クラウドセキュリティはこう守る
〜~
PマークやISMSに対応したシングルサインオンの有るべき姿〜~
平成27年年1⽉月29⽇日
株式会社ビーエスピー
Be.Cloudプロジェクト
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
•
リスト型攻撃(リストに書かれたIDとパスワー
ドのペアで様々なサイトに不不正アクセスを試み
る)
リスト型攻撃にどう対応する?
-‐2-‐
2015/1/22号の日経コンピュータより
•
利利⽤用者は通常2,3個の
パスワードを使い回
している
•
⼀一つのサイトが破ら
れると多くのサイト
に影響がでる
•
IDCの最新のレポートによると、2018年年にはクラウド
のIT投資が$127.5Bとなり、
オンプレへのIT投資と
逆転する
。
今後3年年間の市場環境・経営環境認識識
•
クラウドのIT投資のうち
70%がSaaSである
。こ
れは顧客の要求がアプリ
ケーションレベルである
為である。
•
クラウドサービスのマー
ケットはInnovation
Stageに⼊入った。新しい
サービスが爆発的に増加
し、
既存のクラウドの上
に付加価値
を作る。
http://formtek.com/blog/cloud-‐‑‒computing-‐‑‒cloud-‐‑‒spending-‐‑‒to-‐‑‒surpass-‐‑‒onpremise-‐‑‒by-‐‑‒2018/
http://www.idc.com/getdoc.jsp?containerId=prUS25219014
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
セキュリティにおける重要なポイント
4
•
クラウドの企業利利⽤用では、利利⽤用者(従業員)・サービス事業者・契
約主体である会社の3者が関係するが、認証に関して誰がどこまで
責任を持つべきなのか?
認証は誰が責任を持つか?
•
ワークスタイルの違いに合わせてクラウドのサービスを利利⽤用する。
従業員がどのサービスを利利⽤用できるかは企業が責任をもって管理理し
なければならない。
認可はOne Size Fit Allという考え⽅方は合わない
•
インターネットにさらされている情報資産を不不正アクセスから守る
ためには、利利⽤用者全員のセキュリティを⼀一様に確保する必要がある
クラウド契約関係の分類
関係
説明
例例
⼆二者間契約
(pairwise)
利利⽤用者とサービス事業者の間で直
接契約が交わされる形態
インターネットバンキング
仲介契約
(brokered)
利利⽤用者とサービス事業者の間に仲
介者が⼊入り、契約を交わす形態。
法⼈人が契約し、その社員が利利⽤用す
る場合もここに含める
フレッツ(NTT地域IP網)
SalesForce
等のビジネス⽤用 SaaS
コミュニティ
(community)
契約無く、利利⽤用者が無償で提供さ
れるサービスを利利⽤用し、その互い
の発信内容により、利利⽤用者間で信
頼関係が構築される形態
Facebook,TwiDer, LINE
サービス
利用者
pairwise
サービス
利用者
仲介者
brokered
サービス
利用者
利用者
利用者
community
CEATEC2014でのCBAフロンと連携部会資料より
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
間接認証で企業がセキュリティを強化
-6-
関係
説明
例例
直接認証
(direct)
サービスを提供するシステムが
直接利利⽤用者の本⼈人確認を⾏行行う形
態
⼀一般的なWebシステム
間接認証
(indirect)
第三者(IdP)が認証を⾏行行い、そ
の証明書をサービス事業者
(SP)に渡す形式
SAML, Kerberos, PKI
サービ
ス
利用者
direct
利用者
SP
indirect
IdP
信
頼
利利⽤用者をパス
ワード等で認証
して、その結果
に署名してSPに
渡す
IdP
の認証結果を
受け取って、
サービスを提供
する
CEATEC2014でのCBAフロンと連携部会資料より
会社が認証に責任をもちクラウドを利利⽤用
•
「認証」と「サービスの提供」の役割を分離する
•
会社が認証
(IdP:IDプロバイダ)に責任をもち、クラウド
事業者はサービス
(SP:サービスプロバイダ)に徹する
•
ISMSやPマークに準じた運用ができる
ü
個人を特定する方法やパスワードポリシー等
ü
一貫したセキュリティポリシーと
IT統制
•
企業が管理する認証
(IdP)とクラウド事業者(SP)は契約
関係だけではなく、
IT上で信頼関係を築く
•
企業が管理する属性(役職や権限等)を
SPが受け取り
処理をする
SAML
プロトコルで解決する
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
認可はOne Size Fit Allでは成り⽴立立たない
8
•
ワークスタイルに合わせたクラウドサービスや社内シス
テムの利用
•
属性(役職・権限・組織等)は企業が管理・メンテナンス
•
「利用するデバイス」・「利用する経路(社内
LAN or 公衆
回線)」・「属性」を使って利用できるサービスにアクセス
制限を設定
デバイス管理理とパーソナライズポータル
不不正アクセスの防⽌止
•
リスト型攻撃に対応
•
パスワードの管理を個人に任せない
•
企業利用のクラウドサービスのパスワードは拡散させ
ない。一カ所の
IdPで管理をして、利用する
•
複数の認証を組み合わせる。例:公衆回線経由で入る
場合はワンタイムパスワードを利用する等
シングルサインオンで解決する
ホワイトペーパーのダウンロード:
http://www.bsp.jp/products/becloud.html
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
ポータルソリューション
10
Amazon
Amazon Web Services
Enterprise
Application ApplicationEnterprise ・・・
Google Compute engine
Enterprise
Application ApplicationEnterprise ・・・
様々なSaaS
モバイル
CIOモバイル
営業本部⻑⾧長 ⼀一般モバイル
仮想環境
EnterpriseApplication ApplicationEnterprise ・・・
ブラウザ
役職や職務権限により
アクセス制御
企業内システム
BYOD
対応
・社内外のシステムを統合するポータル
・マルチデバイス・マルチクラウド対応のポータル
・シングルサインオン機能
・役職や職務権限に応じてアクセス制御をかけることが可能
infoScoopが⽬目指しているのは企業内外の全て
のシステムのフロントエンドになることです。
infoScoop シングルサインオン on Cloud
ポータルに一度ログインするだけで複数の業務アプリケーションを
利用できる
統合的な認証基盤
の構築が
容易
に実現できます!
•
ユーザ課⾦金金や連携システム数の課⾦金金ではなく
サーバライセンスでの提供。
サーバライ
センス
•
端末認証、ワンタイムパスワード、電⼦子署名、
マルチレベル認証等
•
負荷分散、Sorryページ、⼀一括ログアウト等
豊富な拡張
機能
•
リバースプロキシにより、代⾏行行ログイン機能
• Basic
認証、フォーム認証、AcKve Directory等に
対応
既存システ
ムとの連携
•
クラウドで提供が可能な為、サーバの保守や
セキュリティ監視はお任せ
クラウドで
提供
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
シングルサインオン
infoScoop SSOを利用したシステム概要
12
利利⽤用者
利利⽤用者
ユーザ
アクセス
スマート デバイス ログインAD, LDAP
クラウド環境
ワークフロー
業務アプリケーション
社内システム
SSOリバースプ
ロキシ
API連携
Google、SFDC、
Office365にSA
MLでSSO
ID管理理システム
ID管理理者
ガジェットからの
リクエスト
infoScoopで全システムのフロントエンドを実現
プロビジョニング
⼆二要素認証でセキュリティ強化
ユーザID+OTPでログイン
ワンタイムパスワード
Cookieによる端末認証
infoScoop
Access
Manager
ブラウザに永続
Cookieをセット
Cookie+パスワード
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved
•
株式会社ディーコープ
•
背景
•
社内業務のクラウド化が推進した為ID/パスワード管理理が⼤大変
•
システム部にはID/パスワードの問合せが増えた
•
SSO
を検討したが、サービス毎に認証⽅方式が違った
•
導⼊入ポイント
•
最適な認証⽅方式で各サービスを利利⽤用可能
•
サービス側の修正なしにSSOが可能
•
ポータルと融合させ情報基盤の構築が可能
•
効果
•
煩雑なID/パスワード管理理から解放された
•
ポータル構築をした為、情報へのアクセススピードがUP
•
セキュリティ向上とスマートデバイスへの対応
•
詳細:hDp://www.beacon-‐it.co.jp/page.jsp?id=9247
事例例
14
まとめ
• これから3年間でクラウドサービスの利用が進み、
セキュリティが課題となる。
• 認証(個人の特定)とシングルサインオンは自社
で運用しなければならない。
• ワークスタイルに合わせたシステム提供とセキュ
リティの確保が必要(
One Size Fit Allの考え方は
成り立たない)。
• スマートデバイスの利用がみ、端末の管理が必要
となる。
• 認証・シングルサインオンはクラウドで提供され
Copyright © Beacon Informa4on Technology Inc. BSP Incorporated All Right Reserved