注目されるアイデンティティ管理 <第3回>―アイデンティティ管理技術の標準化動向― | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

注目されるアイデンティティ管理 <第3回>―アイデンティティ管理技術の標準化動向―

特集 特集

 前回のコラムでも説明しましたように、ネットワークの発展に伴うサービス領域が拡大し、シングルサインオンの要求、アイデンティティ情報のオンラインでの動的交換・連携機能の要求が高まっています。こうした背景からアイデンティティ管理技術を標準化して、普及・拡大を図る動きが活発化しています。2007年に財団法人 日本規格協会が実施したアイデンティティ管理技術の標準化調査研究委員会の報告をベースに主要な標準化の動きを説明します。

1.アイデンティティ管理技術の標準化の動き

 現在アイデンティティ管理をめぐる業界標準としてLibertyAlliance、CardSpace、Open IDの3つの動きが活発化しています。

 LibertyAllianceはOracle、Sun、NEC、NHK、NTT等が推進しており、CardSpaceは、カードイメージでアイデンティティ情報を管理する技術で、Microsoft、Novell、IBM等が推進しています。URLをIDとして用いるアイデンティティ管理技術仕様でありMicrosoft、IBM、Verisign等が進めている技術がOpen IDです。

 Microsoftでは1999年に複数のWebサービス間でシングルサインオン(SSO)を実現するPassportサービスを始めました。 しかし、Microsoft 1社が個人情報を集中して管理する方式であるため、プライバシー団体や認証サーバを提供する競合企業から激しい反発が起きました。このことから先に挙げた3つの技術はアイデンティティ情報を分散して、相互に連携するタイプやユーザが管理するユーザセントリックタイプを採用しています。

2.標準化技術の概要
2.1 LibertyAlliance(リバティアライアンス)

(1)仕様の概要
 LibertyAlliance では、アイデンティティ・ライフサイクルとして、アイデンティティの「作成」、「削除」、アイデンティティの利用としての「変更」、「認証」、「連携」、「SSO」、「履歴」、「アクセス制御」、「属性共有」などが定義されています。提供される仕様は、SAML(Security Assertion Markup Language)、SOAP(Simple Object Access Protocol)、WSS(Web Service Security)、XML (Extensible Markup Language) などの既存の標準仕様に準拠して以下のように構成されています。

a)リバティ・アイデンティティ連携フレームワーク(ID-FF/SAML)
b)リバティ・アイデンティティサービス・インターフェース仕様(ID-SIS)
c)リバティ・アイデンティティWeb サービス・フレームワーク(ID-WSF)

(2)特徴
 LibertyAllianceの規格では、アイデンティティ情報(ID)を提供する側Idp(アイデンティティプロバイダ)とIDを受け取り、サービスを行う側のサービスプロバイダ(SP)の間に厳密な信頼関係を結んでおく必要があります。それに加えユーザの情報はサーバー側に一元管理されており、厳密な信頼関係によって結ばれたサービス間でのみ認証情報や属性情報を共有することができます。

(3)アイデンティティ情報のセキュリティ確保
 アイデンティティ情報のセキュリティ確保は個人情報の漏えい防止、コンプライアンス確立の上で重要であることは論を待ちません。LibertyAllianceでは、企業によるネットワーク上の情報共有と保護をサポートする新しいフレームワーク「Liberty Identity Governance Framework(IGF)」を発表しました。 IGFは、 PCI Data Security Standardなどの情報セキュリティ基準に準拠するよう、データに関連するポリシーの設定をサポートするものとしています。

(注) PCI Data Security Standard(PCIDSS):クレジットカード情報を保護するために制定されているセキュリティ規準で、店舗を初めとしたクレジットカード情報を持つ全ての事業所に遵守を義務付けるものです。詳細はNTTデータ・セキュリティのHPを参照

http://www.nttdata-sec.co.jp/article/pcidss.html

(4)適用状況
 LibertyAlliance/SAMLは高度なセキュリティ機能、多様なデバイスサポート、ビジネスガイドラインや規制対応に関するリポートの提供など、電子政府や医療情報ネットワークといった社会インフラでの利用までターゲットとしているのが特徴です。適用事例としては、GM、American Express、Boeing、NTTデータ等の企業内・企業間使用やNokia、AOL、Gooleなどのサービスに提供されています。

(参考URL)
http://wiki.projectliberty.org/index.php/JapanSIG

2.2 OpenID(オープン アイディ)
(1)特徴
◇OpenID は、URL を使ってインターネット上のWebサイトへの認証をシングルサインオン的に行う仕組みです。OpenIDでは、アイデンティティプロバイダは単に個人情報を保管するだけで、その個人情報の主体的な管理はユーザがコントロールするユーザセントリックの考え方を採っています。

◇LibertyAlliance/SAML では認証サーバーを利用できるサービスを事前に決めておく必要があり、インターネットのWebサイトには不便であると言われているのに対して、OpenID は認証サーバーと認証を受けるWebサイトの間で事前の信頼関係の構築が不要であるため、インターネット上のサービスで利用し易い仕様だと言えます。又エンドユーザ、個人のWeb サイトをOpenID とする機能を使うことにより、OpenID プロバイダが運営を中止した場合も、違うOpenID プロバイダ を使用することによりID を変更する必要がないメリットがあります。

(2)信頼性の確保の課題
 OpenID の限界はOpenID プロバイダは誰でも作れるため、すべてのOpenID Provider が信頼できるというわけではないことです。つまりオレオレOpenID Provider が存在しうることになります。Webサイト(Relying Party) がどのOpenID Provider を信頼すれば良いかについてはOpenID のみでは解決しないため、例えばホワイトリストなどの別の仕組みが必要です。

 また信頼のおけるOpenID プロバイダ のユーザであってもユーザ自身が悪意のあるユーザである可能性があります。これについてもユーザの信頼性を評価する仕組みが別途必要になってくるでしょう。

(3)適用状況
 現状でOpenID は、ミッションクリティカルなサービス等のような高いセキュリティを求められない場面で使用されるケースが多いようです。実装が容易なことから、その適用が広がっています。現在Yahoo!、Google Blog、France Telecom、Sun Micro等で適用されています。

(参考URL)
http://www.openid.ne.jp/

2.3 CardSpace(カードスペース)
(1)特徴
◇Windows CardSpace はMicrosoft 社の個人向けIdentity 関連技術で.NET Framework 3.0 以降の一部機能として提供されています。独自技術中心ですが、インターネット上に存在する様々な形式、方式や管理技術との相互運用性、連携性の向上も狙っています。Microsoft 社の個人向けID 管理システムには他にWindows Live ID がありますWindows Live ID がアカウント情報をMicrosoft 社が集中管理するモデル(独立モデル)であるのに対し、CardSpace は、個人ユーザがID管理に関与できるユーザセントリックであるところに特徴があります。

◇CardSpaceでは、個人のアイデンティティ情報を記述したXMLファイルをイメージし易い"カード"として表現し、一般ユーザにも分かりやすい操作性を提供しています。カードには自己署名による"個人用カード"と、ID提供者が発行する"マネージカード"があります。

 この他Windows CardSpace. TM では、他システムとの相互運用を行うプロトコルとしてWS-***を提案しています。オープンなSOAP、XMLをベースにしたWS-Trust(セキュリティートークン取得)、WS-Security(証明書利用者への配信)、WS-ScurityPolicy(証明書利用者のセキュリテリー記述)などがあります。

(2)適用状況
 マイクロソフト社のオンラインサービス(Windows Live)用のIDとしてWindows Live IDの発行やドイツのオンラインショッピングサイト(Otto)等で使用しています。

(参考URL)
http://www.microsoft.com/japan/msdn/net/general/IntroInfoCard.aspx

3.相互運用確保の動き

 各標準化では、関連する技術に関わる人々に対して、オープンな議論の場を提供して相互運用性を確保しようとする動きが活発化しています。Concordia プロジェクトでは…

【執筆:東京大学 情報セキュリティコミュニティ 副代表 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×