リスト型攻撃にどう対応する リスト型攻撃 リストに書かれたIDとパスワー ドのペアで様々なサイトに不不正アクセスを試み る 利利 用者は通常2,3個の パスワードを使い回 している 一つのサイトが破ら れると多くのサイト に影響がでる 2015/1/22号の日経コンピュータより - 2- Copyr

クラウドセキュリティはこう守る

〜～

PマークやISMSに対応したシングルサインオンの有るべき姿〜～

平成27年年1⽉月29⽇日

株式会社ビーエスピー

Be.Cloudプロジェクト 　

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

• 

リスト型攻撃（リストに書かれたIDとパスワー

ドのペアで様々なサイトに不不正アクセスを試み

る）  

リスト型攻撃にどう対応する？

-­‐2-­‐  

2015/1/22号の日経コンピュータより

• 

利利⽤用者は通常2,3個の

パスワードを使い回

している  

• 

⼀一つのサイトが破ら

れると多くのサイト

に影響がでる  

• 

IDCの最新のレポートによると、2018年年にはクラウド

のIT投資が$127.5Bとなり、

オンプレへのIT投資と

逆転する

。

今後3年年間の市場環境・経営環境認識識

• 

クラウドのIT投資のうち

70%がSaaSである

。こ

れは顧客の要求がアプリ

ケーションレベルである

為である。

• 

クラウドサービスのマー

ケットはInnovation  

Stageに⼊入った。新しい

サービスが爆発的に増加

し、

既存のクラウドの上

に付加価値

を作る。

http://formtek.com/blog/cloud-‐‑‒computing-‐‑‒cloud-‐‑‒spending-‐‑‒to-‐‑‒surpass-‐‑‒onpremise-‐‑‒by-‐‑‒2018/

http://www.idc.com/getdoc.jsp?containerId=prUS25219014

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

セキュリティにおける重要なポイント

4

• 

クラウドの企業利利⽤用では、利利⽤用者（従業員）・サービス事業者・契

約主体である会社の３者が関係するが、認証に関して誰がどこまで

責任を持つべきなのか？

認証は誰が責任を持つか？

• 

ワークスタイルの違いに合わせてクラウドのサービスを利利⽤用する。

従業員がどのサービスを利利⽤用できるかは企業が責任をもって管理理し

なければならない。

認可はOne  Size  Fit  Allという考え⽅方は合わない

• 

_{インターネットにさらされている情報資産を不不正アクセスから守る}

ためには、利利⽤用者全員のセキュリティを⼀一様に確保する必要がある

クラウド契約関係の分類

関係

説明

例例

⼆二者間契約

（pairwise）

利利⽤用者とサービス事業者の間で直

接契約が交わされる形態

インターネットバンキング

仲介契約

（brokered）

利利⽤用者とサービス事業者の間に仲

介者が⼊入り、契約を交わす形態。  

法⼈人が契約し、その社員が利利⽤用す

る場合もここに含める

フレッツ（NTT地域IP網）  

SalesForce

_{等のビジネス⽤用  SaaS}

コミュニティ  

(community)

契約無く、利利⽤用者が無償で提供さ

れるサービスを利利⽤用し、その互い

の発信内容により、利利⽤用者間で信

頼関係が構築される形態

Facebook,TwiDer,  LINE

サービス

利用者

pairwise

サービス

利用者

仲介者

brokered

サービス

利用者

利用者

利用者

community

CEATEC2014でのCBAフロンと連携部会資料より

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

間接認証で企業がセキュリティを強化

-6-

関係

説明

例例

直接認証

（direct）

サービスを提供するシステムが

直接利利⽤用者の本⼈人確認を⾏行行う形

態

⼀一般的なWebシステム

間接認証

（indirect）

第三者（IdP）が認証を⾏行行い、そ

の証明書をサービス事業者

（SP）に渡す形式

SAML,  Kerberos,  PKI

サービ

ス

利用者

direct

利用者

_SP

indirect

IdP

信

頼

利利⽤用者をパス

ワード等で認証

して、その結果

に署名してSPに

渡す

IdP  

の認証結果を

受け取って、

サービスを提供

する

CEATEC2014でのCBAフロンと連携部会資料より

会社が認証に責任をもちクラウドを利利⽤用

• 

「認証」と「サービスの提供」の役割を分離する

• 

会社が認証

(IdP:IDプロバイダ)に責任をもち、クラウド

事業者はサービス

(SP:サービスプロバイダ)に徹する  

• 

ISMSやPマークに準じた運用ができる  

ü 

個人を特定する方法やパスワードポリシー等

ü 

一貫したセキュリティポリシーと

IT統制  

• 

企業が管理する認証

(IdP)とクラウド事業者(SP)は契約

関係だけではなく、

IT上で信頼関係を築く  

• 

企業が管理する属性（役職や権限等）を

SPが受け取り

処理をする

SAML

プロトコルで解決する

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

認可はOne  Size  Fit  Allでは成り⽴立立たない

8

• 

ワークスタイルに合わせたクラウドサービスや社内シス

テムの利用

• 

属性（役職・権限・組織等）は企業が管理・メンテナンス

• 

「利用するデバイス」・「利用する経路（社内

LAN  or  公衆

回線）」・「属性」を使って利用できるサービスにアクセス

制限を設定

デバイス管理理とパーソナライズポータル

不不正アクセスの防⽌止

• 

リスト型攻撃に対応

• 

パスワードの管理を個人に任せない

• 

企業利用のクラウドサービスのパスワードは拡散させ

ない。一カ所の

IdPで管理をして、利用する  

• 

複数の認証を組み合わせる。例：公衆回線経由で入る

場合はワンタイムパスワードを利用する等

シングルサインオンで解決する

ホワイトペーパーのダウンロード：

_{http://www.bsp.jp/products/becloud.html}

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

ポータルソリューション

10

Amazon

Amazon  Web  Services

Enterprise

Application ApplicationEnterprise ･･･

Google

Google  Compute  engine

Enterprise

Application ApplicationEnterprise ･･･

様々なSaaS  

モバイル

モバイル

モバイル

仮想環境

Application ApplicationEnterprise ･･･

ブラウザ

役職や職務権限により

アクセス制御

企業内システム

BYOD

対応

・社内外のシステムを統合するポータル

・マルチデバイス・マルチクラウド対応のポータル

・シングルサインオン機能

・役職や職務権限に応じてアクセス制御をかけることが可能

infoScoopが⽬目指しているのは企業内外の全て

のシステムのフロントエンドになることです。

infoScoop  シングルサインオン  on  Cloud

ポータルに一度ログインするだけで複数の業務アプリケーションを

利用できる

統合的な認証基盤

の構築が

容易

に実現できます！

• 

_{ユーザ課⾦金金や連携システム数の課⾦金金ではなく}

サーバライセンスでの提供。

サーバライ

センス

• 

端末認証、ワンタイムパスワード、電⼦子署名、

マルチレベル認証等

• 

負荷分散、Sorryページ、⼀一括ログアウト等

豊富な拡張

機能

• 

リバースプロキシにより、代⾏行行ログイン機能

•  Basic

認証、フォーム認証、AcKve  Directory等に

対応

既存システ

ムとの連携

• 

クラウドで提供が可能な為、サーバの保守や

セキュリティ監視はお任せ

クラウドで

提供

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

シングルサインオン

infoScoop  SSOを利用したシステム概要

12

利利⽤用者

利利⽤用者

ユーザ

アクセス

AD,  LDAP

クラウド環境

ワークフロー

業務アプリケーション

社内システム

SSOリバースプ

ロキシ

API連携

Google、SFDC、

Office365にSA

_MLでSSO

ID管理理システム

ID管理理者

ガジェットからの

リクエスト

infoScoopで全システムのフロントエンドを実現

プロビジョニング

⼆二要素認証でセキュリティ強化

ユーザID＋OTPでログイン

ワンタイムパスワード

Cookieによる端末認証

infoScoop  

Access  

Manager

ブラウザに永続

Cookieをセット

Cookie+パスワード

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

• 

株式会社ディーコープ  

• 

背景  

• 

社内業務のクラウド化が推進した為ID/パスワード管理理が⼤大変  

• 

システム部にはID/パスワードの問合せが増えた  

• 

SSO

を検討したが、サービス毎に認証⽅方式が違った  

• 

導⼊入ポイント  

• 

最適な認証⽅方式で各サービスを利利⽤用可能  

• 

サービス側の修正なしにSSOが可能  

• 

ポータルと融合させ情報基盤の構築が可能  

• 

効果  

• 

煩雑なID/パスワード管理理から解放された  

• 

ポータル構築をした為、情報へのアクセススピードがUP  

• 

セキュリティ向上とスマートデバイスへの対応  

• 

詳細：hDp://www.beacon-­‐it.co.jp/page.jsp?id=9247  

事例例

14

まとめ

•  これから３年間でクラウドサービスの利用が進み、

セキュリティが課題となる。

•  認証（個人の特定）とシングルサインオンは自社

で運用しなければならない。

•  ワークスタイルに合わせたシステム提供とセキュ

リティの確保が必要（

One Size Fit Allの考え方は

成り立たない）。

•  スマートデバイスの利用がみ、端末の管理が必要

となる。

•  認証・シングルサインオンはクラウドで提供され

Copyright  ©  Beacon  Informa4on  Technology  Inc.  BSP  Incorporated  All  Right  Reserved

₁₆