ID 認 証 連 携 とデータ 連 携 による 地 域 ICTイノベーション ワークショップ@ 金 沢 2015/6/10(Wed) 安 全 で 使 いやすい 認 証 とセキュリティ 金 沢 大 学 松 平 拓 也 2015/6/10(Wed) 1
国 立 大 学 法 人 金 沢 大 学 構 成 員 学 生 ( 院 生 含 む) 約 10,300 名 教 職 員 ( 非 常 勤 含 む) 約 3,800 名 2015/6/10(Wed) 2
金 沢 大 学 統 合 認 証 基 盤 (KU SSO) Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibboleth SP 化 KU SSOの 認 証 方 式 予 算 執 行 支 援 給 与 明 細 教 務 システム 教 員 DB 等 機 微 な 情 報 を 取 り 扱 うシステムも 多 い 金 沢 大 学 ID パスワードによる 認 証 パスワード 認 証 の 強 度 はパスワードの 強 度 に 依 存 そのため パスワードポリシーは 徹 底 文 字 が8 文 字 以 上 大 文 字 小 文 字 数 字 記 号 のいずれかの2 種 類 以 上 が 含 ま れること などなど 2015/6/10(Wed) 3
ID パスワード 認 証 の 今 ID パスワード 認 証 はもう 限 界? 最 近 よく 聞 く 言 葉 Password is Dead 背 景 には ID パスワードに 関 わるセキュリティインシデントの 増 加 IPAによる オンライン 本 人 認 証 方 式 の 実 態 調 査 報 告 書 (2014 年 8 月 ) (http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html) オンライン 認 証 における 認 証 方 式 インシデント 事 例 ユーザアンケート 等 が 記 載 パスワードに 対 する 主 な 攻 撃 主 な 脅 威 総 当 り 攻 撃 (ブルートフォース 攻 撃 ) 逆 総 当 り 攻 撃 (リバースブルートフォース 攻 撃 ) 類 推 攻 撃 辞 書 攻 撃 説 明 全 てのパスワードの 組 み 合 わせを 試 行 する 攻 撃 パスワードを 固 定 し IDを 変 えて 攻 撃 を 試 みる 手 口 利 用 者 の 個 人 情 報 からパスワードを 類 推 パスワードとして 使 われていそうな 文 字 列 を 収 録 した 辞 書 を 用 意 し それらを 試 行 最 近 はパスワードリスト 攻 撃 が 増 加! 平 成 25 年 約 800,000 件 ( 平 成 24 年 114,013 件 ) 2015/6/10(Wed) 4
パスワードリスト 攻 撃 とは? 不 正 取 得 したID パスワードのリストを 流 用 し 連 続 自 動 入 力 プログラム などを 用 いてID パスワードを 入 力 しログインを 試 行 する 手 口 出 典 :http://www.ipa.go.jp/security/txt/2013/08outline.html 覚 えるのが 大 変 だから ID パスワードは 全 て 同 じにしておこう ユーザA ID:aaa パスワード:bbb サービスA サービスB サービスC サービスD サービスE 他 のサービスでも 使 えるぞ 悪 意 ある 者 ID:aaa PW:bbb ID/PWの 漏 洩 利 用 者 側 で 強 固 なパスワードを 設 定 し かつパソコン 上 でセキュリティソフトを 利 用 していても 同 一 のパスワードを 使 い 回 している 限 り パスワードリスト 攻 撃 の 被 害 を 防 げない! 2015/6/10(Wed) 5
KU SSOの 多 要 素 認 証 への 移 行 ユーザが 金 大 ID/パスワードをKU SSO 以 外 のサービスに 登 録 し そのサー ビスからID/パスワードが 流 出 した 場 合 KU SSOがパスワードリスト 攻 撃 の 対 象 となった 場 合 に 突 破 されてしまう もはやKU-SSOをID/パスワード 認 証 だけで 守 ることはできない! 多 要 素 認 証 への 移 行 が 必 須! 2015/6/10(Wed) 6
KU SSO 利 用 実 態 アンケート 金 大 ユーザのKU SSO 利 用 環 境 調 査 およびセキュリティ 意 識 調 査 期 間 2014/7/31 2014/8/25 対 象 者 ( 教 職 員 学 生 ) 合 計 1186 名 が 回 答 4.その 他 51(4%) 1. 教 員 173(15%) 4. 少 し 苦 手 20% 5. 大 変 苦 手 9% 1. 大 変 得 意 6% 2. 少 し 得 意 17% 3. 学 生 507(43%) 回 答 者 の 構 成 2. 職 員 455(38%) 3. 普 通 48% 自 己 申 告 パソコンスキル 2015/6/10(Wed) 7
KU SSO 利 用 実 態 アンケート 現 在 KU SSOでは 金 沢 大 学 IDとパス ワードにより 認 証 を 行 っています 学 内 からアクセスする 際 のセキュリティに 対 する 安 心 感 ( 不 安 感 )についてお 聞 きし ます 5 段 階 であらわすとしたら? 現 在 KU SSOでは 金 沢 大 学 IDとパス ワードにより 認 証 を 行 っています 学 外 からアクセスする 際 のセキュリティに 対 する 安 心 感 ( 不 安 感 )についてお 聞 きし ます 5 段 階 であらわすとしたら? 5. 大 変 不 安 4. 少 し 不 安 1% 6% 1. 大 変 安 心 11% 2. 少 し 安 心 21% 5. 大 変 不 安 4. 少 し 不 安 2% 11% 1. 大 変 安 心 8% 2. 少 し 安 心 19% 3. ふつう 61% 3. ふつう 60% 学 内 学 外 かかわらず 9 割 程 度 がID/PW 認 証 に 関 して 特 に 問 題 視 していない 運 用 者 と 利 用 者 間 の 温 度 差 が 大 きい! 2015/6/10(Wed) 8
多 要 素 認 証 とは? 認 証 の 定 義 認 証 利 用 者 が 本 人 であるかどうかを 確 認 する 作 業 確 認 するための 認 証 要 素 ( 認 証 の3 要 素 ) 本 人 しか 知 らない 知 識 (Something You Know) Password PIN 秘 密 の 質 問 など 本 人 しか 持 っていない 所 有 物 (Something You Have) ICカード スマートフォンなど 本 人 の 生 体 的 特 徴 (Something You Are) 指 紋 静 脈 虹 彩 など(バイオメトリクス) 多 要 素 認 証 前 述 の3 種 類 の 要 素 のうち 2 要 素 以 上 を 必 要 とする 認 証 方 式 例 :スマートフォンとPIN( 所 有 物 + 知 識 ) 2015/6/10(Wed) 9
多 要 素 認 証 導 入 における 課 題 多 要 素 認 証 ( 一 般 的 ) 特 定 の 所 有 物 (スマートフォン ICカードなど)がないと 認 証 できない 大 学 には 様 々な 身 分 の 構 成 員 がおり 全 員 に 同 一 の 所 有 物 を 所 持 させ ることは 困 難 大 学 で 多 要 素 認 証 を 普 及 させるには 如 何 にして 使 えないユーザを 作 らないかが 重 要 ID パスワード 認 証 より 手 間 がかかる 全 てのサービスで 多 要 素 認 証 を 要 求 するのはユーザに 対 する 負 担 が 大 きい 2015/6/10(Wed) 10
金 沢 大 学 における 多 要 素 認 証 導 入 方 針 1. 複 数 の 多 要 素 認 証 方 式 を 選 択 できるようにする 全 員 に 同 じ 多 要 素 認 証 方 式 を 指 定 するのではなく 複 数 の 多 要 素 認 証 方 式 を 用 意 し ユーザが 選 択 できるようにする トータルで 全 構 成 員 が 多 要 素 認 証 を 扱 える 環 境 を 整 備 する 2. サービスの 重 要 度 に 応 じて 認 証 レベルを 変 更 できるようにする 従 来 の 認 証 レベルで 十 分 なサービスはID パスワード 認 証 で 対 応 高 いレベルを 要 求 するサービスにおいては ユーザの 利 用 環 境 に 応 じて 多 要 素 認 証 を 要 求 サービスの 重 要 度 に 応 じて 多 要 素 認 証 を 要 求 することで ユーザの 利 便 性 を 維 持 する 2015/6/10(Wed) 11
金 沢 大 学 で 導 入 予 定 の 多 要 素 認 証 方 式 2015 年 中 tiqr 認 証 スマートフォン( 所 有 物 ) + PIN( 知 識 ) YubiKey 認 証 検 討 中 YubiKeyデバイス( 所 有 物 ) + 金 大 ID/パスワード( 知 識 ) ICカードを 用 いたクライアント 証 明 書 認 証 ICカード/クライアント 証 明 書 ( 所 有 物 ) + PIN( 知 識 ) 2015/6/10(Wed) 12
tiqr 認 証 tiqrとは? SURFnetで 開 発 (オープンソースソフトウェア) スマートフォンのアプリとして 実 装 (iphone Androidで 利 用 可 ) スマートフォン( 所 有 物 )とPIN( 知 識 )の 多 要 素 認 証 QRコードを 用 いてユーザのログイン 操 作 を 軽 減 2015/6/10(Wed) 13
YubiKey 認 証 YubiKeyとは? Yubico 社 が 開 発 したワンタイムパスワード 生 成 デバイス YubiKeyデバイス( 所 有 物 )と 金 大 ID/パスワード( 知 識 )の 多 要 素 認 証 USBキーボードとして 動 作 (OS ブラウザに 依 存 しない) YubiKeyをタッチするだけ( 動 作 が 簡 単 ) タッチすると ccccccbgjfkivkjtcvujikfbhcrrvgefrhkfrutfndje のようなランダム 文 字 列 が 入 力 サービスに アクセス サービス 開 始 タッチするだけ 2015/6/10(Wed) 14
ICカードを 用 いたクライアント 証 明 書 認 証 4クライアント 証 明 書 をOS 標 準 の 証 明 書 ストアに 格 納 プログラム 証 明 書 ローダー 2ユーザの 証 明 書 をサーバに 問 い 合 わせ SP 5SPにアクセス 6クライアント 証 明 書 認 証 ユーザ 1カードリーダにICカードをセットし PINの 入 力 3 ユーザのクライアント 証 明 書 を 送 付 証 明 書 ストアサーバ IdP ユーザはICカードをかざして PINを 入 力 するだけ! 2015/6/10(Wed) 15
各 認 証 方 式 のターゲット tiqr 認 証 学 生 ( 主 ) 教 職 員 ある 学 内 アンケートでは 新 入 生 の9 割 以 上 がスマホを 所 持 ノートPC YubiKey 認 証 スマホ ICカードを 持 っていないユーザ 出 張 先 でKU SSOを( 頻 繁 に) 利 用 するユーザ tiqr 認 証 とICカード 認 証 を 補 う 役 割 ICカード 認 証 教 職 員 ( 主 ) 学 生 デスクトップPC KU SSOを 利 用 する 全 てのユーザが 多 要 素 認 証 できる 環 境 を 構 築 2015/6/10(Wed) 16
GUARDプラグイン GUARDプラグインとは? (Gakunin multi Authentication mechanism with Risk based Decision plug in) NIIとの 共 同 研 究 で 開 発 したShibbolethにおける 認 証 方 式 選 択 プラグイン 特 徴 1. ユーザのIPアドレスに 応 じて 要 求 する 認 証 方 式 を 変 更 可 能 例 学 内 IP:ID パスワード 認 証 学 外 IP:tiqr 認 証 (リスクベース 認 証 ) 2. 複 数 の 認 証 方 式 を 選 択 可 能 (or/and 条 件 ) (or 条 件 ) 複 数 の 認 証 方 式 から 選 択 できるようにすることで トータルのカバー 率 を 向 上 例 : tiqr or YubiKey(tiqrがだめでもYubiKeyができればOK) (and 条 件 ) 非 常 に 重 要 な 情 報 を 扱 うSPは 複 数 の 認 証 方 式 を 必 須 にできる 例 : tiqr and YubiKey( 両 方 成 功 しないとNG) 3. 認 証 方 式 をレベルとして 抽 象 化 ( 大 学 の 環 境 に 応 じて 設 定 変 更 可 能 ) 設 定 例 Level1: ID パスワード( 全 てのIP) Level2: ID パスワード ( 学 内 IP) tiqr or YubiKey( 学 外 IP) Level3: tiqr and YubiKey( 全 てのIP) 2015/6/10(Wed) 17
GUARDプラグイン 適 用 例 ホワイトリスト( 例 : 学 内 ネットワーク) and ユーザのIPをチェック 上 位 レベルで 認 証 に 成 功 した 場 合 同 位 下 位 レベルはSSO 学 内 ネットワーク からアクセス or ID/PW IdP Level1 SP1 Level2 SP2 Level3 SP3 レベル 設 定 例 Level1: ID パスワード( 全 てのIP) Level2: ID パスワード( 学 内 IP) tiqr or YubiKey ( 学 外 IP) Level3: tiqr and YubiKey( 全 てのIP) 学 外 からアクセス GUARDプラグインの 利 用 により セキュリティを 向 上 させつつ 利 用 者 の 利 便 性 も 確 保 できる 多 要 素 認 証 環 境 を 実 現! 2015/6/10(Wed) 18
Level1を 要 求 するSPにアクセスした 場 合 Level1 ID パスワード 認 証 ( 学 内 学 外 ) ID パスワード 認 証 学 内 学 外 サービス 開 始 これまでと 同 様 の 認 証 2015/6/10(Wed) 19
Level2を 要 求 するSPにアクセスした 場 合 Level2 ID パスワード 認 証 ( 学 内 ) tiqr 認 証 or YubiKey 認 証 ( 学 外 ) 学 外 学 内 ID パスワード 認 証 tiqrを 選 択 tiqr 認 証 サービス 開 始 YubiKeyを 選 択 YubiKey 認 証 2015/6/10(Wed) 20
Level3を 要 求 するSPにアクセスした 場 合 Level3 tiqr 認 証 and YubiKey 認 証 ( 学 内 学 外 ) サービス 開 始 学 内 学 外 tiqr 認 証 YubiKey 認 証 2015/6/10(Wed) 21
まとめと 今 後 の 課 題 まとめ ID パスワード 認 証 は 危 険 多 要 素 認 証 への 移 行 が 必 須 金 沢 大 学 では 多 要 素 認 証 方 式 を 導 入 予 定 tiqr 認 証 YubiKey 認 証 ICカードを 用 いたクライアント 証 明 書 認 証 GUARDプラグインを 開 発 ユーザは 自 分 に 合 った 認 証 方 式 を 選 択 可 能 サービスの 重 要 度 に 応 じて 認 証 レベルを 変 更 可 能 今 後 の 課 題 ICカードを 用 いたクライアント 証 明 書 認 証 方 式 の 実 現 実 装 方 法 運 用 コストなどの 検 討 2015/6/10(Wed) 22