トラストフレームワーク

IdPとSPの間に事前の信頼関係の構築が必要であることを1.1.5節で述べた．IdPやSP の数が増えればこうした信頼関係確立コストが課題となるため，一定のポリシに準拠する IdPやSPによって構成されるトラストフレームワークという組織を形成することで効率化 することができる．

(1) Open Identity Trust Framework Model

トラストフレームワークを示す典型的なモデルとして，Open Identity Trust Framework (OITF) Model[49]が知られている．これは，IdPやSPがオープンにフェデレーションできる ようにすることを目的に，OpenID Foundation (OIDF)およびInformation Card Foundation

(ICF)によって開発されたモデルである．OITF Modelの概要を図2.5に示す．従来のフェ

デレーションが，IdPとSPが直接連携する，いわゆるトライアングルモデルだったのに対 して，OITF Modelでは，IdPおよびSPはTrust Framework Provider (TFP)と呼ばれる 組織を介して契約を結ぶ．TFPは，ポリシーメーカーが策定したポリシーに基づいて運営 され，契約によってこのポリシーをIdPおよびSPにも遵守させる．IdPおよびSPがポリ シーを継続的に遵守していることを確認するために，TFPは査定人(Asseessor)と契約を結 んで定期的にIdPおよびSPの査定を行う．この査定人に対する要件もまたポリシーで定め られる．このように，複数のIdPおよびSPが遵守可能なポリシーを策定し，これを遵守す るフレームワークを整備することによって，IdPとSPの信頼関係をスケールさせることが 容易になる．

(2) 学術認証フェデレーション

SAMLベースのフェデレーションでは，参加する全てのIdPおよびSPの証明書を含んだ メタデータと呼ばれるXMLファイルを，全てのIdPおよびSPで共有する．IdPおよびSP は，メタデータに署名するフェデレーション証明書を信頼するだけで，全てのIdPおよび SPと信頼関係の確立が可能となる．実際に運用するには，ポリシーの策定，IdPやSPがポ リシーに準拠していることの継続的な査定，増減するIdPおよびSPの情報のメタデータへ の反映，メタデータを公開するリポジトリの運用などを行う，フェデレーション運営組織が 必要になり，これは前述のOITFモデルで言うところのTFPに相当する組織と言える．

表2.1: 潜在的な被害と影響[35]

Low Moderate High

不 便 ，苦 痛 も し く は 地 位 や 評 判 に 対する打撃

短期間における限定し た損害

短期間における深刻 な損害，あるいは長期 間における限定した 損害

長期間における深刻 あるいは非常に厳し い侵害

財 務 上 の 損 失 ま た は 政 府 機 関 の 賠 償責任

あまり重要でない，取る にたらない回復不可能 な金銭的ロスあるいは 組織の責務

深刻な回復不可能な 金銭的ロスあるいは 組織の責務

非常に厳しいまたは 壊滅的な金銭的ロス あるいは組織の責務 組 織 お よ び

そ の 活 動 計 画 ま た は 公 共 の 利 益 に 対する害

組織運用や資産，公益に 対して限定されている 逆の効果の波及

組織運用や資産，公益 に対して深刻な逆の 効果の波及

非常に厳しいまたは 壊滅的な逆の効果の 波及

機 密 情 報 の 無許可公開

影響度の低い機密性損 失における個人的，米国 政府機密，商業上の機密 情報の未許可組織への 開示

影響度が中程度の機 密性損失における個 人的，米国政府機密，

商業上の機密情報の 未許可組織への開示

影響度の高い機密性 損失における個人的，

米国政府機密，商業上 の機密情報の未許可 組織への開示

身の安全 医療措置を必要としな い傷害

たいしたことのない 傷害の中程度のリス ク，あるいは医療措置 を必要とする限定し たリスク

深刻な障害あるいは 死のリスク

民 事 上 ま た は 刑 事 上 の 法律違反

民事上あるいは刑事上 の違反

法執行をうける民事 上あるいは刑事上違 反のリスク

法執行計画において 非常に重要な民事上 あるいは刑事上違反 のリスク

表 2.2: 潜在的な被害と保証レベルのマッピング ([35]Table 1より)

認証エラーによる潜在的な影響のカテゴリ 保証レベル

1 2 3 4

不便，苦痛もしくは地位や評判に対する打撃 Low Mod Mod High 財務上の損失または政府機関の賠償責任 Low Mod Mod High 組織およびその活動計画または公共の利益に対する害 N/A Low Mod High 機密情報の無許可公開 N/A Low Mod High

身の安全 N/A N/A Low High

Mod 民事上または刑事上の法律違反 N/A Low Mod High

Policymakers

Trust Framework Provider Identity

Provider Service

Provider Fram

S

TFP䛸䛾ዎ⣙(ᢏ⾡䞉㐠⏝䞉ἲไᗘ)

䛭䛾௚䛾ዎ⣙

Auditor

図2.5: Open Identity Trust Framework Model[49]

2005年頃から，世界各国の学術コミュニティでShibbolethを利用した認証フェデレーショ ンの構築が進み，2011年1月時点で日欧米を中心とした約25カ国で運用が行われている [3, 8]．特に，米国のInCommon，英国のThe UK Access Management Federation，スイ スのSWITCHaaiにおいて様々な連携が行われている[9, 18, 15]．国内においては国立情報 学研究所が運営する学術認証フェデレーション「学認」があり[75, 105, 68]，各大学でも導 入が進められている[71, 93, 89]．