特 集 社 会 システム EINS/IAMを 利 用 した 業 界 連 携 のための 認 証 基 盤 の 提 案 古 瀬 正 浩 大 石 光 概 要 今 後 の I Tの 活 用 において 安 全 なアクセス 管 理 とシングルサインオンによりセキュリティを 確 保 し 各 種 を 連 携 することが 有 効 と 考 える シングルサインオンでは アカウント 情 報 を 共 通 化 して 数 を 減 らす というより パスワードを 伝 送 せず 認 証 結 果 のみを 伝 送 することでセキュリティを 確 保 できる 点 が 有 効 である 連 携 の 応 用 分 野 として 業 界 向 けの 専 門 情 報 を 扱 うを 連 携 できれば 業 界 内 の 緊 密 化 を 実 現 できる こうした 業 界 連 携 のための 認 証 基 盤 について 検 討 し 検 証 実 験 を 行 った その 結 果 業 界 向 け の 認 証 基 盤 を 構 築 して 連 携 することは 可 能 と 考 えている 検 証 実 験 では リスクベース 認 証 とワンタイ ムパスワードでセキュリティを 確 保 し 利 用 面 開 発 面 について 評 価 した 認 証 基 盤 の 構 築 には 当 社 の EINS/IAM (1) を 利 用 できることを 示 した 1. はじめに I T 市 場 においてクラウドコンピューティング ( 以 下 クラウド ) が 急 速 に 普 及 している これまで 企 業 システムをクラウド 上 で 利 用 するのはセキュリティに 不 安 との 意 見 が あった が [1] クラウドファースト という 言 葉 に 表 れているように 資 産 面 やコスト 面 から 企 業 システムでクラウドを 利 用 することは 当 た り 前 となってきている その 結 果 企 業 の 内 と 外 をファイア ウォールのような 境 界 型 のセキュリティで 守 ることは 難 しくな り 個 々のに 対 して 利 用 者 のアクセスを 緻 密 に 管 理 す るアクセス 管 理 型 のセキュリティが 求 められている 一 方 そもそもアクセス 管 理 の 前 段 である 認 証 については パ スワード 認 証 が 危 機 的 状 況 となっている ネットワーク 上 の 多 数 のを 利 用 する 際 利 用 者 がごとにアカウントを 40 (1) EINS/IAM:インテックが 提 供 する 統 合 認 証 証 明 書 認 証 機 能 情 報 の 統 合 管 理 機 能 シングルサインオン 機 能 を 持 ち ユーザー 情 報 を 管 理 する IAM(Identity and Access Management)
2015 第 16 号 登 録 して 管 理 することは 非 常 に 困 難 であり 大 きなセキュリティ リスクになっている 弱 いパスワードであったり 同 じパスワー ドを 使 い 回 したりする 可 能 性 が 大 きい その 結 果 辞 書 攻 撃 や パスワードリスト 攻 撃 を 受 け アカウントが 乗 っ 取 られる 事 態 に つながっている 今 後 の ITにおいては スマートデバイスの 利 用 を 含 め 利 便 性 を 活 かしながら 安 全 なアクセス 管 理 を 実 現 す ることが 必 要 である その 実 現 方 法 が シングルサインオン (SSO:Single Sign On) による 連 携 である シングル サインオンでは アカウントを 共 通 化 し 相 互 認 証 によって 複 数 のを 有 機 的 に 連 携 することができる さらに サー バーへは 認 証 結 果 のみを 伝 送 し パスワードそのものは 伝 送 し ないことでセキュリティを 確 保 できる アカウントの 共 通 化 と 相 互 認 証 は 大 手 I T におい て 徐 々に 進 められている 将 来 は アカウントに 紐 付 いた 利 用 履 歴 がビッグデータ 解 析 に 利 用 されることになる しかしなが ら 大 手 IT のアカウント 利 用 は 一 定 の 範 囲 では 行 わ れるものの ビジネス 分 野 で 広 く 利 用 されることはなく 通 常 は 企 業 内 アカウントが 利 用 されると 考 える また プライバシー 意 識 の 抵 抗 感 から 利 用 者 が 多 数 のにアカウントを 登 録 することは 抵 抗 があると 考 えられる そこで 企 業 に 裏 付 け されたアカウントを 使 用 して 多 数 の 業 界 向 けにシング ルサインオンできれば 利 用 者 はを 利 用 しやすくなる 提 供 者 にとっても 信 頼 できるアカウントに 対 して 有 機 的 にを 提 供 可 能 となる そのような 業 界 連 携 のため の 認 証 基 盤 を 構 築 できれば 社 会 システム 企 業 として 業 界 の 緊 密 化 に 貢 献 できると 考 えている 本 稿 では 業 界 向 けの 情 報 提 供 を 連 携 できるよう な 認 証 基 盤 の 構 築 を 検 討 した さらに 業 界 向 けに 専 門 情 報 を 提 供 している A 社 様 と 共 同 でシングルサインオンサイトの 構 築 および 検 証 実 験 を 行 ったので 報 告 する 検 証 実 験 では モバ イル 端 末 の 利 便 性 を 活 かしながらビジネスサイトに 相 応 しいア クセス 管 理 を 実 現 する 方 法 を 検 討 した 以 下 第 2 章 では 一 般 に 懸 念 されている パスワードのセ キュリティ 一 課 題 を 挙 げ 提 供 側 がどのような 認 証 技 術 で 対 応 しようとしているかを 説 明 する 第 3 章 では 認 証 サー バーの 方 式 を 検 討 し シングルサインオンで 認 証 連 携 するサイ トを 構 築 し 検 証 実 験 を 行 った 結 果 を 報 告 する 第 4 章 では 業 界 連 携 のための 認 証 基 盤 の 方 式 を 検 討 し 認 証 基 盤 の 構 築 に E I NS / I AM を 利 用 できることを 示 す 2. パスワード 認 証 の 現 状 さまざまな I Tにそれぞれアカウントが 必 要 となり パスワード 認 証 が 限 界 に 来 ている 提 供 側 は 多 要 素 認 証 リスクベース 認 証 ワンタイムパスワードなどの 認 証 技 術 を 利 用 して 認 証 強 化 を 図 っている 2.1 パスワード 認 証 の 課 題 I Tを 利 用 するためにはアカウント 登 録 が 必 要 であ る 一 方 ネットワーク 上 には 多 数 のが 提 供 されてい るため 多 数 のアカウント 登 録 が 必 要 となり パスワード 利 用 の 悪 循 環 に 陥 っている( 図 1) 利 用 者 は アカウントが 多 数 に なるために 安 易 なパスワードを 設 定 したり パスワードを 使 い 回 したりしている 一 方 でマルウェアによる 情 報 流 出 やパ スワードリスト 攻 撃 などのセキュリティ 事 件 が 多 数 発 生 してお り サイト 管 理 者 からはパスワードの 複 雑 化 や 定 期 的 な 変 更 が 要 求 される このことが 利 用 者 に 安 易 なパスワードの 使 用 や 使 い 回 しをさらに 助 長 するという 悪 循 環 を 生 んでいる パスワードリスト 攻 撃 は 継 続 的 に 発 生 しており 2013 年 4 月 から2014 年 8 月 に 公 表 された 被 害 報 告 では 不 正 アクセス 成 功 率 が 最 高 10 % と な って い る [ 2 ] パスワードの 使 い 回 し 状 況 は パスワードの 利 用 実 態 調 査 (2014 年 6 月 )[3]によると 72.2%のユーザーが 1 3 種 類 のパスワードを 使 い 回 している と 回 答 している 一 旦 パス ワードが 流 出 すると 被 害 が 大 きくなる 原 因 となっている マルウェア パスワードリスト 攻 撃 多 数 のネット 安 易 なパスワード パスワードの 使 い 回 し 悪 循 環 パスワード 認 証 の 破 綻 図 1 パスワード 認 証 の 課 題 サイト 管 理 者 からの 要 求 パスワードの 複 雑 化 パスワードの 定 期 変 更 リスクベース 認 証 不 正 アクセスの 防 止 ワンタイムパスワード パスワードの 強 化 2 段 階 認 証 特 集 41
2.2 認 証 強 化 に 利 用 されている 技 術 大 手 I Tでは 過 去 のアカウント 流 出 の 経 験 から リ スクベース 認 証 の 利 用 とワンタイムパスワードによる2 段 階 認 証 といった 認 証 強 化 に 取 り 組 んでいる( 表 1) 認 証 手 続 きの 一 環 として 秘 密 の 質 問 を 扱 う 場 合 があるが 2 段 階 認 証 での 本 人 確 認 に 使 用 するのではなく パスワードを 忘 れたときのリセッ ト 用 に 秘 密 の 質 問 を 使 用 している 例 が 多 い また 不 特 定 多 数 を 対 象 にした ITであるため ハードウェアトークンを 使 用 したワンタイムパスワード 認 証 の 例 は 見 当 たらない 金 融 系 インターネットバンキングでは 米 国 連 邦 金 融 機 関 検 査 協 議 会 (FFIEC)のガイダンス 公 開 以 降 リスクベース 認 証 の 利 用 と 秘 密 の 質 問 による2 段 階 認 証 が 行 われている また 一 部 でハードウェアトークンを 使 用 したワンタイムパスワード 認 証 が 行 われている このように 大 手 I Tでは 不 正 アクセス 対 策 としてリ スクベース 認 証 パスワード 強 化 の 一 環 としてワンタイムパス ワードを 使 用 して 認 証 強 化 に 取 り 組 んでいる I T 系 ネットワーク 金 融 系 インターネット バンキング 表 1 I Tにおける 認 証 強 化 の 取 り 組 み 使 用 技 術 説 明 リスクベース 認 証 2 段 階 認 証 (ワンタイムパ スワードが 主 ) リスクベース 認 証 2 段 階 認 証 ( 秘 密 の 質 問 が 主 ) リスクベース 認 証 は 利 用 者 のアクセス 環 境 を 総 合 的 に 分 析 し 普 段 と 異 なる 環 境 からのアクセスであれば 不 正 アクセス の 可 能 性 が 高 いと 判 定 し 追 加 で 認 証 を 行 う 普 段 と 同 じアク セスであればいつも 通 りのログイン 操 作 で 済 むことから ユー ザーに 負 担 をかけない 認 証 強 化 技 術 として 利 用 されている リ ス ク の 判 断 内 容 は い つ も と 違 う 端 末 い つ も と 違 う 場 所 い つもと 違 う 時 間 帯 などで 判 断 している( 図 2)[4] ただし 判 断 項 目 の 具 体 的 内 容 は 公 表 されていない 2 段 階 認 証 はモバイル 端 末 へのワンタイ ムパスワード 送 信 が 多 い 秘 密 の 質 問 はパスワードを 忘 れたときの リセット 用 に 本 人 確 認 している 例 が 多 い ハードウェアトークンを 使 用 したワンタイ ムパスハード 認 証 は 見 当 たらない 予 め 登 録 してある 端 末 からのアクセスは リスク 判 定 しない 例 が 多 い 2 段 階 認 証 は 秘 密 の 質 問 が 多 い ソーシャルネットワークで 知 られてしまう 質 問 はしないよう 注 意 喚 起 されている 一 部 でハードウェアトークンを 使 用 した ワンタイムパスワード 認 証 が 行 われて いる リスク 判 定 項 目 は 比 較 的 多 いと 言 われて いるが 公 開 されていない 2 段 階 認 証 では 高 リスクと 判 定 されたときに 追 加 で 認 証 が デバイス 識 別 OSバージョン OSのパッチ レ ベ ル シス テム の 画 面 設 定 ブ ラ ウザのバージョン ブラウザのプ ラグイン ブラウザの 言 語 シス テム の 言 語 設 定 タイムゾーン 設 定 インストールされているオブ ジェクト I Pアドレスなど (HTTPヘッダーやJavaスクリプトから 収 集 されるデータ) 追 加 の 認 証 図 2 リスクベース 認 証 の 判 定 項 目 行 動 パターン 最 近 の 認 証 活 動 ( 頻 度 時 間 ) I P アドレス 情 報 ユー ザ ー の 所 在 地 以 前 の ログ イン 試 行 との I Pアドレスの 比 較 最 近 の ア カウント 変 更 など リスク 判 定 アプリ/メール/ 電 話 に 送 られたワンタイムコード の 入 力 秘 密 の 質 問 参 考 文 献 [4] 行 われる 大 別 して ワンタイムパスワードと 秘 密 の 質 問 があ る ワンタイムパスワードは 予 め 指 定 したモバイル 端 末 にワン タイムパスワードを 送 信 して それを 入 力 させることで 追 加 の 認 証 を 行 う 秘 密 の 質 問 は 予 め 設 定 しておいた 質 問 に 答 える 表 2 その 他 の 認 証 強 化 方 式 方 式 特 徴 欠 点 デバイス の 固 定 が 苦 手 両 手 がふさがる ワンタイム トークンが 独 立 している 失 くす 可 能 性 がある 失 くしても 気 付 パスワード 端 末 依 存 していない かない (ハード) どの 環 境 でも 動 作 可 能 買 う 必 要 がある 物 を 配 る 必 要 がある 再 発 行 の 手 間 退 職 者 からの 回 収 の 手 間 ワンタイム パスワード (ソフト) デバイス 証 明 書 証 明 書 保 持 が 強 固 デバイス 証 明 書 扱 いが 容 易 (USBトークン) デバイスと 別 管 理 が 可 能 マトリクス 乱 数 表 ハードからソフトへ 移 行 が 増 加 電 話 番 号 通 知 が 増 えている デバイスを 特 定 できる 個 人 の 情 報 を 入 れることが 可 能 複 数 のセキュリティに 対 応 可 能 メールの 暗 号 化 に も 使 える デバイスを 固 定 したい 時 に 有 利 ブラウザだけでできる 配 る 必 要 がない クラウドログインの 採 用 例 が 多 い 2 要 素 認 証 の 一 種 今 でも 使 われている スマートフォンで2つのアプリ 切 り 替 えは 不 可 能 インストールが 必 ず 必 要 標 準 プロトコルがない 一 般 に 導 入 コストが 高 い 継 続 的 に 費 用 が 発 生 する 利 用 開 始 時 に 配 布 や 設 定 の 手 間 が かかる 失 くす 可 能 性 がある 失 くしても 気 付 かない 物 を 配 る 必 要 がある 再 発 行 の 手 間 退 職 者 からの 回 収 の 手 間 マルウェア 汚 染 に 完 全 に 対 抗 で きない 乱 数 表 は 変 更 されないため 漏 洩 リ スクがある 乱 数 表 を 入 力 させるマルウェアが ある 参 考 文 献 [5] 42
2015 第 16 号 ことで 追 加 の 認 証 を 行 う なお ペットの 名 前 や 母 方 の 旧 姓 な どを 質 問 に 設 定 したために ソーシャルネットワークの 情 報 を 使 ってアカウントが 乗 っ 取 られる 事 件 が 報 告 されている その ため 安 易 な 質 問 は 設 定 しないよう 注 意 喚 起 されている その 他 の 認 証 強 化 方 式 を 表 2に 示 す[5] ワンタイムパスワー ドとデバイス 証 明 書 では 一 長 一 短 があり コスト 運 用 負 荷 操 作 性 本 人 確 認 性 のバランスを 判 断 して 選 択 されている 乱 数 表 はインターネットバンキングで 古 くから 利 用 されているが 乱 数 表 を 入 力 させて 外 部 に 送 信 するマルウェアが 報 告 されており 漏 えいリスクを 否 定 できない 一 般 向 けの 大 手 I Tではソ フトウェア 型 のワンタイムパスワードを 利 用 している 例 が 多 い 2.3 パスワードを 使 用 しない 次 世 代 認 証 技 術 パスワード 認 証 の 解 決 策 の1つとして FOアライアンス (2) はパスワードを 使 用 しない 認 証 技 術 を 標 準 化 した[6] 認 証 方 式 は2 種 類 規 定 されている 生 体 認 証 を 使 用 してパスワードなしで 認 証 する 方 式 パスワードと 所 持 品 (ドングルなど)を 使 用 して 多 要 素 認 証 する 方 式 どちらも 端 末 側 で 認 証 を 行 い 認 証 結 果 をサーバーに 送 信 する 生 体 認 証 の 場 合 生 体 情 報 は 端 末 側 のセキュアな 区 画 に 格 納 して サーバー 側 に 保 存 しない 多 要 素 認 証 でパスワード を 入 力 する 場 合 端 末 側 で 認 証 を 行 い サーバー 側 にパスワー ドを 送 信 しない FO 仕 様 の 公 開 以 降 仕 様 に 適 合 したス マートフォンやドングルが 各 社 から 発 売 されつつある FOが 定 める 認 証 は 利 用 者 と 認 証 サーバー 間 の 部 分 を 定 めている 複 数 のをシングルサインオンで 連 携 する 部 1 組 織 内 I Dによる 連 携 組 織 内 で 管 理 している I Dを 用 いて 認 証 連 携 している 外 部 にログインする 本 人 確 認 は 確 かであるが い かに 外 部 と 連 携 できるかが 課 題 2 外 部 Web I Dによる 連 携 外 部 のWebに 登 録 されている を 用 いて 他 の 外 部 へログインする 多 くのでアカウン トの 認 証 連 携 が 進 んでいる 現 在 は 登 録 されている の 本 人 確 認 性 に 疑 問 がある 3 I D 提 供 事 業 者 との 連 携 外 部 の 事 業 者 (aas (3) )に 登 録 さ れて い る を 用 いて 自 社 のサイトにログインする 利 用 者 は 社 内 システムと 外 部 クラウドに 同 じアカウントを 使 用 してシー ムレスに 利 用 可 能 になる 一 元 的 に 管 理 や 認 証 連 携 を 行 うことで 自 社 の 管 理 の 負 担 を 軽 減 できる 業 界 連 携 のためには 1と3の 折 衷 型 が 理 想 形 と 考 える つ まり 組 織 内 でを 正 しく 管 理 し そのと 同 期 したアカウン トを 事 業 者 に 設 定 して 使 用 する 形 である このア カウントを 業 界 向 け 各 種 を 連 携 するためのアカウン ト( 業 界 アカウント)として 使 用 する 折 衷 型 では 組 織 内 の 管 理 負 担 は 減 らず 同 期 管 理 が 増 えるという 課 題 がある 一 方 3 単 独 の 形 は 自 社 のビジネスに 外 部 のを 使 用 可 能 であれ ば 管 理 負 担 が 減 って 有 効 といえる しかし 組 織 内 で 人 事 管 理 をしている 都 合 上 現 実 には 適 用 が 難 しいと 考 える また 各 社 のポリシーによりアカウント 連 携 パターンは 複 数 必 要 になる ことから 折 衷 型 がよいと 考 える 特 集 分 については 従 来 の 方 式 で 認 証 情 報 を 連 携 するよう 役 割 分 担 されている 3. 認 証 連 携 方 式 の 検 討 (アプリ) 2 外 部 Webの 連 携 外 部 に 登 録 され ている(ユーザーの 認 証 結 果 や 登 録 情 報 )を 用 いて 他 の 外 部 サイトへ ログイン aas 業 界 向 け 専 門 情 報 を 扱 うを 連 携 するために 認 証 連 携 基 盤 の 方 式 を 検 討 した リスクベース 認 証 とシングルサイン オンを 組 み 合 わせることで 利 便 性 とセキュリティのバランスを とった 検 討 した 認 証 方 式 に 沿 って 検 証 実 験 を 行 ったので 結 果 を 報 告 する 3.1 検 証 する 認 証 方 式 組 織 内 と 外 部 を 連 携 するアカウント 連 携 パターン 企 業 ( 組 織 ) 1 組 織 内 の 連 携 組 織 内 で 管 理 している (ユーザーの 認 証 結 果 や 登 録 情 報 )を 用 いて 認 証 と 連 携 して いる 外 部 にログ イン 3 提 供 事 業 者 との 連 携 外 部 に 登 録 されているI D (ユー ザーの 認 証 結 果 や 登 録 情 報 )を 用 いて 自 社 のサイトにログイン は3 種 類 考 えられる( 図 3) 図 3 アカウント 連 携 の 分 類 (2)FO Alliance: セキュアなオンライン 認 証 の 仕 様 策 定 を 目 的 とした 非 営 利 団 体 2014 年 12 月 に FO 仕 様 1.0 を 公 開 FO(Fast entity Online ファイド) (3) aas(identity as a Service): I D 管 理 をクラウドとして 提 供 する 海 外 ではビジネス 展 開 されている 国 内 では 通 信 キャリアが 法 人 向 けに 提 供 を 開 始 した 43
検 証 実 験 では 以 下 の 点 を 検 証 した (1) 連 携 のための 業 界 アカウントと 組 織 内 I Dを 同 期 連 携 できること (2) 業 界 アカウントを 使 って 複 数 のに 認 証 連 携 してシン グルサインオンできること 業 界 ア カ ウ ント と 組 織 内 I D の 同 期 連 携 に つ い て は イ ン テ ッ クのアイデンティティ アクセス 管 理 (IAM:Identity and Access Management)ツールを 使 用 した このIAMツールは 異 なる 種 類 のディレクトリシステムやRDB 等 が 保 持 する 様 々なデータ 形 式 の 違 いを 吸 収 して システム 間 の 同 期 を 実 現 する サイト 間 の 認 証 連 携 については モバイル 端 末 から2つの サイトにアクセスし サイト 間 でシングルサインオンを 行 って 評 価 した セキュリティを 確 保 するために デバイス 識 別 と I Pアドレス 履 歴 によるリスクベース 認 証 を 行 い 高 リスク 時 はモバイル 端 末 へワンタイムパスワードを 送 信 して2 段 階 認 証 を 行 った( 図 4 図 5) また 比 較 のために 高 リスク 時 に 秘 密 の 質 問 を 送 信 して2 段 階 認 証 を 行 い ワンタイムパスワードと の 使 いやすさについて 評 価 した 検 証 実 験 を 行 うにあたり 既 にを 提 供 している2つ の 専 門 情 報 サイトのログイン 機 能 を 改 修 した 検 証 実 験 の 評 価 は 使 いやすさ 運 用 しやすさ セキュリティ の 観 点 で 行 った また 既 存 サイトの 改 修 について 改 修 負 荷 も 評 価 した リダイレクト リスクを 判 定 して 追 加 認 証 を 求 める 追 加 認 証 はワンタイム パスワード (または 秘 密 の 質 問 ) サイト リダイレクト 3.2 検 証 実 験 の 考 察 機 能 面 および 速 度 容 量 などの 測 定 結 果 は 省 略 する 定 性 的 な 評 価 は 利 用 者 開 発 担 当 者 運 用 管 理 者 からアンケートと ヒアリングで 調 査 した ユーザー 認 証 / パスワード 高 リスク 判 定 リスク 判 定 追 加 認 証 ( 本 人 性 を 確 認 ) ワンタイムパスワード 認 証 OK 認 証 完 了 図 4 検 証 する 認 証 方 式 ユーザー 認 証 OK 低 リスク 判 定 の 同 期 連 携 は 問 題 なく 機 能 しており 組 織 内 と 認 証 サーバーの 同 期 作 業 は 運 用 上 問 題 ないレベルであることを 確 認 した 情 報 を 統 合 管 理 する 機 能 は 最 小 限 としたため エ ラー 検 知 や 状 態 確 認 など 管 理 者 の 運 用 しやすさの 点 では 不 満 であるとの 回 答 であった 間 の 認 証 連 携 については リスクベース 認 証 とワン タイムパスワードが 予 定 通 り 機 能 し 2つのサイト 間 でシング ルサインオンによる 連 携 ができることを 確 認 した こ れまで 別 々の パスワードでログインしていたを シングルサインオンで 利 用 できるようになったため 利 用 者 の 利 便 性 は 向 上 した ただ モバイル 端 末 の 画 面 遷 移 の 自 由 度 が 低 いことから ワンタイムパスワードの 入 力 操 作 性 については 操 作 者 により 評 価 が 分 かれた セキュリティ 面 では リスクベー ス 認 証 とワンタイムパスワードでログインのセキュリティを 確 保 できている 開 発 担 当 者 からは 既 存 サイトの 改 修 負 荷 はそれほど 大 きく ないとの 回 答 であった したがって 今 ある 業 界 向 けを 認 証 連 携 用 に 改 修 して 利 用 することは 可 能 であると 考 える 業 界 向 け 認 証 基 盤 の 課 題 として 組 織 内 と 業 界 アカウン トを 連 携 するためのルールが 業 界 として 定 まっていないことが ある 本 人 確 認 された I Dを 業 界 アカウントとしてどのように 利 用 するか 属 性 情 報 をどのように 扱 うかが 課 題 である 4. 業 界 連 携 のための 認 証 基 盤 業 界 連 携 のための 認 証 基 盤 の 方 式 を 検 討 し 認 証 基 盤 の 構 築 にEINS/IAMを 利 用 できることを 示 す 4.1 提 案 する 認 証 基 盤 の 概 要 業 界 基 盤 として 提 案 する 認 証 システムの 概 要 を 図 5に 示 す の 管 理 は 組 織 内 で 行 い それと 同 期 したアカウントを 連 携 に 使 用 する 形 である 組 織 内 の 運 用 面 セキュリティポリシー 面 から 提 供 事 業 者 のを 組 織 内 で 使 用 する 構 成 はとらない 業 界 アカウントの 管 理 については なるべく 中 立 的 な 立 場 で 認 証 サーバー 1 組 織 内 の 同 期 連 携 EINS/IAM 同 期 連 携 機 能 企 業 ( 組 織 ) 2 認 証 連 携 3 シングルサインオン 図 5 業 界 基 盤 としての 認 証 システム (アプリ) (アプリ) EINS/IAM シングルサインオン 機 能 44
2015 第 16 号 アカウント 管 理 できるところが 望 ましい それによって 認 証 サーバーは 業 界 共 通 の 認 証 基 盤 として 有 益 なものとなる 4.2 認 証 基 盤 へのEINS/IAMの 利 用 インテックは 組 織 内 システムとSaaS 双 方 の I D 情 報 を 管 理 する 統 合 認 証 EINS/IAM を 提 供 している この では 組 織 内 と 外 部 のクラウドで 使 用 する I Dの 統 合 管 理 を 可 能 とする また シングルサインオン 機 能 を 提 供 しており 一 度 EINS/IAMに 認 証 された 利 用 者 は サー ビス 間 を 移 動 する 際 に 再 度 ログインする 必 要 はない ユーザビ リティを 損 なうことなく 安 全 にクラウドを 利 用 する 環 境 を 実 現 できる 3 章 で 検 討 した 業 界 向 け 認 証 基 盤 は の 同 期 とシングルサ インオンの 実 現 がキーポイントである 現 行 のEINS/IAMを 応 用 すれば 業 界 向 け 認 証 基 盤 を 構 築 可 能 になる 具 体 的 には 図 51 同 期 連 携 機 能 2 認 証 連 携 機 能 をEINS/IAMの 機 能 を 応 用 して 実 現 し 利 用 者 に3シングルサインオン 機 能 を 提 供 することになる 利 用 者 は 組 織 内 I Dを 用 いてEINS / I AMに ログインすることで 業 界 向 け 情 報 サイトにシングルサインオン できるようになる 参 考 文 献 [1] 総 務 省 : 平 成 25 年 版 情 報 通 信 白 書,p.348, 総 務 省,(2013) [2] 情 報 処 理 推 進 機 構 : プレス 発 表 パスワードリスト 攻 撃 による 不 正 ログイン 防 止 に 向 けた 呼 びかけ, 情 報 処 理 推 進 機 構,(2014.9.17) [3]トレンドマイクロ : パスワードの 利 用 実 態 調 査 2014,トレンドマ イクロ,2014.6.12,http://www.trendmicro.co.jp/jp/about-us/ press-releases/articles/20140609010140.html,( 参 照 2015.9) [4] RSA 事 業 本 部 :RSAリスクベース 認 証,EMC ジャパン,(2013) [5] 亀 田 治 伸 : 次 世 代 認 証 基 盤 の 在 り 方, 認 証 アクセス 基 盤 強 化 セミナー 2013 講 演 資 料,(2013.10.30) [6] 五 味 秀 仁 : 脱 パスワードに 向 けた 次 世 代 認 証 方 式 FO の 取 り 組 み, 第 47 回 電 子 情 報 利 活 用 セミナー,(2015.5.21) 本 論 文 には 他 社 の 社 名 商 号 商 標 および 登 録 商 標 が 含 まれます 特 集 5. まとめ 多 くの 企 業 はクラウド 利 用 を 進 めており 管 理 の 負 荷 と セ キュリティリス ク が 懸 念 さ れて い る 一 方 業 界 向 け に さ ま ざまなが 提 供 されており これらを 連 携 して 利 用 でき ればビジネス 価 値 が 高 まる そのためには ユーザーの 利 便 性 を 損 なわずに セキュリティを 確 保 した 上 で 連 携 でき る 必 要 がある 本 稿 では 業 界 向 けを 利 用 するための 認 証 基 盤 に ついて 検 討 した 組 織 内 を 利 用 しながら それと 同 期 してい るをシングルサインオンで 業 界 アカウントとして 利 用 するの がよいと 考 える 検 証 実 験 の 結 果 は 既 存 の 改 修 にあ まり 負 荷 がかからないことから 業 界 向 けを 連 携 する には 現 実 的 な 方 法 であることを 示 している また 認 証 基 盤 に EINS/IAMを 応 用 して 利 用 できることを 示 した 今 後 は 大 手 I Tの 囲 い 込 みが 進 むと 考 えられ る しかしながら 本 人 確 認 性 の 高 い を 利 用 する 分 野 が 必 ず 必 要 である そのような 分 野 での 連 携 のために 業 界 向 け 認 証 基 盤 は 有 益 と 考 える 古 瀬 正 浩 FURUSE Masahiro 先 端 技 術 開 発 本 部 先 端 技 術 研 究 所 位 置 情 報 アプリケーション 開 発 に 従 事 博 士 ( 工 学 ) 電 子 情 報 通 信 学 会 員 情 報 処 理 学 会 員 大 石 光 OISHI Hikari ネットワーク&アウトソーシング 事 業 本 部 ネットワークソリューション 部 EINS/IAM 開 発 運 用 保 守 に 従 事 45