ID 管理基盤と属性交換の 現在と今後 2013 年 8 月 29 日 広島大学 東京電機大学助教柿崎淑郎

ID管理基盤と属性交換の

現在と今後

2013年8月29日

NSIW@広島大学

アウトライン

•属性情報ってどんなもの？

▪共通番号制度

▪属性プロバイダ

•ID管理技術

▪SAML/Shibboleth（学認）

▪OpenID Connect

•最近の動向

▪UMA

▪情報銀行

本人認証と属性認証

•本人認証

• Authentication

• 被認証者が確かに本人であるか

どうかを確認

•属性認証

• Authorization

• 被認証者が権限を持っているか

どうかを確認

3

SP

IdP

本人認証

_の結果

属性認証

AP

の結果

私はボブです！

証拠はこれです！

・知っていること パスワードなど ・持っているもの 鍵，トークンなど ・持っている特徴 指紋などの生体情報

識別子

資格

アリス

一般会員

ボブ

一般会員

キャロル 学生会員

デイブ

特別会員

本人認証に使われるもの

•知っていること (Something You Know)

▪パスワード，暗証番号など

•持っているもの (Something You Have)

▪IDカード，鍵，ハードウェアトークンなど

•持っている特徴 (Something You Are)

属性情報ってどんなもの？

属性情報とアイデンティティ

•識別子

▪アイデンティティを識別するための情報

▪例）アカウント名，メールアドレス，社員番号

•クレデンシャル

▪ある情報内容の正当性を示すための情報

▪例）パスワード，IDカード

•属性

▪アイデンティティを特徴付ける情報

▪例）氏名，住所，生年月日，所属，役職，人間関係

属性情報の分類

• 時間経過に伴って変化するかどうか

▪先天的に変化しない（生年月日，生体情報など）

▪後天的に付加されるが変化しない（学歴，職歴など）

▪時間的にあまり変化しない（資格，免許，住所など）

▪時間的に変化しやすい（所属，職責，資産など）

• 信頼できるかどうか

▪公に通用する（住基情報，資格，免許など）

▪あるコミュニティ内でのみ通用する（職責，会員資格など）

• 知られてもよいかどうか

▪知られてもよい（名前，資格，免許など）

▪知られたくない（医療情報，成績，資産など）

• 必要かどうか

▪一般的に共通（一次属性情報：氏名，住所，性別，生年月日）

▪サービスを利用する上で必要（二次属性情報）

▪サービスを利用する上で必要としない（非属性情報）

7

http://www.jipdec.or.jp/archives/ecom/results/h16seika/h16results-08.pdf

属性情報の信頼性

検証された(Verified)

属性情報

権威ある源泉からの属性と

検証された属性

9

市区町村役所

住民票

免許証

レンタルビデオ店

_{公安委員会}

都道府県

権威ある源泉からの属性

氏名，生年月日，性別，

住所，本籍地

検証された属性

氏名，生年月日，住所

権威ある源泉からの属性

市区町村役所

レンタルビデオ店

_会員証明

_{公安委員会}

都道府県

運転免許証番号

氏名，住所

生年月日

性別，本籍

△△銀行

IPA

_{技術者試験}

情報処理

○○大学

学籍情報

預金情報

資産情報

学認が扱う属性（一部省略）

属性名

内容

mail

メールアドレス

sn

姓

o

組織名

ou

組織内所属名称

givenName

名

displayName

表示名

eduPersonAffiliation

職種

eduPersonPrincipalName

フェデレーション内共通識別子

eduPersonEntitlement

資格

eduPersonScopedAffiliation

組織内職種

eduPersonTargetedID

フェデレーション内匿名識別子

11

ここが”student”

であれば「学生」

https://www.gakunin.jp/docs/fed/technical/attribute

属性値のみの場合

学生は大盛り無料！

あつもりできます

麺々亭

属性値と発行元の組み合わせ

13

学生・教職員以外の

立ち入りはお断りしています

広島大学

o=Hiroshima University &&

属性の組み合わせによる個人特定

男性

東京在住

大学教員

セキュリティ

業界

k-匿名性

15

http://eprints.lib.hokudai.ac.jp/dspace/handle/2115/48479

k-匿名性

l-多様性

32歳の男性 鈴木がこのデータベースに入っ

ていることを知っている。 鈴木のレコードは

一意に特定できなくなった。(k=2) ただ，鈴

木の趣味は映画だな。（L=1)

32歳の男性 鈴木がこのデータベースに入っ

ていることを知っている。 とすると，鈴木の

レコードは一意に特定することができる。

(k=1) 鈴木の趣味は映画で年収は600万だな。

氏名 電話番号 年齢 性別 趣味 疾患 年収 山田 03-... 42 男 車 糖尿病 500 鈴木 048- 32 男 映画 糖尿病 600 小林 03-... 34 男 映画 糖尿病 620 田中 03-... 41 男 旅行 糖尿病 600 山本 03-... 42 男 旅行 なし 450 佐藤 03-... 28 女 旅行 糖尿病 700 井上 03-... 24 女 旅行 糖尿病 600 氏名 電話番号 年齢 性別 趣味 疾患 年収 山田 _{03-... 42 男} 車 糖尿病 ₅₀₀ 鈴木 _{048- 32 男} 映画 糖尿病 ₆₀₀ 小林 _{03-... 34 男} 映画 糖尿病 ₆₂₀ 田中 03-... 41 男 旅行 糖尿病 600 山本 03-... 42 男 旅行 なし 450 佐藤 03-... 28 女 旅行 糖尿病 700 井上 03-... 24 女 旅行 糖尿病 600 氏名 電話番号 年齢 性別 趣味 疾患 年収 山田 03-... 40代 男 車 糖尿病 500 鈴木 048- 30代 男 映画 糖尿病 600 小林 03-... 30代 男 映画 糖尿病 620 田中 03-... 40代 男 旅行 糖尿病 600 山本 03-... 40代 男 旅行 なし 450 佐藤 03-... 20代 女 旅行 糖尿病 700 井上 03-... 20代 女 旅行 糖尿病 600 氏名 電話番号 年齢 性別 趣味 疾患 年収 山田 03-... 30代以上 男 車 糖尿病 500 鈴木 048- 30代以上 男 映画 糖尿病 600 小林 03-... 30代以上 男 映画 糖尿病 620 田中 03-... 30代以上 男 旅行 糖尿病 600 山本 _03-... 30代以上 男 旅行 なし 450 佐藤 _03-... 20代 女 旅行 糖尿病 700 井上 _03-... 20代 女 旅行 糖尿病 600

単純

匿名化

k-匿名化

l-多様化

基本四情報

•住基ネット上に保有される情報

（個人を特定するための情報）

▪住民票コード

▪基本4情報

►

氏名

►

生年月日

►

性別

►

住所

▪変更情報

►

変更年月日と変更理由

キラキラネーム

17

ライト

月

タイガ

大虎

レイン

怜音

ラム

来夢

モカ

萌香

ノンノ

眠音

ティナ

天響

ルウク

琉宇九

コナン

琥南

キラ

煌羅

ノア

音彩

ウララ

羽星

番号法

•行政手続における特定の個人を識別するための

番号の利用等に関する法律

▪2013年5月31日公布

▪2015年 番号配布，2016年 マイポータル運用開始

•個人番号カード

▪希望者に発行されるICカード

▪券面記載事項

►

氏名，住所，生年月日，性別，

個人番号

，

本人の写真

等

▪通知カードは4情報と個人番号のみ

19

http://www.cas.go.jp/jp/seisaku/bangoseido/

番号制度

21

属性プロバイダ

23

SAML

• Security Assertion Markup Language

▪アイデンティティ情報を安全に流通させるための仕様

▪OASIS標準

• Single Sign-Onの実現

• セキュアな情報交換

▪IdP-SP間での安全な属性交換

• Circle of Trust

▪事業者間合意による

事前信頼

25

http://saml.xml.org/saml-specifications

学認/Shibboleth

•学認（学術認証フェデレーション）

▪ShibbolethとPKIを利用したフェデレーション

▪SSOによる学術機関の連携

学認/Shibboleth

27

学認/SITF

•Student Identity Trust Framework

▪2012年3月5日 NIIとOIDF-Jが共同発表

▪オンラインでパーソナルデータを

認定された事業者の間

で

利用者本人の同意に基づき

安全に流通させる信頼構築の枠組み

•学認がTFP (Trust Framework Provider) となることで

学認加盟の大学IdPの情報を流通させる

▪大学IdPが「学生」であることを保証する

►

信頼された（検証された）「学生」属性の流通

►

「学生」属性を個人に付与できるのは

大学IdPだけ

学認/SITF

29

AP

IdP

①

RP/SP

②

③

http://www.nii.ac.jp/news/2011/0305/

OMB M-04-04

E-Authentication Guidance for Federal Agencies

• 連邦政府機関向けの電子認証にかかわるガイダンス

–身元の認証：個人固有の身元の確認

–属性の認証：個人が特定のグループに属することの確認

• 4つの保証レベル：主張された識別情報の有効性

–レベル1：ほぼ，あるいはまったく信頼性がない

•

オンラインディスカッションなど

–レベル2：ある程度の信頼性がある

•

社会保障サービスでの住所変更手続きなど

–レベル3：高い信頼性がある

弁理士による特許電子出願など

–レベル4：きわめて高い信頼性がある

•

捜査当局の犯罪歴DBアクセスなど

31

http://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf

NIST SP800-63

Electronic Authentication Guideline

•電子的認証に関するガイドライン

•Level1

▪本人確認を要求しない

•Level2

▪識別のための情報の提示が要求される

•Level3

▪識別のための情報の検証が要求される

•Level4

▪対面による本人確認が要求される

OIX LoA1

33

LoA1: Little or no confidence in the asserted identity’s validity.

LoA2: Some confidence in the asserted identity’s validity.

LoA3: High confidence in the asserted identity’s validity.

LoA4: Very high confidence in the asserted identity’s validity.

OpenID Connect

•OpenIDの次期バージョン

•OAuth2.0準拠の情報交換フレームワーク

▪実装の負担が軽減

•IDトークンとアクセストークンの2つを用いる

▪IDトークンによって認証結果を取得する

▪アクセストークンによって属性情報を取得する

•属性情報の取得方法は2種類

▪集約クレーム：外部参照先の属性を含む

▪分散クレーム：外部参照先を含む

•暗号化（JSON Web Encryption: JWE）

•署名（JSON Web Signature: JWS）

OpenID Connect

35

クライアント

認可サーバ

情報保有サーバ

HTTP Request

HTTP Response

6.アクセストークン確認

5.アクセストークン

→ リンクコードB

A

B

C

7. 属性データセット

作成

UserInfo EP

U

3. アクセストークンU

4. Endpoint B + アクセストークンB

内部プロセス

http://www.slideshare.net/nat_sakimura/closing-note

OpenID Connectで使われる属性

属性名

内容

name

表示可能なフルネーム

given_name

ファーストネーム

family_name

ラストネーム

middle_name

ミドルネーム

nickname

ニックネーム

preferred_username

略記名

profile

プロフィール

picture

プロフィール写真

website

Webページまたはブログ

email

Eメールアドレス

gender

性別

Birthdate

生年月日

最近の動向

UMA

User Managed Access

•ユーザが制御するリソースへの認可処理

アリス

情報銀行

•情報提供者

▪個人活動履歴を情報銀行へ蓄積する

•情報利用者

▪個人情報を活用して様々なサービスや研究，統計等へ役

立てる

•情報銀行

▪情報提供者の情報をプライバシに配慮して保管し，情報

利用者からのリクエストに対して，該当するデータを返

答する

39

秋山，山内，柴崎，砂原．DICOMO2013, 8F-1, pp.1953-1957, 2013.

情報銀行

情報銀行内に個人口座を

情報銀行は情報提供者の

個人情報を収集し，安全

に管理する．

個人口座へのアクセス権は口座を開設した

情報提供者のみであり，

e-執事（e-butler）

•ユーザが全ての情報を把握し制御するのは無理！

▪ユーザをサポートするエージェントが必要

•ネット上での活動を総合支援するエージェント

41

共通番号機関 ID連携 属性の行使，サービス享受 ID連携 属性交換 属性 提供機関 _提供機関 属性 属性 提供機関 _提供機関 属性 属性集約 ログイン ユーザ _提供機関 属性 属性 提供機関 _提供機関 サービス 属性 プロバイダ 属性 プロバイダ アイデンティティ プロバイダ e-執事 情報ポータルサイト 連携 連携 柿崎，前田，辻．IPSJ-SIG-IS-124, 2013.