金 沢 大 学 統 合 認 証 基 盤 Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibbol

平 成 26 年 度 第 2 回 学 術 情 報 基 盤 オープンフォーラム@NII 2015/2/3(Tue) 大 学 統 合 認 証 基 盤 における 多 要 素 認 証 について 金 沢 大 学 松 平 拓 也 2015/2/3(Tue) 1

金 沢 大 学 統 合 認 証 基 盤 Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibboleth SP 化 KU SSOの 認 証 方 式 金 沢 大 学 ID パスワード 認 証 のみ 提 供 中 (2015/2 現 在 ) パスワード 認 証 の 強 度 はパスワードの 強 度 に 依 存 そのため パスワードポリシーは 徹 底 文 字 が8 文 字 以 上 大 文 字 小 文 字 数 字 記 号 のいずれかの2 種 類 以 上 が 含 まれること などなど 予 算 執 行 給 与 明 細 などの 重 要 なSPは 学 外 からの 利 用 不 可 (VPN) 2015/2/3(Tue) 2

ID パスワード 認 証 の 今 ID パスワード 認 証 はもう 限 界? 最 近 よく 聞 く 言 葉 Password is Dead 背 景 には ID パスワードに 関 わるセキュリティインシデントの 増 加 IPAによる オンライン 本 人 認 証 方 式 の 実 態 調 査 報 告 書 (2014 年 8 月 ) (http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html) オンライン 認 証 における 認 証 方 式 インシデント 事 例 ユーザアンケート 等 が 記 載 パスワードに 対 する 主 な 攻 撃 主 な 脅 威 総 当 り 攻 撃 (ブルートフォース 攻 撃 ) 逆 総 当 り 攻 撃 (リバースブルートフォース 攻 撃 ) 類 推 攻 撃 辞 書 攻 撃 説 明 全 てのパスワードの 組 み 合 わせを 試 行 する 攻 撃 パスワードを 固 定 し IDを 変 えて 攻 撃 を 試 みる 手 口 利 用 者 の 個 人 情 報 からパスワードを 類 推 パスワードとして 使 われていそうな 文 字 列 を 収 録 した 辞 書 を 用 意 し それらを 試 行 最 近 はパスワードリスト 攻 撃 が 増 加! 平 成 25 年 約 800,000 件 ( 平 成 24 年 114,013 件 ) 2015/2/3(Tue) 3

パスワードリスト 攻 撃 とは? 不 正 取 得 したID パスワードのリストを 流 用 し 連 続 自 動 入 力 プログラム などを 用 いてID パスワードを 入 力 しログインを 試 行 する 手 口 出 典 :http://www.ipa.go.jp/security/txt/2013/08outline.html 覚 えるのが 大 変 だから ID/Passwordは 全 て 同 じにしておこう ユーザA ID:aaa PW:bbb サービスA サービスB サービスC サービスD サービスE 他 のサービスでも 使 えるぞ 悪 意 ある 者 ID:aaa PW:bbb ID/PWの 漏 洩 利 用 者 側 で 強 固 なパスワードを 設 定 し かつパソコン 上 でセキュリティソフトを 利 用 していても 同 一 のパスワードを 使 い 回 している 限 り パスワードリスト 攻 撃 の 被 害 を 防 げない! 2015/2/3(Tue) 4

多 要 素 認 証 の 定 義 運 用 担 当 者 としては 早 く 多 要 素 認 証 に 移 行 したい! 認 証 の 定 義 認 証 利 用 者 が 本 人 であるかどうかを 確 認 する 作 業 確 認 するための 認 証 要 素 ( 認 証 の3 要 素 ) 本 人 しか 知 らない 知 識 (Something You Know) Password PIN 秘 密 の 質 問 など 本 人 しか 持 っていない 所 有 物 (Something You Have) ICカード スマートフォンなど 本 人 の 生 体 的 特 徴 (Something You Are) 指 紋 静 脈 虹 彩 など(バイオメトリクス) 多 要 素 認 証 前 述 の3 種 類 の 要 素 のうち 2 要 素 以 上 を 必 要 とする 認 証 方 式 例 :スマートフォンとPIN( 所 有 物 + 知 識 ) 2015/2/3(Tue) 5

他 大 学 での 多 要 素 認 証 導 入 状 況 1 複 数 の 大 学 に 対 して 統 合 認 証 関 連 のヒアリングを 実 施 (H26 年 度 NII 共 同 研 究 ( 研 究 企 画 会 合 公 募 型 )の 一 環 ) その 中 の 一 つとして 多 要 素 認 証 の 導 入 状 況 を 調 査 1. 佐 賀 大 学 ワンタイムパスワード(タイムベース(30 分 ) 8 文 字 の 英 数 字 ) (LiveSignOn(NTTデータ 九 州 )) 携 帯 電 話 スマートフォンなどのメールアドレスへ 送 付 対 象 : 特 定 のWebサービスに 対 しての 認 証 2. 九 州 大 学 マトリクスコード 認 証 (WisePoint(ファルコンシステムコンサルティング)) 職 員 証 (ICカード)の 裏 にマトリクスコードを 印 刷 対 象 : 特 定 のWebサービスに 対 する 認 証 2015/2/3(Tue) 6

他 大 学 での 多 要 素 認 証 導 入 状 況 2 3. 秋 田 大 学 手 のひら 静 脈 認 証 (PalmSecure( 富 士 通 )) 新 規 採 用 オリエンテーション 時 に 採 取 対 象 : 事 務 用 クライアント 端 末 へのログオン 特 定 のWebサービスに 対 する 認 証 4. 岡 山 大 学 ICカード 認 証 (EVE MA(DDS)) 職 員 証 (ICカード)+PINコードによる 認 証 対 象 : 事 務 用 クライアント 端 末 へのログオン 特 定 のWebサービス( 一 部 クラサバ)に 対 する 認 証 5. 京 都 大 学 ICカード 認 証 職 員 証 (ICカード)+クライアント 証 明 書 +PINコードによる 認 証 対 象 : 特 定 のWebサービスに 対 する 認 証 多 くの 大 学 で 多 要 素 認 証 の 導 入 が 進 んでいる 2015/2/3(Tue) 7

金 沢 大 学 で 導 入 予 定 の 多 要 素 認 証 方 式 2015 年 中 tiqr 認 証 スマートフォン( 所 有 物 ) + PIN( 知 識 ) YubiKey 認 証 検 討 中 YubiKeyデバイス( 所 有 物 ) + ID/パスワード( 知 識 ) クライアント 証 明 書 認 証 ICカード( 所 有 物 ) + クライアント 証 明 書 ( 所 有 物 ) + PIN( 知 識 ) 2015/2/3(Tue) 8

tiqr 認 証 tiqr SURFnetで 開 発 (オープンソースソフトウェア) スマートフォンのアプリとして 実 装 (iphone Androidで 利 用 可 ) スマートフォン( 所 有 物 )とPIN( 知 識 )の 多 要 素 認 証 QRコードを 用 いてユーザのログイン 操 作 を 軽 減 ある 学 内 アンケートでは 新 入 生 の9 割 以 上 がスマホを 所 持 大 多 数 のユーザはtiqr 認 証 でカバー 可 能 2015/2/3(Tue) 9

YubiKey 認 証 YubiKeyとは? Yubico 社 が 開 発 したワンタイムパスワード 生 成 デバイス USBキーボードとして 動 作 (OS ブラウザに 依 存 しない) YubiKeyをタッチするだけ( 動 作 が 簡 単 ) タッチすると ccccccbgjfkivkjtcvujikfbhcrrvgefrhkfrutfndje のようなランダム 文 字 列 が 入 力 SPに アクセス サービス 開 始 タッチするだけ tiqrを 利 用 できないユーザ 向 けの 認 証 方 式 として 提 供 2015/2/3(Tue) 10

ユーザに 対 する 利 便 性 の 問 題 多 要 素 認 証 ( 一 般 的 ) ID パスワード 認 証 より 手 間 がかかる 特 定 の 所 有 物 (tiqrならスマートフォン)がないと 認 証 できない いきなり 全 てのSPに 対 応 するのはユーザに 対 するインパクトが 大 きい ( 多 要 素 認 証 を 導 入 したことでユーザに 不 便 になったと 思 われたくない) GUARDプラグインを 開 発 中 (Gakunin multi Authentication mechanism with Risk based Decision plug in) NIIと 金 大 で 共 同 研 究 中 のShibbolethにおける 認 証 方 式 選 択 プラグイン 2015/2/3(Tue) 11

GUARDプラグインの 特 徴 1. ユーザのIPアドレスに 応 じて 要 求 する 認 証 方 式 を 変 更 可 能 例 学 内 IP:ID パスワード 認 証 学 外 IP:tiqr 認 証 (リスクベース 認 証 ) 2. 複 数 の 認 証 方 式 を 選 択 可 能 (and/or 条 件 ) ユーザが 複 数 の 多 要 素 認 証 から 選 択 可 能 (or 条 件 ) 全 員 が 同 じ 所 有 物 を 持 たなくてもトータルのカバー 率 を 向 上 同 強 度 の 認 証 方 式 を 選 択 肢 に 用 意 することで セキュリティレベルは 維 持 例 : tiqr or YubiKey(tiqrがだめでもYubiKeyができればOK) 非 常 に 重 要 な 情 報 を 扱 うSPは 強 固 に 設 定 可 能 (and 条 件 ) 例 : tiqr and YubiKey 認 証 ( 両 方 成 功 しないとNG) 3. 認 証 方 式 をレベルとして 抽 象 化 ( 大 学 の 環 境 に 応 じて 設 定 変 更 可 能 ) Level1: ID パスワード(どのIPからも) Level2: ID パスワード ( 学 内 IPから) tiqr or YubiKey( 学 外 IPから) Level3: tiqr and YubiKey(どのIPからも) 重 要 度 に 応 じてSP 群 をレベル 分 けしておけば あるレベルの 認 証 方 式 に 追 加 変 更 があっ ても そのレベルのSPだけに 直 ちに 適 用 できる(LoAとのすり 合 わせは 検 討 中 ) 2015/2/3(Tue) 12

KU SSO 更 新 概 念 図 (2015 年 予 定 ) (tiqr+yubikey+guardプラグイン) ホワイトリスト( 例 : 学 内 ネットワーク) ユーザのIPをチェック 上 位 レベルで 認 証 に 成 功 した 場 合 同 位 下 位 レベルはSSO 学 内 ネットワーク からアクセス or ID/PW IdP Level1 Level2 Level3 SP1 SP2 SP3 Level1: ID パスワード(どのIPからも) Level2: ID パスワード( 学 内 IP) tiqr or Yubikey ( 学 外 IP) Level3: tiqr or Yubikey(どのIPからも) 学 外 からアクセス tiqr+yubikey+guardプラグインの 利 用 により 導 入 コストをおさえながらも 利 用 者 の 利 便 性 を 確 保 できる 多 要 素 認 証 環 境 を 実 現 2015/2/3(Tue) 13

クライアント 証 明 書 による 認 証 クライアント 証 明 書 とは? 個 人 (クライアント)に 対 して 発 行 される 電 子 的 な 身 分 証 明 書 公 開 鍵 暗 号 方 式 を 利 用 しており 証 明 書 の 偽 造 は 非 常 に 困 難 第 三 者 ( 認 証 局 (CA))が 証 明 書 を 発 行 し 証 明 書 の 正 当 性 を 保 証 なりすまし 不 正 アクセスに 対 して 非 常 に 有 効 発 行 形 態 プライベート 認 証 局 (Private CA) 個 人 や 大 学 ( 組 織 )が 独 自 にCAを 構 築 して 発 行 発 行 した 組 織 ( 個 人 )の 限 られた 環 境 で 有 効 パブリック 認 証 局 (Public CA) ベリサインやグローバルサインなどの 企 業 が 運 用 するCAが 発 行 発 行 元 を 信 頼 している 多 くの 環 境 で 有 効 2015/2/3(Tue) 14

クライアント 証 明 書 の 配 布 利 用 方 法 クライアント 証 明 書 のユーザへの 配 布 方 法 デバイスへ 格 納 格 納 するデバイスは 本 人 が 既 に 所 持 している(かつ 本 人 を 特 定 できる)もの 金 大 ICカード( 職 員 証 学 生 証 )の 利 用 入 退 館 出 席 管 理 生 協 マネー 証 明 書 発 行 図 書 貸 し 出 しなど 大 学 での 活 動 に 必 要 不 可 欠 なため ほとんどの 構 成 員 が 常 に 携 帯 している (もちろん 身 分 証 として 携 帯 は 義 務 ) 身 分 証 を 簡 単 に 貸 したり 紛 失 したりすることはない 金 沢 大 学 のICカードはFelica Felicaでクライアント 証 明 書 による 認 証 を 行 うためのよい 方 法 はないか? UPKIパス(JCANパス) 方 式 の 利 用 2015/2/3(Tue) 15

UPKIパス(JCANパス) JCANパス 方 式 とは? 証 明 書 をサーバに 格 納 させておき ICカードをリーダにかざした 際 にクライアン トPC 上 の 証 明 書 ストアにインストールする 方 式 JCANパスをNIIが 監 修 して 強 化 UPKIパス UPKIパス 方 式 のメリット Felicaで 利 用 可 能 (FCFフォーマットVer.3が 必 要 ) 証 明 書 の 更 新 における 作 業 がサーバ 側 のみ ICカードに 格 納 しておく 場 合 一 度 ICカードを 回 収 する 必 要 があるが UPKIパス 方 式 ではサーバ 側 の 証 明 書 を 更 新 するだけでICカード 側 は 変 更 する 必 要 なし ICカードを 紛 失 しても 証 明 書 をサーバから 削 除 すればよい ICカードをかざした 時 だけ 証 明 書 がストアされる 共 有 PCでもクライアント 証 明 書 が 利 用 可 能 詳 細 は 次 の 発 表 で! 2015/2/3(Tue) 16

まとめと 課 題 まとめ 課 題 ID パスワード 認 証 は 危 険 多 要 素 認 証 への 移 行 が 必 須 多 くの 大 学 で 多 要 素 認 証 の 導 入 が 進 んでいる 金 沢 大 学 ではtiqr 認 証 YubiKey 認 証 UPKIパス(JCANパス)を 利 用 し たクライアント 証 明 書 認 証 を 導 入 予 定 GUARDプラグインを 利 用 し 重 要 SPから 順 次 多 要 素 認 証 を 導 入 タブレット 端 末 (スマートフォン 含 む)の 対 応 クライアント 証 明 書 が 解 決 のキーになるかも? 2015/2/3(Tue) 17