID 管理システムとコンシューマIDを紐づけることで対応組織の要求するレベルでID 認証保証がされること ID 保証 ( 入社契約時の身元確認 ) 結局はオーソリティによる第三者保証住民票元請け会社マイナンバーや運転免許証を使い対面取得したキャリアIDなどの利用認証レベルそもそもパスワード認証よりは強固普段から頻繁に使っている=ID 盗難の可能性は低い ( 気が付ける ) Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 11

Azure AD B2C での実装例

ID ライフサイクル管理に関する要求に対する対応 1QR コード等で LINE@ を友達登録 2 友達登録をするとトークルームを利用可能に管理者が払い出した既存の ID/PWD でログオン Graph API による ID 管理が可能 LINE アプリ 3LINE ID 紐づけをしないと従来のメールアドレス / パスワードでログイン 5LINE ID 紐づけを実施後はシングルサインオン 4LINE ID 紐付けを実施自身で紐付けた SNS ID でログイン Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 15

コミュニケーションの改善 (LINE の例 ) LINE トークルームのメニューより各種機能を呼び出すことが可能メールを見るポータル組織 ID と LINE アカウントを紐づける重要度の高いメールを LINE へも通知する重要なメールが届くとタイムラインに通知される SNS はあくまで入り口個々のやり取りを SNS 上で行う訳ではない Office365 へのアクセス (Exchange Online SharePoint Online) LINE ID を紐づけ SSO するための設定 Office365 へ重要なメールが届いた場合 LINE へ通知する設定 Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 18

コミュニケーションの BYOC は可能か? 利用者の視点普段使っているツール (SNS) を利用ストレスのないコミュニケーションの実現 (SNS による BYOC) 管理者の視点 ID の管理は組織側で実施できる (ID 紐づけ ) SNS は入り口なので勝手に SNS 上でやり取りをされるわけではないただし利用にあたっては啓蒙活動が必要利用者 :SNSの持ち込みの気持ち悪さの解消管理者 : 組織外の個人情報の管理 Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 19

実際どこまで持ち込んでいるか? SNS 提供者にもよるがコンテキストが混ざることを一番気にしているのは SNS 提供者 ( 歴史が違う ) 例 ) LINE(LINE@) 接続する LINE@( 組織 ) ごとにユニークな個人識別子を払い出し組織側からは利用者のいわゆる LINE ID( 個人同士で使う ID) はわからない Facebook(Facebook Page) ページ単位クライアントアプリケーション (Oauth クライアント ) の単位でユニークな個人識別子を払い出しているつまり組織側に連携される識別子が仮に漏洩したとしても使いようがない状態にはなっている Copyright (c) 2000-2018 NPO 日本ネットワークセキュリティ協会 Page 20