The日本のID管理
NEC 第二ITソフトウェア事業部 桑田 雅彦
NTTデータ セキュリティビジネス推進室 山田 達司
エクスジェン・ネットワークス 江川 淳一
LDAP Manager
ID統合管理システムの基本構成
ID統合管理 システム 管理者PC ID情報 マスター 認証 DB 認証 DB 認証 DB CSV CSV 営業支援システム メールシステム 人事システム IDライフサイクル ID情報マスターDB プロビジョニング Trusted DB IT統制 IT統制 運用統制 運用統制 2IDライフサイクル管理のポイント
(運用例)
社員証を確認して、
ID通知書を手渡しする。
①発行=間違いなく本人に
IDを発行する
(運用例)
パスワードの定期変更。更新処理。ログ参照。
②利用=
IDを利用しているのは間違いなく本人
(運用例)
源泉
DB有りのID情報→自動連携
源泉
DBなしのID情報→有効期限
③削除=迅速かつ漏れなく
IDを削除する
身元保証 身元保証 3LDAP Manager の歴史
~2002 2003 2004
2006 2007 2008 2009 2010 2011 2012 2013
J-SOX(金融商品取引法) リーマンショック Compliance is dead. 〔統制強化〕時代Compliance IT統制未対応 Accountability Transparency
2005
顧客情報漏えい事件多発 個人情報保護法 〔認証・ID管理の効率化〕時代 〔セキュリティ強化〕時代 AD UNIXコマンド ガルーン IDライフ サイクル 差分CSV作成 ワークフロー Windowsコマンド 操作ログ プロビジョ ニング 統制 CSV ADパスワード同期 管理者ポータル 特権管理 Gapps マッピング関数強化 Office365 Cybouz.com 4LDAP Manager6での機能強化例
5〔管理者ポータル〕管理者ごとにCSVフォルダのアクセス権を設定
CSVアップロード用の共有フォルダに、管理者ごとのアクセス権を付与できるようになり ます。複数の管理者が存在する環境で、 より厳密に管理者の立場に応じた 権限の委譲が可能になります。 全員許可 管理者A:許可 管理者B:許可 管理者C:拒否 管理者A:許 可 管理者B:拒 否 管理者C:拒 否 管理者A 管理者B 管理者CLDAP Manager6での機能強化例
6 (1)複数値でのCSV分割機能 管理者ポータル前処理のCSV分割機能で、指定した属性が複数値であった場合に、 その値ごとのCSVファイルに分割できるようになります。 兼務などで1ユーザの所属情報を複数持っている場合に、1ユーザ1所属のCSVファイル に分割するなどの活用ができます。 (3)前処理プログラムをPostgreSQL無しで使用 前処理プログラムの実行には PostgreSQL が必須でしたが、より簡単なSQLite(ローカル DB)でも利用できるようになります。検証などで手軽に利用したい場合などに便利です。 (2)CSVファイルの項目有無チェック 管理者ポータル前処理のフォーマットチェック機能で、指定したCSV項目の有無を チェックできるようになります。〔管理者ポータル〕前処理の機能強化
ユーザID,パスワード,Attr1;Attr2 ユーザID,パスワード,Attr1 ユーザID,パスワード,Attr3 複数値の値ご とに CSVファイル を分割ID管理/アクセス管理/シングルサインオン/
認証連携製品
NEC WebSAM
SECUREMASTER
各システムの アクセス制御ルールの設定 統合アクセス管理システム SECUREMASTER/EAM システム管理者 統合ID管理システム SECUREMASTER/EIM 承認された利用者のデータのみ登録 ユーザID情報を必要としている システムへ必要な分だけ配付 人事DB Scene1 人事DB連携 人事データの取込み・同期 業務APサーバ RADIUSサーバ 各種システム LDAP 入退管理サーバ ActiveDirectory グループウェア 利用者データの確認 利用者管理責任者 Scene3 棚卸しと監査
ICTを構成する様々なシステムの共通基盤として、
ID管理の統合から、アクセス管理の統合、シングルサインオン認証までを実現します。
利用者 Scene5 シングルサインオン Scene6 アクセス制御SECUREMASTER 製品スイート全体像
申請者・承認者 利用者データの追加登録 Scene2 申請・承認フロー Scene4 IDプロビジョニング ディレクトリシステム SECUREMASTER/EDS 許可されたシステムのみ アクセスが可能 8信頼性・拡張性・柔軟性のある
基盤システムのご提供
SECUREMASTER の特長
◆国産/自社開発/スイート製品
・ID管理/アクセス管理/SSO認証領域の全体を スイート製品としてカバーする自社開発製品 ・海外製品ではSI開発が必要な日本組織特有の 要件に対応(一斉人事異動、兼務、深い組織 階層など) ◆システムの拡張性・柔軟性
・スモールスタートから、連携システム拡張に応じた ステップアップが可能 ・連携が容易なI/Fや標準テンプレートを充実 - GUIによる画面設定/連携コネクタ設定 - CSVコネクタによるシンプルな連携 ・細かい動作条件/仕様のカスタマイズが可能 (Java、XSLTなどによるプラグインの追加) ◆迅速・柔軟なサポート力
・自社開発製品=弊社内でソースコードを保有、 お客様/連携システムへの柔軟な対応が可能 - 国内で迅速な機能拡張、障害解析、ソース コード改修対応が可能 - お客様からの強い要望があれば機能改善の 検討にも柔軟に対応 ◆豊富な導入実績
・弊社16万人の認証基盤をはじめ、24時間365日 無停止運用を伴うミッションクリティカルシステムの 構築・運用実績が豊富 ・ディレクトリ/SSOは、1999年~約1000システム ID/アクセス管理は、2007年~約100システムNECグループ内の認証基盤をはじめ、様々なお客様向けの導入・運用により、
経験し積み重ねてきたIAM領域のノウハウ・技術をすべて本製品に結集しています。
9SECUREMASTER の歴史
2000年 2005年 2010年 現在 2015年 LDAPディレクトリ シングルサインオン 認証基盤 統合ID管理基盤 ロール管理基盤 認証連携 特権ID管理 クラウドID管理基盤 EnterpriseDirectoryServer(EDS) [1999.11~] LDAPディレクトリ EnterpriseIdentityManager(EIM) [2007.01~] 統合ID管理、特権ID管理、ロール管理 EnterpriseAccessManager(EAM) [1999.04~] 統合アクセス管理、Web系シングルサインオン認証、認証連携 EL, ELLite [2006.10~] C/S系シングルサインオン認証 SI部品 X.500 トレンド 内部統制実は、1993年のディレクトリ国際標準X.500の技術研究開発から始まっています。
SI部品 プロトタイプ 10SECUREMASTER/EnterpriseIdentityManager の歴史
版 リリース時期 主な機能強化内容 V1.0 2007年1月 ▌初版 V2.0 2007年10月 ▌製品スイートとしてEAM系(SSO認証認可領域)と透過的に統合 ▌ID属性に応じた動的グループ、ロール管理 ▌スケジューリング強化(取込み、反映、配信、有効/無効化) ▌IDプロビジョニング標準テンプレート拡充 【継続↓】 V3.0 2008年12月 ▌監査支援(ID棚卸し、監査レポート出力) V4.0 2010年3月 ▌監査支援(ID是正処置) ▌一斉人事異動対応強化 V4.1 2011年3月 ▌特権ID管理 ▌リポジトリ更新性能向上 【継続↓】 ▌外部処理組込みAPI拡充 【継続↓】 V5.0 2012年9月 ▌ID/ロール履歴管理 ▌クラウドサービスIDプロビジョニング拡充 【継続↓】 ▌グローバル対応強化 【継続↓】 IAM領域での長年のノウハウを結集した自社製品スイートの主要構成要素として、開発・強化。 研究所による独自開発技術を製品化し、進化を続けています。 内部統制 ク ラ ウド 基盤 トレンド 認証基盤 11VANADIS
VANADISとは
•
VANADISとは、NTTデータの社内利用から生まれた統合ID管理ソ
リューションです。
•
Identity ManagementのためのVANADIS Identity Manager 及び
Access ManagementのためのVANADIS SSO/SecureJoin の2製品か
らなります。
•
主な特徴は以下の通りです。
–
日本特有の兼務、用途により異なる組織体系に対応
–
企業グループのIDを管理するための複数企業ID管理
–
複数のWebSSOドメイン、クラウドサービスとの連携にSAMLを利用
–
クラウドサービスで利用するためのマルチテナント機能
–
お客様ID管理業務への適合性を高めるための高いカスタマイズ性
等
13NTTデータ社内とVANADISの歴史
1999 2001 2003 2005 2007 2009 2011 2013 NTTデータ イントラ VANADIS シリーズ ▲WebSSO ▲携帯SSO ▲協働者 ID管理 ▲個人情報 保護法対応 ▲SAML対応 ▲委託先ID管理 ▲スマホSSO ▲WebSSO ▲ 統合ID管理 ▲SAML対応 ▲SaaS事業者対応 ▲クラウド対応 ▲G会社 ID管理 ▲社員 ID管理 14VANADISの主なバージョンと追加機能
バージョン 目的
Access Management (VANADIS SSO/SecureJoin)
Identity Management (VANADIS Identity Manager)
2001/3 SecureJoin 1.0 WebSSO ・エージェント型SSO ・リポジトリとしてLDAPをサ ポート (LDAPサーバを利用) 2005/4 VANADIS 1.0 統合ID管理 ・携帯SSO対応 ・レポジトリとしてVANADIS Identity Managerをサポート ・グループ会社管理 ・有効期限管理 2007/8 VANADIS 5.0 SAML対応 ・マルチドメインSSO ・クラウドサービスSSO 変更なし 2009/7 VANADIS for SaaS Provider SaaS事業者 適用 ・セキュリティ強化 ・IDマッピング ・ユーザ企業管理 ・契約管理 2010/12 VANISDIS 6.0 クラウド対応 ・EnterpriseSSO ・マルチテナント ・国際化 15
VANADISのシステム構成
VANADIS SSOの動作方式
NEC 認証基盤の事例
個人認証による企業秘密保護の徹底
理由:ネットワークアドレスによるアクセス制限には限界があるため。
▌
情報共有促進の観点から
本来アクセス可能な情報が、違う場所(別のオフィス、プロジェクトルーム、
外出先…
)に行くと見えなくなってしまう。
▌
情報セキュリティ管理の観点から
同じネットワークの中に、経営層から協力会社社員まで、さまざまな権限の
利用者が混在している。ネットワークアドレス制限では、利用者の権限を
識別できない。
方針:企業秘密情報へのアクセス制限はネットワークアドレス
(IPアドレス)ではなく
個人認証
に基づいて行うこと。
施策 1: 「NECグループ認証ディレクトリ」の構築
2: 共通アクセス制御システムの構築
19ID情報の一元化とアクセス制御
▌
NECグループ認証ディレクトリ
– NECおよびグループ各社(海外含む)の人事システムとの連携により、 グループ社員のID/パスワードを一元集中管理。▌
共通アクセス制御システム
– 一般社員、業務委託先、派遣社員でアクセス権を区別。 – 個人単位に認証し、社内システムの利用やWebコンテンツの参照を許可。 ~Webアクセス制御システム – シングルサインオン -ユーザの利便性を損ねることなく個人認証を徹底。 ○統合ID基盤(認証ディレクトリ)構築前の主な課題 1. ユーザ情報のタイムリーな提供が困難 • 人事異動の際にシステムごとに個別にユーザ情報を変更しているため、連動できず、 タイムリーな情報提供が出来ない。 2. パスワードやユーザ情報の一元管理の要望 • システムごとにユーザID/パスワード管理が必要で運用工数が増大。 • NEC社員のみならず、関係会社社員、派遣社員を含めたユーザ一元管理を実施しないと、 システムごとの個別ユーザ管理工数が増大。 20NECグループ認証基盤
認証ディレクトリの特徴
▌
NECグループ約90社、約15万人、約190システムが利用。
▌
派遣社員(構内作業者)も併せて登録。
▌
社員番号、役職、所属、上司、メールアドレス、などの項目を登録。
▌
アクセス権の考え方は職位と所属が基本。
各システムで認証ディレクトリの情報を基にアクセス制御。
▌
人事異動情報は翌日に反映。
▌
サービス時間:365日24時間(オンライン)。
22NTTデータ
統合IDインフラの事例
NTT NTT東日本 NTT西日本 NTTコミュニケーションズ NTTドコモ NTTデータ NTTデータ北海道 NTTデータ九州
NTTデータ
カスタマサービス
NTTデータシステムズNTTデータとは
24複数ネットワークの利用
イントラネット Groupwide Network (GW Net) NTT NTT東日本 NTT西日本 NTTコミュニケーションズ NTTドコモ NTTデータ NTTデータ北海道 NTTデータ九州NTTデータ
カスタマサービス
NTTデータシステムズ G-net (健保、年金、人事、福 利厚生等) 25イントラネットとGW Netの構成
NTTデータ 社員 グループ会社 社員 A社GWNet
(DMZ内)インター
ネット
A社社員 イントラネット 内サーバ群 GWNet用ID Manager+SSO イントラネット用ID Manager+SSO Z社 Z社社員 NTTデータ イントラネット 26利用者情報の管理
NTTデータグループID管理
子会社
子会社
子会社
(元:情報子会社)人事給与
システム
NTTデータ
ID管理
子会社
12社
手動
/自動連携
自動連携
自動連携
人事給与シ ステムを共同 利用子会社
親会社
グループ各社との連携方法
自動連携 手動連携 27携帯SSO機能
VANADIS SSO モバイルゲートウェイ
Exchange Server VANADIS Identity Manager
・契約者固有IDとPINによる認証 ・利用者の組織に基づく利用可 能なサービス一覧提示 ・認証トークンをセッション情報と して管理し、Cookieに変換 主な管理情報 ・ID、PIN ・IDと携帯電話の契 約者固有IDをひも付 け モバイルメールサーバ (AgentによりHTML/Compact HTMLを切りかえ) VANADIS SSO Agent
携帯SSO機能のスマホ対応
VANADIS SSO モバイルゲートウェイ
Exchange Server VANADIS Identity Manager
・端末ID(IMEI)とPINによる認証 ・利用者の組織に基づく利用可能な サービス一覧提示 ・認証トークンをセッション情報として管 理し、Cookieに変換 ・検疫機能を追加(マルウェア対策ソフ トインストール、OSのバージョン確認) 主な管理情報 ・ID,PIN,PW ・契約者固有ID ->端末ID(IMEI) モバイルメールサーバ VANADIS SSO Agent
NTTデータ社内における統合ID管理の歴史
協働者へのID払い出しフロー(その1)
協働者へのID払い出しフロー(その2)
クラウドサービス連携
OpenID Connect/SCIM
クラウドサービス連携/フェデレーションの利用
34クラウド利用企業
Cloud Service
ミニマム ID情報IdP
RP(SP)
クラウドサービスからの
ID情報
(Credential含む)の漏洩防止
ID情報 (Credential含む)認証処理が
委譲される
〔正しい認証認可の前提〕
ID管理運用が適切に
行われている
ID管理運用ポリシー
+
ID統合管理システム
トラスト
①認証 ②認証移譲 ③認証 ④認証OK プロビジョニング有り の場合が多いEIWG:Enterprise Identity Working Group
35 社内業務 システム ID情報ID管理
システム
シングル
サインオン
システム
利用者 管理者 プロビジョニング機能 (SCIM Client) ID連携API(OpenID Connect IdP)
ユーザ- プロビジョニングAPI (SCIM Server) エンドユーザー向け Webアプリケーション (OpenId Connect RP) SCIM APIを介して ユーザの追加・ 変更・削除 OpenID Connectで 認証結果・属性情報を要求
