平 成 27 年 度 第 1 回 学 術 情 報 基 盤 オープンフォーラム@NII 2015/6/12(Fri) 大 学 におけるクライアント 証 明 書 利 用 イメージ 金 沢 大 学 松 平 拓 也 2015/6/12(Fri) 1
国 立 大 学 法 人 金 沢 大 学 構 成 員 学 生 ( 院 生 含 む) 約 10,300 名 教 職 員 ( 非 常 勤 含 む) 約 3,800 名 2015/6/12(Fri) 2
金 沢 大 学 統 合 認 証 基 盤 (KU SSO) Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibboleth SP 化 KU SSOの 認 証 方 式 予 算 執 行 支 援 給 与 明 細 教 務 システム 教 員 DB 等 機 微 な 情 報 を 取 り 扱 うシステムも 多 い 金 沢 大 学 ID パスワードによる 認 証 パスワード 認 証 の 強 度 はパスワードの 強 度 に 依 存 そのため パスワードポリシーは 徹 底 文 字 が8 文 字 以 上 大 文 字 小 文 字 数 字 記 号 のいずれかの2 種 類 以 上 が 含 ま れること などなど 2015/6/12(Fri) 3
ID パスワード 認 証 の 今 ID パスワード 認 証 はもう 限 界? 最 近 よく 聞 く 言 葉 Password is Dead 背 景 には ID パスワードに 関 わるセキュリティインシデントの 増 加 IPAによる オンライン 本 人 認 証 方 式 の 実 態 調 査 報 告 書 (2014 年 8 月 ) (http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html) オンライン 認 証 における 認 証 方 式 インシデント 事 例 ユーザアンケート 等 が 記 載 パスワードに 対 する 主 な 攻 撃 主 な 脅 威 総 当 り 攻 撃 (ブルートフォース 攻 撃 ) 逆 総 当 り 攻 撃 (リバースブルートフォース 攻 撃 ) 類 推 攻 撃 辞 書 攻 撃 説 明 全 てのパスワードの 組 み 合 わせを 試 行 する 攻 撃 パスワードを 固 定 し IDを 変 えて 攻 撃 を 試 みる 手 口 利 用 者 の 個 人 情 報 からパスワードを 類 推 パスワードとして 使 われていそうな 文 字 列 を 収 録 した 辞 書 を 用 意 し それらを 試 行 最 近 はパスワードリスト 攻 撃 が 増 加! 平 成 25 年 約 800,000 件 ( 平 成 24 年 114,013 件 ) 2015/6/12(Fri) 4
パスワードリスト 攻 撃 とは? 不 正 取 得 したID パスワードのリストを 流 用 し 連 続 自 動 入 力 プログラム などを 用 いてID パスワードを 入 力 しログインを 試 行 する 手 口 出 典 :http://www.ipa.go.jp/security/txt/2013/08outline.html 覚 えるのが 大 変 だから ID パスワードは 全 て 同 じにしておこう ユーザA ID:aaa パスワード:bbb サービスA サービスB サービスC サービスD サービスE 他 のサービスでも 使 えるぞ 悪 意 ある 者 ID:aaa PW:bbb ID/PWの 漏 洩 利 用 者 側 で 強 固 なパスワードを 設 定 し かつパソコン 上 でセキュリティソフトを 利 用 していても 同 一 のID パスワードを 使 い 回 している 限 り パスワードリスト 攻 撃 の 被 害 を 防 げない! 2015/6/12(Fri) 5
KU SSOの 多 要 素 認 証 への 移 行 ユーザが 金 大 ID パスワードをKU SSO 以 外 のサービスに 登 録 し そのサー ビスからID パスワードが 流 出 した 場 合 KU SSOがパスワードリスト 攻 撃 の 対 象 となった 場 合 に 突 破 されてしまう もはやKU-SSOをID パスワード 認 証 だけで 守 ることはできない! 多 要 素 認 証 への 移 行 が 必 須! 2015/6/12(Fri) 6
多 要 素 認 証 とは? 認 証 の 定 義 認 証 利 用 者 が 本 人 であるかどうかを 確 認 する 作 業 確 認 するための 認 証 要 素 ( 認 証 の3 要 素 ) 本 人 しか 知 らない 知 識 (Something You Know) Password PIN 秘 密 の 質 問 など 本 人 しか 持 っていない 所 有 物 (Something You Have) ICカード スマートフォンなど 本 人 の 生 体 的 特 徴 (Something You Are) 指 紋 静 脈 虹 彩 など(バイオメトリクス) 多 要 素 認 証 前 述 の3 種 類 の 要 素 のうち 2 要 素 以 上 を 必 要 とする 認 証 方 式 例 :スマートフォンとPIN( 所 有 物 + 知 識 ) 2015/6/12(Fri) 7
金 沢 大 学 で 導 入 予 定 の 多 要 素 認 証 方 式 2015 年 中 tiqr 認 証 スマートフォン( 所 有 物 ) + PIN( 知 識 ) YubiKey 認 証 検 討 中 YubiKeyデバイス( 所 有 物 ) + ID/パスワード( 知 識 ) ICカードを 用 いたクライアント 証 明 書 による 認 証 ICカード/クライアント 証 明 書 ( 所 有 物 ) + PIN( 知 識 ) 2015/6/12(Fri) 8
クライアント 証 明 書 による 認 証 クライアント 証 明 書 とは? 個 人 (クライアント)に 対 して 発 行 される 電 子 的 な 身 分 証 明 書 公 開 鍵 暗 号 方 式 を 利 用 しており 証 明 書 の 偽 造 は 非 常 に 困 難 第 三 者 ( 認 証 局 (CA))が 証 明 書 を 発 行 し 証 明 書 の 正 当 性 を 保 証 なりすまし 不 正 アクセスに 対 して 非 常 に 有 効 発 行 形 態 プライベート 認 証 局 (Private CA) 個 人 や 大 学 ( 組 織 )が 独 自 にCAを 構 築 して 発 行 発 行 コストはかからないが 発 行 した 組 織 ( 個 人 )の 限 られた 環 境 で のみ 有 効 パブリック 認 証 局 (Public CA) ベリサインやグローバルサインなどの 企 業 が 運 用 するCAが 発 行 発 行 コストは 高 いが 発 行 元 を 信 頼 している 多 くの 環 境 で 有 効 UPKIを 使 えば3 年 は 発 行 コストが 無 料 (その 後 は?) 2015/6/12(Fri) 9
Shibbolethのクライアント 証 明 書 認 証 Shibbolethにおけるクライアント 証 明 書 認 証 対 応 認 証 拡 張 方 式 Remote User Login Handler (REMOTE_USER 環 境 変 数 にIDを 入 れる 認 証 実 装 の 場 合 に 利 用 ) 実 際 の 認 証 処 理 はApacheが 行 う 参 考 URL https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageid=12158431 実 装 例 クライアント 証 明 書 を 発 行 する 認 証 局 のCA 証 明 書 =Kanazawa CA.crt クライアント 証 明 書 のサブジェクト O の 値 = Kanazawa University クライアント 証 明 書 のサブジェクト CN の 値 をuidとして 使 用 UPKIのクライアント 証 明 書 でも 動 作 確 認 済! 2015/6/12(Fri) 10
IdPの 設 定 (1) 1. handler.xmlにクライアント 証 明 書 認 証 を 用 いた 認 証 メソッドの 追 加 <!-- Login Handlers --> <ph:loginhandler xsi:type="ph:remoteuser"> <ph:authenticationmethod> urn:oasis:names:tc:saml:2.0:ac:classes:tlsclient </ph:authenticationmethod> </ph:loginhandler> 認 証 メソッドの 追 加 2. Apacheのssl.confにクライアント 証 明 書 認 証 の 処 理 を 記 載 <Location /idp/authn/remoteuser> SSLCACertificateFile /opt/shibboleth-idp/credentials/kanazawa-ca.crt 認 証 局 のCA 証 明 書 SSLVerifyClient require クライアント 証 明 書 を 検 証 SSLVerifyDepth 3 SSLRequireSSL SSLOptions +ExportCertData +StdEnvVars SSLUserName SSL_CLIENT_S_DN_CN CN の 値 を REMOTE_USER 環 境 変 数 にセット SSLRequire %{SSL_CLIENT_S_DN_O} eq Kanazawa University O の 値 が Kanazawa University か どうかをチェック </Location> 2015/6/12(Fri) 11
IdPの 設 定 (2) 3. /TOMCAT_HOME/webapps/idp/WEB INF/web.xmlにパラメータを 追 加 <!-- Servlet protected by container user for RemoteUser authentication --> <servlet> <servlet-name>remoteuserauthhandler</servlet-name> <servlet-class>edu.internet2.middleware.shibboleth.idp.authn.provider.remoteuserauthservlet</servlet-class> <load-on-startup>3</load-on-startup> <init-param> <param-name>authnmethod</param-name> <param-value>urn:oasis:names:tc:saml:2.0:ac:classes:tlsclient</param-value> </init-param> </servlet> <servlet-mapping> <servlet-name>remoteuserauthhandler</servlet-name> <url-pattern>/authn/remoteuser</url-pattern> </servlet-mapping> 4. relying party.xmlにデフォルトの 認 証 手 段 を 指 定 (パスワード 認 証 ) <rp:defaultrelyingparty provider=https://idp_server/idp/shibboleth defaultsigningcredentialref="idpcredential" defaultauthenticationmethod="urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport"> 2015/6/12(Fri) 12
SPの 設 定 1. IdPに 対 して 認 証 方 式 の 指 定 shibboleth2.xml <SessionInitiator type="chaining" Location="/Login" isdefault="true" id="intranet authncontextclassref="urn:oasis:names:tc:saml:2.0:ac:classes:tlsclient" relaystate="cookie" entityid="https://idpserver/idp/shibboleth"> <SessionInitiator type="saml2" acsindex="1" template="bindingtemplate.html"/> <SessionInitiator type="shib1" acsindex="5"/> </SessionInitiator> または shib.conf <Location /secure> AuthType shibboleth ShibCompatWith24 On ShibRequestSetting requiresession 1 ShibRequestSetting authncontextclassref urn:oasis:names:tc:saml:2.0:ac:classes:tlsclient require shib-session </Location> Shibbolethでは 特 に 複 雑 な 設 定 を 行 う 必 要 なし! 2015/6/12(Fri) 13
クライアント 証 明 書 の 配 布 利 用 方 法 クライアント 証 明 書 のユーザへの 配 布 利 用 方 法 1. ユーザがWebから 取 得 ID/PW 認 証 ( 学 内 限 定 )を 行 い 自 分 のクライアント 証 明 書 を 取 得 利 用 者 がクライアント 証 明 書 を 雑 に 扱 う 危 険 性 NIIのクライアント 証 明 書 発 行 システムがそのような 運 用 に 対 応 してい ない( 管 理 者 が 申 請 する 必 要 ) 2. デバイスへ 格 納 して 配 布 利 用 者 がクライアント 証 明 書 を 雑 に 扱 う 危 険 性 の 排 除 格 納 するデバイスは 本 人 が 既 に 所 持 している(かつ 本 人 を 特 定 できる)もの ICカード( 職 員 証 学 生 証 )の 利 用 が 最 適! 大 学 での 活 動 に 必 要 不 可 欠 なため ほとんどの 構 成 員 が 常 に 携 帯 身 分 証 を 簡 単 に 貸 したり 紛 失 したりすることはない 2015/6/12(Fri) 14
ICカードでのクライアント 証 明 書 運 用 事 例 (1) 京 都 大 学 非 接 触 (Felica)+ 接 触 のハイブリッドICカード 接 触 部 分 にクライアント 証 明 書 を 格 納 2010 年 度 から 導 入 導 入 時 常 勤 教 職 員 ( 約 6,500 名 )にIC 職 員 証 非 常 勤 教 職 員 等 ( 約 5,500 名 )に 認 証 IC カード 2012 年 度 からIC 職 員 証 は 認 証 ICカードとして 発 行 (IC 職 員 証 廃 止 ) Private CAで 発 行 ( 更 新 作 業 が 発 生 しないよう 長 い 有 効 期 間 が 必 要 なため) 有 効 期 間 10 年 (2020 年 ) 今 年 度 から 毎 年 5 年 設 定 とし 一 斉 変 更 問 題 を 回 避 2015/6/12(Fri) 15
ICカードでのクライアント 証 明 書 運 用 事 例 (2) 北 陸 先 端 科 学 技 術 大 学 院 大 学 (JAIST) 非 接 触 (Felica)+ 接 触 のデュアルインターフェースICカード クロスアクセス( 非 接 触 インターフェースから 接 触 の 領 域 を 参 照 ) 可 能 接 触 部 分 にクライアント 証 明 書 を 格 納 2008 年 から 教 職 員 学 生 ( 約 2,000 人 )に 配 布 Private CAで 発 行 ( 身 分 に 応 じて 柔 軟 に 有 効 期 限 を 変 更 するため) 名 古 屋 工 業 大 学 非 接 触 (Felica)+ 接 触 のハイブリッドICカード 接 触 部 分 にクライアント 証 明 書 を 格 納 2007 年 度 末 から 教 職 員 学 生 (10,000 人 程 度 )に 配 布 Private CAで 発 行 ( 長 い 有 効 期 間 が 必 要 なため 発 行 コストが 無 料 ) 職 員 は 約 15 年 2015/6/12(Fri) 16
ICカードでの 運 用 における 課 題 ハイブリッドICカード 自 体 のコストが 高 い デュアルインターフェースICカードはさらに 割 高 接 触 型 のICカードリーダライタが 必 要 非 接 触 側 からクライアント 証 明 書 を 読 むと 通 信 に 時 間 がかかる 入 退 館 や 出 席 管 理 は 接 触 型 では 不 便 ( 用 途 に 応 じて 使 い 分 ける 必 要 ) ICカード 内 情 報 に 変 更 があった 際 はカードを 回 収 再 配 布 する 必 要 クライアント 証 明 書 の 期 限 切 れ S/MIMEでメールアドレスが 変 更 になった 場 合 などはカード 情 報 の 書 き 換 え 作 業 が 必 要 Private CAは 厳 格 に 運 用 するとコストが 高 い 有 効 期 限 の 長 い 証 明 書 を 発 行 したり 証 明 書 の 発 行 コストをなくすために Private CAでの 運 用 になるが 厳 格 に 運 用 するとコストが 高 い 2015/6/12(Fri) 17
最 近 の 大 学 におけるICカード 導 入 状 況 金 沢 大 学 も 職 員 証 学 生 証 はICカード 入 退 館 出 席 管 理 生 協 マネー 証 明 書 発 行 など 大 学 での 活 動 に 必 要 不 可 欠 金 沢 大 学 のICカードはFelica(FCFフォーマット) FCFフォーマット 一 般 社 団 法 人 FCF 推 進 フォーラムで 提 唱 大 学 等 教 育 機 関 181 機 関 で 導 入 (2014/11) ( 教 育 機 関 におけるICカードのデファクトスタンダード) Felica(FCFフォーマット)の 特 徴 カード 自 体 は 安 価 カードリーダも 一 般 的 なものでOK 多 くのアプリケーションが 対 応 クライアント 証 明 書 のような 大 きなデータは 格 納 できない 金 沢 大 学 を 含 む 多 くの 大 学 でICカードによるクライアント 証 明 書 認 証 を 行 うには? UPKIパス(JCANパス) 方 式 の 利 用 2015/6/12(Fri) 18
UPKIパス(JCANパス) JCANパス 方 式 とは? 証 明 書 をサーバに 格 納 させておき ICカードをリーダにかざした 際 に ク ライアントPCに 一 時 的 にダウンロード/インストールする 方 式 JCANパスをNIIが 監 修 して 強 化 UPKIパス UPKIパス 方 式 のメリット 1. Felicaで 利 用 可 能 (FCFフォーマットVer.3が 必 要 ) 2. 証 明 書 の 更 新 における 作 業 がサーバ 側 のみ サーバ 側 の 証 明 書 を 更 新 するだけでICカード 側 は 変 更 する 必 要 なし ICカードを 紛 失 しても 証 明 書 をサーバから 削 除 すればよい カードを 回 収 して 再 配 布 する 必 要 がない 3. Public CAによる 運 用 が 容 易 になる 証 明 書 が 書 き 換 えになってもカードの 回 収 が 必 要 なくなる Public CAで 発 行 される(ある 程 度 期 限 の 短 い) 証 明 書 での 運 用 でもよ くなる(UPKI 証 明 書 なら 発 行 コスト 問 題 も 解 決 ) 2015/6/12(Fri) 19
UPKIパスの 利 用 イメージ 5ICカード 内 に 格 納 されている 解 凍 パスフレーズ により 復 号 化 し クライアント 証 明 書 をOS 標 準 の 証 明 書 ストアに 格 納 詳 細 は 次 の 発 表 で! プログラム 証 明 書 ローダー 3 証 明 書 ローダーが 当 該 ユーザの 証 明 書 をサーバに 問 い 合 わせ SP IdP 6SPにアクセス 7クライアント 証 明 書 認 証 ユーザ 1ユーザがカードリーダにICカードをセット 2 証 明 書 ローダーでPINの 入 力 4ユーザ 検 証 後 当 該 ユーザの クライアント 証 明 書 を 暗 号 化 さ れた 状 態 で 送 付 ユーザはICカードをかざして PINを 入 力 するだけ! 証 明 書 ストアサーバ 2015/6/12(Fri) 20
各 認 証 方 式 のターゲット tiqr 認 証 学 生 ( 主 ) 教 職 員 ある 学 内 アンケートでは 新 入 生 の9 割 以 上 がスマホを 所 持 ノートPC YubiKey 認 証 スマホ ICカードを 持 っていないユーザ 出 張 先 でKU SSOを( 頻 繁 に) 利 用 するユーザ tiqr 認 証 とICカード 認 証 を 補 う 役 割 ICカード 認 証 教 職 員 ( 主 ) 学 生 デスクトップPC KU SSOを 利 用 する 全 てのユーザが 多 要 素 認 証 できる 環 境 を 構 築 2015/6/12(Fri) 21
KU SSO 更 新 概 念 図 ( 予 定 ) ホワイトリスト( 例 : 学 内 ネットワーク) ユーザのIPをチェック 上 位 レベルで 認 証 に 成 功 した 場 合 同 位 下 位 レベルはSSO 学 内 ネットワーク からアクセス or or IdP ID/PW Level1 Level2 Level3 SP1 SP2 SP3 Level1: ID パスワード(どのIPからも) Level2: ID パスワード( 学 内 IP) tiqr or YubiKey or ICカード( 学 外 IP) Level3: tiqr or YubiKey or ICカード(どのIPからも) 学 外 からアクセス GUARDプラグインの 利 用 ユーザは 自 分 に 合 った 認 証 方 式 を 選 択 可 能 サービスの 重 要 度 に 応 じて 認 証 レベルを 変 更 可 能 2015/6/12(Fri) 22
Level2( 学 外 ) Level3におけるIdPの 挙 動 Level2( 学 外 ) Level3 ICカード 認 証 or tiqr 認 証 or YubiKey 認 証 SPへアクセス ICカードを 選 択 ICカード 認 証 tiqrを 選 択 tiqr 認 証 サービス 開 始 YubiKeyを 選 択 YubiKey 認 証 2015/6/12(Fri) 23
まとめと 要 望 まとめ ID パスワード 認 証 は 危 険 多 要 素 認 証 への 移 行 が 必 須 Shibbolethではクライアント 証 明 書 認 証 が 実 装 可 能 UPKIパスにより Felicaでのクライアント 証 明 書 認 証 が 実 現 可 能 金 大 では 多 要 素 認 証 方 式 としてtiqr 認 証 YubiKey 認 証 UPKIパスを 利 用 したクライアント 証 明 書 認 証 を 導 入 予 定 要 望 クライアント 証 明 書 は3 年 後 も 安 く 提 供 してほしい もっと 証 明 書 の 有 効 期 間 を 長 く 設 定 できるようにしてほしい 2015/6/12(Fri) 24