株式会社 オージス総研
テミストラクトソリューション部
千野 修平
不正アクセスからWebを守る
「リスクベース認証」と
「インベントリ認証」
名前
千野 修平
(せんのしゅうへい)
役割
認証技術グループ
主任アーキテクト
好きな技術
認証・IdM (OpenAM,OpenIDM)
Who am I
オージス総研です。
代表者:
代表取締役社長 西岡 信也
設 立:
1983年6月29日
資本金:
4.4億円
(大阪ガス株式会社100%出資)事業内容:
システム開発、プラットフォームサービス、
コンピュータ機器・ソフトウェアの販売、
コンサルティング、研修・トレーニング
主な事業所
本 社: 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都 港区港南2-15-1 品川インターシティA棟 千里オフィス: 大阪府 豊中市新千里西町1-2-1 名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル売上実績:
582億円
(連結)308億円
(単体) (2014年度)従業員数:
3,126名
(連結)1,279名
(単体)関連会社:
さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、
OGIS International, Inc. 、上海欧計斯軟件有限公司(中国)
オージス総研グループ 売上構成比(連結)
取得許可認定
株式会社オージス総研
ThemiStruct-WAM ThemiStruct-IDM ThemiStruct-CM ThemiStruct-Monitor ThemiStruct-OTP シングルサインオン ID管理 システム監視 OTP 電子証明書発行 テクニカルサポート プロフェッショナルサービス システムインテグレーションサービス
ThemiStructとは?
ThemiStruct(テミストラクト)は、
オージス総研が持つOSS活用の
ノウハウと導入実績に裏打ちされた
統合認証ソリューションです。
テクニカルサポート
• 利用方法などの問合せへの回答
• 障害時の調査、回避策や代替案の提示、復旧
の技術支援
プロフェッショナルサービス
• 要件実現方法の相談、回答
• 概念実証、技術検証の支援
• 自社で実施する開発、構築の技術支援
システムインテグレーションサービス
OpenAM
OpenIDM
EJBCA
F/W is DEAD !
?
なぜ、F/Wは死んだ
とか言うのか?
企業のIT資産を取り巻くリクエストの変化(1)
「クラウド」や「モバイル」が浸透していなかった時代、
IT資産は「
所在が明らか
」で「
限定した場所で使う
」ものだった。
企業のIT資産を取り巻くリクエストの変化(2)
「
デバイスの種類
」が増え、「
システムの置き場所
」が増え、「
アクセス
できる場所
」が増えていった。自ずと、IT資産は
Internet-facing
に。
クラウド
オンプレ
グローバル
スマデバ
在宅
オフィス
企業のIT資産を取り巻くリクエストの変化(3)
クラウド
オンプレ
グローバル
スマデバ
在宅
オフィス
Internet-facing
だけれども、要件を満たしつつ防御するには、F/Wの
制御や、IT資産ごとに設けられた機能だけでは限界がある。
企業のIT資産を取り巻くリクエストの変化(4)
クラウド
オンプレ
グローバル
スマデバ
在宅
オフィス
悪い人に
唆された
攻撃者
被害を被ると、IT投資なんか比較にならないくらいの、コストが発生す
る。
なぜ、死んだ?
1. 最早、あたりまえという風潮
- 今や、社内のシステムをInternet-facingにすることは、ごく普通
のことになってきている。
2. 外に公開するとシステムの価値が上がる
- その価値が企業やサービスの価値や収益を左右するといっても過言
では無い。
• 場所に因われないワークスタイルの確立
• 固定資産(社員向けPCやサーバー)を持たない
• IT資産の利用促進。「良く使われるシステム」へ。
ただし、
防御は考える必要がある
。
- 長年、境界防御の要だったF/Wでは制御できない。
- IT資産ごとにセキュリティを担保するのは、コスト増
になる。
IT資産にどこからでもアクセスしたいニーズ
?
新たな境界を「アイデンティティ」とする風潮
クラウドやモバイルなどの
浸透で、人のシステムの
使い方が変わってきた
企業が長年、「境界」として
位置づけてきたものの
有効性が無くなった。
新しい境界を
人が何者かを示す
↑http://www.atmarkit.co.jp/ait/articles/1505/01/news01 認証を強くできる
1. 多段階で認証する
2. 一時的な認証情報を使う
3. リスクをチェック
4. コールバックで本人確認をする
同じ仕組みに沢山のシステムを
ぶら下げられる
アイデンティティ境界に求められる要件
すべて、認証基盤で実現可能です
認証基盤を「アイデンティティ境界」として使う
認証基盤
認証を
強く出来る
システムを
たくさん
ぶら下げる
認証基盤を「アイデンティティ境界」として使う
認証基盤
認証を
強く出来る
システムを
たくさん
ぶら下げる
Multi-Factor
Authentication
1.Something you know
2.Something you have
3.Something you are
?
ただ強くするだけだと、
認証を強くするのが正義か?
利便性が
損なわれる
IT利用促進を
阻害する
使われない
システムの
誕生
多要素認証は
次のステージへ
something you are
をもっと使う
本日ご紹介のsomething you areを使った認証
リスクベース認証
デバイスID認証
インベントリ認証
1
2
3
?
具体的にどうやるのか?
でやる。
リスクベース認証とは?
- ユーザーの状態(環境情報)や行動パターン
を分析して、リスクを判定したうえで認証を
課す方式。
機能は大きく3つ
1. ユーザーの環境情報を収集して、点数をつけ
る。時には過去の行動パターンと照会する
2. 点数でリスクの有無を判断
3. リスクが高い場合は追加認証をユーザーに課
す
リスクベース認証
要素
例
アクセス元のIP
外出先か?社内か?
User-Agent
ブラウザの種類で制御
アクセス時間
勤務時間内か?
役職
偉い人か?否か?
所属
営業か?経理?情シス?
ユーザーの環境情報
アクセスしてきたユーザーの状態を取得すること
ができ、ポリシーと照らして、点数をつける。
追加の認証を課す
ユーザーが「リスクが有る」と判断されると(ポイ
ントがポリシーより高い場合)追加認証となる
認証連鎖という概念がある
認証連鎖 ~どんな認証をするか?~
▲OTPの設定画面
認証連鎖 ~どんな認証の組み合わせか?~
必要:成功したら連鎖から抜ける。
必須:成功したら次の連鎖に進める
十分:成功したら連鎖から抜ける。
認証連鎖完成図
ID/PW認証:必須
リスク判定:十分
OTP認証:必要
失敗
成功
失敗
成功
失敗
成功
認
証
完
了
認
証
完
了
認
証
失
敗
認
証
失
敗
あのサービスの認証 ~デバイスID認証~
既に、あちこちで使われている
認証方式です。
ワンタイムパスワード
を入力
アクセスしている
ブラウザを覚えさせる
デバイスID認証とは?
ID/PW認証
DeviceID
(Match)
OTP認証
DeviceID
(Save)
Success !
Unmatch !
Match !
Success !
Saved !
ブラウザの種別、
画面サイズ、地
域情報を収集し、
照会する。
なんでもいい
ブラウザ情報を保存す
るか否かを問われる
ThemiStruct-WAMでも実装できます。
記録する情報
- ブラウザのUser Agents
- インストール済みのフォント
- 解像度と色深度
- タイムゾーンかデバイスのジオロケーション
例
- Firefoxでログインした後、Chromeでログイン…
- PCでログインした後、スマホでログイン…
- 東京でログインした後、大阪でログイン…
ぜひ、BtoC向けサイトでご活用下さい
電子証明書認証
電子証明書はコピーされるリスクがある
発行する
アクセス
できる
電子証明書発行
システム
証明書を
アプリケーション
コピーする
アクセス
できてしまう
電子証明書がコピーされて、
想定外の端末にインストールされる
リスクがある。
Something you know
→IDとパスワードを知っている
Something you have
→電子証明書を持っている
Something you are
→会社で許可された端末を使っている
最上級のsomething you areを使った認証
組織によって、確実に許可されたデバイスからのア
クセスに制限したい
インベントリ認証とは?
- ユーザーアクセス時に、ユーザーが使用している端末
の固有情報を用いて認証を行なう機能
応用分野
- ユーザー認証を行なう際に、パスワード + 使用デバ
イスを使った多要素認証を実現する。(証明書認証の
代替)
- 証明書認証を行なう際に、証明書のコピー利用を予防
するために、使用デバイスと証明書の紐付けチェック
を実現する。(証明書認証の強化)
- デバイス内の構成が変更されたことを検出することで、
認証方式を切り替えるリスクベース認証を実現する。
(高度なリスクベース認証の実現)
インベントリ認証
インベントリ認証の流れ
SSO対象アプリ
証明書発行
認証基盤
証
明
書
認
証
ID/
パ
ス
ワ
ー
ド
認
証
イ
ン
ベ
ン
ト
リ
認
証
証明書シリアル番号 & インベントリ情報 証明書シリアル番号 & インベントリ情報 証明書シリアル番号 & インベントリ情報ID/
パ
ス
ワ
ー
ド
認
イ
ン
ベ
ン
ト
リ
情
報
の
要
求
持ってる?
知ってる?
使ってる?
提示された証明書のシリアル
番号とインベントリ情報が一
致しているかどうかを検証
インベントリ認証の流れ
SSO対象アプリ
証明書発行
認証基盤
証
明
書
認
証
ID/
パ
ス
ワ
ー
ド
認
証
イ
ン
ベ
ン
ト
リ
認
証
証明書シリアル番号 & インベントリ情報 証明書シリアル番号 & インベントリ情報 証明書シリアル番号 & インベントリ情報ID/
パ
ス
ワ
ー
ド
認
証
イ
ン
ベ
ン
ト
リ
情
報
の
要
求
持ってる?
知ってる?
使ってる?
提示された証明書のシリアル
番号とインベントリ情報が一
致しているかどうかを検証
発行した証明書と証明書を導入した端末が
ちゃんと紐付いていることを保証する
ID/パスワード
知ってる?
持っている?
証明書
使っている?
正しい端末
結果
◯
◯
◯
◯
×
◯
◯
NG
ユーザーの識別
が出来ない
◯
×
◯
NG
SSL接続の
失敗
◯
◯
×
NG
インベントリ
情報が不正
端末側のエージェントソフトウェア
- クライアント側で動作するOpenID Provider。
- 端末固有の情報を含めた、自己署名のIDトークンを発
行する。
- OpenID Connect Core 1.0のSelf Issued OpenID
Providerの仕様に準拠。
-
http://openid.net/specs/openid-connect-core-1_0.html#SelfIssued
どんな技術使っているの?
宣伝:ID&ITでインベントリー認証デモします。
!
認証基盤を「アイデンティティ境界」として使う
認証基盤
認証を
強く出来る
システムを
たくさん
ぶら下げる
ThemiStruct-WAMの認証連携方式
SAML 1.x/2.0
OAuth 2.0
OpenID
Connect 1.0
Shibboleth
Policy Agent
Reverse Proxy
!
わざわざ認証基盤をたてる理由
①利用者が便利になる
②セキュリティの
ばらつきが無くなる
④認証方式の変更が
やりやすい
認証基盤
① 利用者が便利になる
利用者が複数のID・パスワードを覚える必要がなく、予期せぬ認証失敗や
忘れを予防し負担を軽減できる。
ID・パスワードの統合
アプリケーション毎にログイン認証をすることなく1度の認証でアプリケー
ションへアクセスできる。
シングルサインオン
利用者の作業効率の向上、IT活用の促進に繋がる
結果
② セキュリティレベルのばらつきが無くなる
パスワード変更・パスワード忘れ対応・パスワードポリシーなど、パス
ワードを取り巻く運用を一元的に実施できる。
パスワード運用の徹底
アプリケーションの認証レベル、アクセス制御を一元的に管理でき、セ
キュリティ強度の均一化ができる。
アクセスポリシーの統合
システム、システム開発者に依存したばらつき、
結果
③ システム開発がしやすい
認証経路を集約することでセキュリティ対策を集中的に実行できる。
認証画面の統合
認証セッションの管理を一元化でき、セッションタイムアウト時間を統合
できる。
認証セッションの統合
アプリケーション毎に認証機能を開発する必要がなくなる
結果
④ 認証方式の変更がやりやすい
「知っている情報(ID/パスワードなど)」、「持っている情報(OTPや電
子証明書)」や「アクセス元」の組み合わせでの認証ができる
人・デバイス・ネットワークの認証強化
IPや認証の履歴、アクセス時間・曜日など、アクセス傾向による要素に基
いて、ユーザーに課す認証の種類を変更することができる。
リスク評価での認証
ID/パスワードを使った認証から多要素認証まで、
結果
まとめ
エンタープライズにおけるシステムの利用の仕方に
大きな変革が起こっている
変革から生まれる多様な要求を満たすために
従来の境界型の防御手法では太刀打ち出来ない
新しい境界として「
アイデンティティ
」が注目されている。
アイデンティティ境界
に求められる機能要件の一つ
「
認証強化
」はThemiStruct-WAMで柔軟に実装できる
特に「
something you are
」のポリシーを使った
認証はIT利用を厳密に管理しつつも、利便性を損なわない
MFAだけではなく、認証基盤の導入には
当社
ソリューションの
ご紹介
ThemiStruct(テミストラクト)は統合認証ソリューション 統合認証 ID管理 ライフサイクル管理 認証基盤 多要素認証 シングルサインオン 人の属性・存在を管理 不正IDを残さない ハード・ソフトの違いを超え安全なアクセスを提供
ThemiStruct は統合認証ソリューション
ThemiStruct-WAM
• OpenAM (trunk) がベース
• 専用のインストーラー(Linux、Windows Serverに対
応)
• 当社オリジナルの日本語マニュアル
• スマートデバイスに対応するレスポンシブUI
• パスワード管理強化のためのアドオンモジュール群
• 高度なリスクベース認証を実現するインベントリ認証オ
プション
ThemiStruct-IDM
• OpenIDM (trunk) がベース
• 専用のインストーラー
• 当社オリジナルの日本語マニュアル
• 権限委譲に対応した専用のWebUI (SSI)
• 組織、グループ、ロールの管理
• プロビジョニングのスケジューリング、予約への対応
• ...
ThemiStruct-CM
• EJBCA (Enterprise版) がベース
• 当社オリジナルの日本語マニュアル
• 証明書の一括登録、一括ダウンロード
• 秘密鍵がエクスポートできない証明書発行への対応
• デバイスアクセスコントロールへの対応
• ...
テスト実行 コミット ソースコード管理基盤 開発者 「コンパイル」 開発・修正を行ったソースをコンパイル 「ユニット」 モジュール単位でのテスト 「インスペクション」 可読性やコーディングルール等を数値化し、測定 「デプロイ」 実行環境でデプロイ工程をテスト 「インテグレーション」 実行環境上で各機能の動作を確認 「ロングラン パフォーマンス」 実行環境上で長期稼動、過負荷稼動を確認 「アベイラビリティ」 障害を発生させた状態での稼動確認、復旧テスト 「バルネラビリティ」 既知の脆弱性を含んでいないことを確認 「ライセンスリスク」 ソースコードのライセンスリスクを確認 統合認証ソリューション ThemiStruct テミストラクト リリース
OSSを安心して活用いただくための取り組み
テスト実行 コミット ソースコード管理基盤 開発者 「コンパイル」 開発・修正を行ったソースをコンパイル 「ユニット」 モジュール単位でのテスト 「インスペクション」 可読性やコーディングルール等を数値化し、測定 「デプロイ」 実行環境でデプロイ工程をテスト 「インテグレーション」 実行環境上で各機能の動作を確認 「ロングラン パフォーマンス」 実行環境上で長期稼動、過負荷稼動を確認 「アベイラビリティ」 障害を発生させた状態での稼動確認、復旧テスト 「バルネラビリティ」 既知の脆弱性を含んでいないことを確認 「ライセンスリスク」 ソースコードのライセンスリスクを確認 統合認証ソリューション ThemiStruct テミストラクト リリース「コンパイル」
開発・修正を行った ソースをコンパイル「ユニット」
モジュール単位での テスト「インスペクション」
可読性やコーディング ルール等を数値化し、測定「デプロイ」
実行環境でデプロイ工程 をテスト「インテグレーション」
実行環境上で各機能の動作 を確認「
ロングランパフォーマンス」 実行環境上で長期稼働、 過負荷稼働を確認「アベイラビリティ」
障害を発生させた状態での 稼働確認、復旧テスト「バルネラビリティ」
既知の脆弱性を含んで いないことを確認「ライセンスリスク」
ソースコードのライセンス リスクを確認 開発者 コミット ソースコード管理基盤 テスト実行Amazon Web Services上に展開されたテスト基盤
テストターゲットの自動デプロイによる
クリーンなテスト環境の構築
自動インテグレーションテスト
スポットインスタンスを活用した大規模
なパフォーマンステスト
etc…
当社は APN (AWS Partner Network) コンサルティングパートナー です。
