NII オープンフォーラム 2016 IDaaS の概要とご利用いただくための取り組み ( 苦労話 ) 2016 年 5 月 27 日 エクスジェン ネットワークス ( 株 ) 代表取締役江川淳一 Copyright 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
本日の内容 1. Identity の捉え方 (eic2016 より ) 2. クラウドの普及とフェデレーション 3. IDaaS 概要 4. Extic(Exgen Trusted Identity Center) 5. IDaaS をご利用いただくために ( 参考 ) エンタープライズ市場におけるステルス IDaaS 戦略 1
1. Identity の捉え方 (eic2016 より ) THE MOMENTS AHEAD FOR IDENTITY 2
1. Identity の捉え方 (eic2016 より ) THE MOMENTS AHEAD FOR IDENTITY 1Identity 業界は今 TCP/IP Moment を迎えている ~ ネットワーク業界で TCP/IP そのものに代金を支払わなくなった瞬間 CIS2013 で Andre Durand のキーノートでの発表 3
1. Identity の捉え方 (eic2016 より ) THE MOMENTS AHEAD FOR IDENTITY 1Identity 業界は今 TCP/IP Moment を迎えている ~ ネットワーク業界で TCP/IP そのものに代金を支払わなくなった瞬間 # 滑ッ # 滑ッ # 滑ッ # 滑ッ CIS2013 報告会での私の発表 4
1. Identity の捉え方 (eic2016 より ) THE MOMENTS AHEAD FOR IDENTITY 1Identity 業界は今 TCP/IP Moment を迎えている ~ ネットワーク業界で TCP/IP そのものに代金を支払わなくなった瞬間 2 具体的にどういう瞬間なのか (1) Standards-based identity Identity に関する技術は標準化ベースになる ~SAML OpenID Connect OAuth SCIM (2) Outcomes-based identity Identity に関するビジネスでは 本当の成果を求められる ~ID を管理すること 認証基盤を構築することで何が実現されるか? 1. リスク低減 (mitigate risk ) 2. ビジネスに直接貢献する事 (increase customer delight) (3) Professionalized identity Identity の専門化という職業が成り立つ ~ 今までは セキュリティやプライバシーの専門家はいたが Identity の専門家はいなかった ~ セキュリティやプライバシーを考えるにも Identity から考える 5
2. クラウドの普及とフェデレーション 2.1 クラウドの普及と新たなセキュリティ対策の必要性 昔 学内システム 減 機密情報 クラウドサービス 増 最近 学内システム 機密情報 クラウドサービス クラウドが普及し始めた頃は それほど機密性の高くない情報を扱うシステムのみクラウドサービスに移行するケースが多かった 最近はミッションクリティカルな業務のクラウドサービス利用が進む 機密情報をクラウド事業者に預けざるを得ない ( クラウド時代のセキュリティ対策のポイント ) セキュリティポリシーのコントロールを残す 〇 を大学内に残す 認証基盤を整備しフェデレーション技術を活用 6
2. クラウドの普及とフェデレーション 2.2 アカデミック IT でのフェデレーション応用 大学 クラウドサービス IdP 2 3 4 1 5 SP 1 2 3 4 5 アクセス試行 クラウドサービスへのアクセス 認証要求 クラウドサービス事業者から利用企業への認証処理の委譲 認証処理 エンドユーザによる認証処理 IDトークン返却 クラウドサービスへの認証結果の連携 クラウドサービス利用 エンドユーザによるクラウドサービス利用 7
2. クラウドの普及とフェデレーション 2.2 アカデミック IT でのフェデレーション応用 ローカル認証方式 大学内 クラウドサービス フェデレーションによる認証情報連携 大学内 ( 全部 ) 大学内 ( 一部 ) IdP フェデレーション クラウドサービス 〇 を大学内に残す の一部はクラウドサービスに渡し セキュリティポリシーの及ぶ範囲内にの一部を残す SP 有償クラウドの普及でサービス利用契約に応じた ID の事前配布やアクティベーションが必要な場合 スケジュール共有システムのように 自体がアプリケーションのコンテンツとなっている場合 クラウドサービス IdP フェデレーション SP ( 一部 ) 8
2. クラウドの普及とフェデレーション 2.3 の事前配布 個人 UI IdP UI SP 大学 源泉 DB の存在 ID ライフサイクル管理への対応 学生 : 入学 / 進級 / 卒業 教職員 : 定期的な人事異動 運用管理手順書 教職員 / 学生 教職員 / 学生管理システム 必須 ID 管理システム マスター IT 部門管理による運用管理手順書に従ったメンテナンス AD IdP API API SP 学内の既存システム ID との ID 統合運用管理が必要 SP 9
2. クラウドの普及とフェデレーション 2.3 の事前配布 大学 クラウドサービス ID 管理システム 0 1 2 3 4 5 ( 全部の情報 ) 0 API IdP 2 3 4 アクセス試行 クラウドサービスへのアクセス 1 5 プロビジョニング アイデンティティ ( ユーザ ) 情報の事前登録 認証要求 クラウドサービス事業者から利用企業への認証処理の委譲 認証処理 エンドユーザによる認証処理 ID トークン返却 クラウドサービスへの認証結果の連携 クラウドサービス利用 エンドユーザによるクラウドサービス利用 SP ( 一部の情報 ) 10
2. クラウドの普及とフェデレーション 2.4 ID 管理システム & IdP 構築を検討する大学に事情 ID 管理システム ( 全部の情報 ) 大学 IdP 大学 IT 部門 わかっちゃいるが IT 部門の人数が少なく ID 管理システム IdP の構築 運用が大変なんだよね クラウドサービス利用 IDaaS Shibboleth IdP + 厳格な ID 運用管理基盤 11
3. IDaaS 概要 3.1 IDaaS の主要機能 IDaaS とは Identity as a Service ID 管理機能とフェデレーションをベースとしたシングル サインオン機能をクラウドサービスとして提供する ( 下図 1~4 が主要機能 ) インフラ & サービス監視は IDaaS の構成要素として重要 ( 次ページ IDaaS 選定のポイント 参照 ) 5 パスワードレス認証 エンドユーザ 源泉 DB ワークフロー 1 シングル サインオン サービス ( 多要素認証 & フェデレーション ) ID ライフサイクル管理 2ID 管理サービス マスター DB 3 インフラ提供 4 インフラ & サービス監視 プロビジョニング IaaS PaaS SaaS プライベートクラウド オンプレミス 12
3. IDaaS 概要 3.2 IDaaS 選定のポイント 大学内 IDaaS IaaS/PaaS/SaaS マスター DB フェデレーション マスター DB ( 全部の情報 ) フェデレーション ( 一部の情報 ) セキュリティ境界 セキュリティ境界 ( セキュリティポリシーコントロールの効く範囲 ) IDaaS では大学の ID& パスワードを含む を預かります 大学が IDaaS を選択する場合 そのセキュリティレベルが重要なポイントとなります 大学内と同等もしくはそれ以上のセキュリティレベルが維持できることの説明が必要です 13
4. Extic(Exgen Trusted Identity Center) 4.1 概要図 シングルサインオン IdP 機能 ( 注 1) SAML /Shibboleth ID 管理機能 プロビジョニング Google 認証用 LDAP マスタ DB Office365 認証 & ID 管理ポータル シングルサインオン メンテナンス GUI CSV AD 大学内 CSV AD PW Hook 利用者 管理者 Active Directory LDAP UNIX コマンド ( 注 1)2016 年 7 月リリース予定 14
4. Extic(Exgen Trusted Identity Center) 4.2 Extic のセキュリティ 大学内 IDaaS IaaS/PaaS/SaaS マスター DB フェデレーション マスター DB ( 全部の情報 ) フェデレーション ( 一部の情報 ) セキュリティ境界 セキュリティ境界 ( セキュリティポリシーコントロールの効く範囲 ) IDaaS では大学の ID& パスワードを含む を預かります 大学が IDaaS を選択する場合 そのセキュリティレベルが重要なポイントとなります 大学内と同等もしくはそれ以上のセキュリティレベルが維持できることの説明が必要です 1 ソフト 2 サービス 3 監視業務の運用 4 障害対応時の開発元の運用 DeepSecurity 24/365 監視 PCIDSS 準拠 ISMS 取得予定 15
4. Extic(Exgen Trusted Identity Center) 4.3 導入事例 お客様概要 お客様名 : 文教大学 ユーザー数 : 約 10,000 ユーザー ご要求事項 ID 管理に関わるサーバーや拡張時のメンテナンスコストを抑えたい ID 管理の対象外となっている Office 365 も統合管理したい LDAP Manager で実現している運用をできるだけ引き継ぎたい 導入効果 Extic 採用による ID 管理関連サーバーのメンテナンスコストを削減できました Office 365 x 2 ドメインも ID 統合管理対象システムとすることにより 学内の ID を統合管理することができました これまでに培ってきた LDAP Manager のノウハウが反映されている Extic であるため LDAP Manager で行っている運用をあまり変えることなく 移行が実現できました 16
4. Extic(Exgen Trusted Identity Center) 4.3 導入事例 お客様概要 機能構成 Extic ライセンス数 : 5,001 ~ 10,000 ユーザーライセンス 連携システム Office 365 x 2 ドメイン Google Apps x 3 ドメイン オンプレミス連携» Active Directory x 3 ドメイン» OpenLDAP x 1» AD パスワードフック» パスワード通知書印刷機能 17
4. Extic(Exgen Trusted Identity Center) 4.3 導入事例 サービス概要図 プロビジョニング 定期的に更新情報を取得 PW 変更 ユーザーのメンテナンス (Web GUI,CSV) PW 情報を更新 プロビジョニング プロビジョニング AD PW Hook 集約プロビジョニングエージェントエージェント Windows OpenLDAP (Linux) 利用者 管理者 CSV AD PW AD PW AD PW Hook Hook Hook 事務局 Active Directory A キャンパス Active Directory B キャンパス Active Directory 18
5. IDaaS をご利用いただくために 5.1 アカデミック IT 環境における SaaS 普及の取り組み 大学広島大クラウド利用ガイドライン クラウドサービス利用時の注意事項や実施内容の明確化 IaaS/PaaS/SaaS NII 学認クラウドチェックリスト クラウドサービス事業者の可視化 19
5. IDaaS をご利用いただくために 5.2 SaaS 利用を検討する大学の事情 ある大学が IDaaS 利用を検討したとき 広島大が作成したクラウドサービス利用ガイドラインの以下の項目をどう適用するかが課題に 1 要件独立性の高さ預ける情報のリスクを判定し マルチテナント型サービスの利用可否を判定する 2 要件通信経路の安全性預ける情報のリスクを判定し インターネットを介してクラウドへアクセスすることの可否を判定する 預ける情報 =は重要度 II か III か 判断するのが難しい そもそも を SaaS に預けるにはセキュリティポリシーの変更が必要 NG OK IDaaS 利用 = 他校で前例ない Office365 等のメガ SaaS= 他校で前例あるパッケージソフト on AWS(SINET 直結 )= セキュリティポリシー OK 20
5. IDaaS をご利用いただくために 5.3 US における SaaS 普及の取り組み Internet2 NET+ 21
5. IDaaS をご利用いただくために 5.4 IDaaS 普及には もう一押し が必要 大学 広島大クラウド利用ガイドライン IaaS/PaaS/SaaS NII 学認クラウドチェックリスト クラウドサービス利用時の注意事項や実施内容の明確化 クラウドサービス事業者の可視化 具体例がないのでポジティブな解釈が行えない 目利き役ではないので公開資料をもとに利用可能 SaaS を自分たちで判断する必要があるが 判例が少ない もう一押し が必要 22
5. IDaaS をご利用いただくために 5.5 AXIES 認証部会での試み ( 正規の ) 口コミ確立 大学 広島大クラウド利用ガイドライン Identity Eco System 作りを先行する IaaS/PaaS/SaaS NII 学認クラウドチェックリスト Identity 目線で具体的な製品やサービスを当てはめて解釈する 部会に参加しているメーカーの製品やクラウド事業者のサービスを検証できるように整備する この一例が IDaaS 評価環境提供のベースになる 部会に参加している大学に評価してもらい 評価結果を公表する SaaS 利用可能なセキュリティポリシーのサンプル文を作成する 23
( 参考 ) エンタープライズ市場におけるステルス IDaaS 戦略 OPTiM Store(2016 年 3 月 9 日発表 ) 1 様々な SaaS の品定め 2 様々な SaaS のセキュアな環境の提供 3 様々な SaaS の効率的利用環境の提供 * ハイブリッドクラウド (SaaS プライベートクラウド オンプレを組み合わせた ) 利用をお客様がそれぞれの要件に合わせて行うのではなく あらかじめクラウド事業者がトータルソリューションとして提供する 24
( 参考 ) エンタープライズ市場におけるステルス IDaaS 戦略 CASB Cloud Access Security Broker クラウドサービスと企業ユーザの間に位置し クラウドへのアクセスのセキュリティを確保する様々な機能を有するソフトまたはサービス 暗号化 監査 データ漏えい防止 アクセス制御 不正なふるまい検知 ガートナーの予想では今年の市場規模が $100M 2018 年には $400M に達する 既に 10 社を超える CASB ベンダーが存在している 25