PowerPoint プレゼンテーション

カンターラ・イニシアティブ・セミナー2011

National Strategy for Trusted Identities

in Cyberspace (NSTIC)

概説

2010年6月3日

株式会社野村総合研究所

ＤＩソリューション事業部

山崎 崇生

〒100-0005

NSTIC？？

NSTIC ＝ ゼロパスワード認証？？

NSTIC ＝ 国がICカードを発行して国民全員に使わせる？？

NSTIC ＝ 対テロ対策として、国が情報を一元管理？？

NSTIC？？

NSTIC ＝ ゼロパスワード認証？？

NSTIC ＝ 国がICカードを発行して国民全員に使わせる？？

NSTIC ＝ 対テロ対策として、国が情報を一元管理？？

目次

1.

Big DataとPersonal Data

2.

トラストとは？

3.

トラストフレームワークとは？

4.

NSTICとは？

5.

NSTICで実現できること

6.

米国以外の動向、関連標準の動向

7.

（ご参考） 次世代OpenID：OpenID Connectについて

Big Data?



McKinsey Global Institute



野村総合研究所 シニアフェロー 村上輝康

“

….

大規模データ処理の世界が今、クラウドコンピューティングの普及とともに

Big Data

として新たな光を当てられよう

としている。その引き金となっているのは、突如出現した、ソシアルメディアのグローバルプラットフォーム上で、高機能

携帯端末を駆使する利用形態の急成長によって生み出される

Big Data

である。

…

期待されるのは

…

公的な大規模

データの利活用の分野である。この分野には、医療分野における

PHR

（パーソナル・ヘルスレコード）や、自動車のプ

ローブ情報や信号情報等を統合する都市交通制御、携帯電話事業におけるモバイル空間統計等、利用可能になれ

ば大きな社会的効用を生み出しそうな公的な情報が多々存在する。この分野の

Big Data

の問題は、複雑な利害関係

ダボス会議（World Economic Forum）



“パーソナルデータ再考”プロジェクト

“Personal data is the newoil of the Internet

and the new currency of the digital world.”

最近、ID連携を必要とするサービスが増えてきた



Google、Yahoo、Facebook、Twitter、MixiなどのIDでサービス

を連携させて、ログインしたりデータ連携させる機会の増加

認証連携（TwitterアカウントでTogetterにログイン）

データ連携（Twitterの情報をTogetterに取り込み）

ユーザ本人の同意

この仕組みをよりセキュリティが要求されるサービスにも利用できないか?

必要なのは「事業者の信頼性」、「データの信頼性」、「ユーザの信頼性」

Togetter

Twitter

IDの管理面倒くさい!

外部のプラットフォー

ムサービスの情報を

活用したい!

API公開しておくか

ら、IDとデータを

使ってサービスどん

どん開発して!

サイバー犯罪は増加の一途



サイバー犯罪は年々増え続けており、市民・国家に与える負の影響も大

きくなっている



2009年の1年間で、インターネット犯罪相談センター（IC3）は336,655件の相談を受けており、1年前に比べて22.3%の増加。

全ての被害額を合計すると5.6億ドルとなっている。（2008年は2.6億ドル）



連邦議会調査サービスによると、2004年時点でサイバー犯罪による経済的ロスは460億ドルと試算されている。



Cyberspace Policy Reviewによると、2008年の知財やデータの窃盗による被害額は1兆ドルにも達すると述べられている。



毎年1,000万のアメリカ人がIdentity窃盗の被害にあっている



Identity Theftの回復（reputation）を行うには130時間かかるといわれている

サイバー犯罪の増加により、市民・民間企業のオンライン利用が萎縮

→オンラインの情報流通が減少

→オンライン経済が縮小

でも単純にオンライン利用を規制したら、もっと経済が萎縮してしまう・・・

必要なのは…



利用者がサービスを「

信頼

して」使える仕組み



事業者が利用者（または他の事業者）を

信頼

してサービスを

提供できる仕組み

この「仕組み」（

トラストフレームワーク

）を

国家レベルで、持続可能な形で実現するための戦略

NSTIC

従来のモデル

• 事業者同士が

個別に信頼関係

を結ぶ必要が

あるため、様々な課題が存在

• 信頼関係を結ぶ度に毎回事業者間の交渉が必

要となるため、コストと時間がかかる

• 結果的にスケーラビリティに限界がある（参加す

る事業者を爆発的に増やすことができない）

OITF（Open Identity Trust Framework）モデル

• ポリシー立案者（Policymaker）

の認定をうけた

「信頼フレームワーク提供

者（Trust Framework Provider; TFP）」

が、各事業者を認定するモデル

• 事業者はTFPの認定のみを受けるだけで済むようになり、コストと時間が大幅

に短縮され、その結果スケーラビリティが向上する

• ポリシー立案者は複数のTFPを認定することで、TFP同士の競争を発生させ、

市場原理によるサービス向上が期待できる

• OIXはこのTFP業務を行う企業・団体のひとつとなる

• 独占的なものではなく、他にも「カンターラ・イニシアチブ」等のTFP団体がある

※ 図は OIXのWebサイトより引用

ポリシー立案者

U.S. GSA ICAM

ID受入サイト

NIH（国立衛生研究所）

NLM（国立医学図書館）

LOC（米国議会図書館）

・・・

信頼フレーム

ワーク提供者

OIX

Kantara

ID発行サイト

Google

PayPal

Equifax

VeriSign

Verizon

・・・

認定検査人

ID発行サイト

ID受入サイト

トラストフレームワーク？

Open Identity Trust Frameworkのスキーム

ポリシーメーカー

Trust Framework

Provider（TFP）

Identity Service

Provider（IdP）

Relying Party

（RP）

認定監査人

利用者

認定

認定

監査

サービス

利用申請

サービス提供

サービス

利用申請

サービス提供

データ連携

契約

契約

監査



OITFは、「IdPとRPの信頼関係締結のコストをTFPが仲介することで軽減し、さらにTFPが認定した認定検査

人が、IdPとRPの組織の信頼性や業務・システム・技術の信頼性をチェックする枠組み」

ＯＩＴＦ

JASモデル ≒ トラストフレームワーク

生産農家

(農産物)

登録申請

登録

※JAS法17条の2の基準に基づき判断

申請

申請

認定・調査

格付

認定・調査

格付

製造業者

(加工食品)

登録認定機関(NPO、財団等を含む法人)

農林水産大臣

小売業者

消費者

検査(調査)機関

独立行政法人 農林水産消費安全技術センター

有機食品認定制度

※認定の技術的基準に関する

農水省告示に基づき認定

※自ら生産した農産物、製造した加工食品を格

付するもの。告示の認定基準において、格付

規程の具備を明記

米国政府のサイバースペースに関する戦略

e-Goverment Act

Open Government

_Directive

Cyberspace Policy

Review

National Strategy

for Trusted Identity

in Cyberspace

International Strategy

for Trusted Identity in

Cyberspace???

International Strategy

for Cyberspace

2002

・・・

2009

・・・

2011

Open Identity Trust

Framework

NIST SP 800 63

OMB M-04-04

HSPD12 /

Fed-PKI / PIV

NSTICとそのビジョンを実現するIdentity Ecosystem

信頼できるアイデンティティに紐付き、安全に個人データが流れるように

なれば、飛躍的にインターネット経済が拡大する

個人や組織が

“セキュアで”、“効率的で”、“簡単で”、“相互運用性がある”

アイデンティティソリューションを利用して、

“信頼性”、“プライバシー”、“選択”、“イノベーション”

を促進するような形でオンラインサービスにアクセスできる

NSTICのビジョン

このビジョンを持続的な形で実現したものが、ユーザー中心の

”Identity Ecosystem”

Identity Ecosystemとトラストフレームワークの関係

NSTIC

トラストフレームワークのベースラインとしてのIdentity Ecosystem Frameworkの推進

政府や民間事業者に対するビジョンと、それに向けた政府の主な今後のアクション

Steering

group

実現する未来の例＃１ サービスにあったクレデンシャルの選択

Subject

ID Provider

サービスに応じて

ID・クレデンシャルを使い分け

銀行

大学

メール

SNS

料金支払

医療

実現する未来の例＃２ 必要な資格情報のみ提供

Subject

Attribute Provider

Relying Party

匿名での利用

（利用資格のみ証明）

学校

１２歳～１７歳の証明

子供向けチャットルーム

実現する未来の例＃３

ID Provider &

Attribute Provider

資格に応じた情報提供

Subject

_{Relying Party}

病院、警察など

クレデンシャル

医師資格、専門性

災害緊急ポータル

IDソリューションに求められる要件

１．プライバシー保護と参加の自由

Privacy-Enhancing and Voluntary

２．セキュアで回復力があること

Secure and Resilient

３．相互運用性があること

Interoperable

４．安価で簡単に使えること

Fair Information Practice Principles (FIPPs)の８箇条

(DHS version)

1.透明性 Transparency

2.個人の参画 Individual Participation

3.目的の特定 Purpose Specification

4.データの最小化 Data Minimization

5.利用の制限 Use Limitation

6.データの品質と完全性 Data Quality and Integrity

7.セキュリティ Security

Identity Ecosystemを実現するための政府・民間の役割



民間の役割



各役割への参画（IdP、RP、AP…）



Identity Ecosystemのデザインと運営におけるリーダーシップ



政府の役割



民間セクターがIdentity Ecosystemを採用・参画するようサポート



個人の権利保護の観点からの主張



国際パートナーの協力取り付け

Identity Ecosystemのベネフィット

個人にとってのベネフィット

便利

オンライン作業時間が節約でき、生産性が向上する。たくさんのIDやパスワードを管理せずとも簡単にサービスにアクセスで

_きる。

プライバシー

オンライントランザクションに必要な情報以外収集されない。オンラインでの様々な活動を紐づけられることも防ぐ。

セキュリティ

セキュリティ標準に従った安全な技術の利用と、必要な情報のみトランザクションで利用するように制限することで、データ暴

_{露の危険性が低くなる}

民間セクターにとってのベネフィット

政府にとってのベネフィット

イノベーション

複数の事業者がつながりやすくなることで、新しいサービスが生まれる。また、医療や金融などの、いわゆる高リスクな分野

_{のオンライン活用が用意となることで、革新的なサービスが誕生する}

効率性

個人のオンライン利用のハードルが下がること、オンラインに関する信頼性が高まることで、潜在顧客が増え、生産性があが

り、コストが削減できる。また、紙ベースのプロセスや、アカウント管理に関わるヘルプデスクコストを削減すると同時に、オン

ライン詐欺やID窃盗などの被害も減らすことができる

信頼性

Identity Ecosystemに参画することで、プライバシーとセキュリティの標準を守っていることが証明できるため、顧客からの信

_{頼を得ることができると同時に、ブランドイメージの向上、維持につながる}

国民の満足

Identity Ecosystemにより電子行政が広がり、行政の効率性、透明性が向上する。また、行政機関内のサービスがより効率

_{的に連携することができ、国民にとって使いやすい行政サービスを提供できる}

経済成長

政府がIdentity Ecosystemをサポートすることで、市場に革新をもたらし、新しいビジネスの機会を生み出すことができる

公共の安全

オンラインのセキュリティを向上することで、サイバー犯罪を減らし、結果として全体的な消費者の満足度を向上することがで

きる。また、オンライントラストを増大することは、国家的な緊急事態の際により効率的に対応するための基盤を提供すること

につながっていく。

米国以外のトラストフレームワーク採用の動き



ダボス会議



“パーソナルデータ利活用”プロジェクト

“Personal data is the newoil of the Internet

and the new currency of the digital world.”



他のID先進国



カナダ、オランダ、オーストリア、NZ、…



次期国民ID制度として、検討を開始?



ISO / ITU-T



ISO 29115 / x.eaa



x.oitf



学認 / InCommons / NORDUnet…

NSTIC・OITF関連の動向

ITU-T X.OITF

2014Completion

ISO29115/X.EAA

CD6（Committee Draft v6）

Kantara・OIX Trust framework meta model WG

Kantara-IAF Attributes Assurance model

Working Together

Design Criteria

Easy Things Easy

Harder Things Possible

Modular Design

Easy Things Easy

Standard UserInfo for

Simple “Connect” Ability

Designed to Work Well on

Mobile Phones

Harder Things Possible

Range of Security

Profiles

Claims Aggregation

Distributed Claims

Range of Security Profiles

LoA1

LoA2

LoA3

LoA4

OpenID Connect Framework

Claims Aggregation

Data

Source

Data

Source

IdP

Relying

Party

Signed Claims

Distributed Claims

Data

Source

Data

Source

Data

Source

IdP

Relying

Party

Permission

Signed Claims

Use of Summits



Munich: Discuss progress, specs – gather input



Colorado: Interop work – potentially in cooperation

with OSIS



Tokyo: Test implementations; learn from

implementation and deployment experiences



London: Discuss progress, specs – gather input



Nov IIW: Spec refinement and/or finalization