アカデミックidaas最前線

アカデミックIDaaS最前線

2016年12月14日

エクスジェン・ネットワークス(株)

アカデミックIDaaS の概要と導入事例、そして課題

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.

1. 認証基盤システム概要

1

・アプリケーションに「認証/認可」は何故必要か？

・アプリケーションに「ID管理」は何故必要か？

・「認証/認可」と「ID管理」の役割

『アクセス権限管理』＝『認証/認可のしくみ』＋『新鮮で正しいID情報』

部署や役職に応じた適切なアクセス権限管理を行うため。

組織変更/人事異動情報を迅速にID情報に反映するため。

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. 2

IT部門担当者

アプリケーション

ID管理

・システムの増殖

・組織の中でシステムは増殖するもの。アプリの中に「ID管理」のしくみが一緒に存在したまま、

システムが増殖すると、、



・ID情報に対する入学 & 進級 & 卒業情報、人事異動情報の反映処理が煩雑になる。 ①新入生の入学に伴う、ユーザIDの登録 (入学手続きの完了からシステムの利用開始までの期間が短かい) ②卒業に伴う、ユーザIDの無効化・削除 ③教職員の人事異動に伴う、アクセス権限の迅速な変更 ④教職員の退職に伴う、アクセス権限の迅速な無効化・削除 ⑤派遣社員、協力会社社員等の一時利用ユーザの管理

・教職員、学生、それぞれの役職に応じた適切なアクセス権限管理が困難になる。

・ID運用管理業務の効率化＝ID管理システムの整備が必要に

・システムの増殖→ID情報の鮮度を維持するのが困難に

3



・クラウドの増殖

・最近はオンプレシステムだけでなくクラウド利用が増えている。

ID パスワード

ID パスワード

ID パスワード

ID パスワード

ID パスワード

4

クラウド

・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが学外に出て行く。


IT部門担当者


・セキュリティポリシーコントロールが困難に。パスワードポリシーや機密情報のリスクレベルに応じた認証手段の採用が

困難になる。

・ID/パスワードの漏えいリスク。セキュリティレベルの低いクラウド

から、IDとパスワードのセットが

漏えいするリスクがある。

・IDとパスワードのセットをクラウド事業者に預けることなく、認証を行いたい。

アクセス制御

ファイアウォール

アクセス制御

Identity is the new Perimeter

5

・クラウドの増殖→IDとパスワードのセットが社外に出る


・フェデレーション技術の認証利用が有効


・アカデミックITにおけるフェデレーション技術の利用

IdP SP

1

2

3 4

クラウドサービス利用機関クラウドサービス事業者

5

ID情報 (一部の情報) ID情報

【アクセス試行】クラウドサービスへのアクセス 1

【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲 2

【認証処理】エンドユーザによる認証処理 3

【IDトークン返却】クラウドサービスへの認証結果の連携 4

【クラウドサービス利用】エンドユーザによるクラウドサービス利用 5 6

『アクセス権限管理』＝『認証/認可のしくみ』＋『新鮮で正しいID情報』

ID情報 ID情報

(一部の情報)



IdP SP

ID管理システム API 0

1

2

3 4

クラウドサービス利用機関クラウドサービス事業者

5 【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録 0

ID情報 (一部の情報)

ID情報

【アクセス試行】クラウドサービスへのアクセス 1

【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲 2

【認証処理】エンドユーザによる認証処理 3

【IDトークン返却】クラウドサービスへの認証結果の連携 4

【クラウドサービス利用】エンドユーザによるクラウドサービス利用 5

ID情報


7

ライセンス管理

ID管理


・アカデミックITにおけるフェデレーション技術の利用


・認証基盤システムとは

アプリケーション

認証基盤

認証 ID管理

認証基盤アプリケーション

・「認証」のしくみと「ID管理」のしくみをアプリケーションから切り離す。

ID情報

8


・「認可」のしくみはアプリケーションと密着している場合が多い。～アプリから切り離すのはなかなか難しい。～プロビジョニングによるロール情報連携。

・「ID情報」の再利用が可能になる。

認可

認可

認可

認可

認可


・3 + 1 の構成要素

認証基盤

ID情報マスターDB

ID情報管理システム

認証システム

基本構成

9


認可システム(各アプリ)

必要な属性情報をプロビジョニング

Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. 10 クラウドオンプレ

他大学情報共有

認証基盤

SaaS化マルチテナント化して

クラウドサービスとして提供


IDaaS


認証システム

2. IDaaS

・IDaaS基本概念


・IDaaSのセキュリティ

11

フェデレーション

企業内 SaaS



IDaaS

フェデレーション ID情報マスターDB (全部の情報)

セキュリティ境界

セキュリティ境界 (セキュリティポリシーコントロールの効く範囲)

・大学にとってはIDaaSまでがセキュリティ境界内。 IDaaSのセキュリティレベルは大学内と同等もしくはそれ以上であることが必要。

・アクセス制御を行う場所＝IDaaSは安全か

2. IDaaS


・概要

12

LDAP UNIX コマンド

Active Directory

大学内

利用者管理者

CSV AD PW

Hook

G Suite

Office365

シングルサインオン

シングルサインオン

プロビジョニング SAML /Shibboleth

ID管理機能

認証 & ID管理ポータル

ID情報マスタDB

認証用 LDAP

ID情報メンテナンス

GUI AD CSV

IdP機能

3. Extic (EXGENのIDaaS)について

Shibboleth：2017年1月

SAML：2017年6月


・セキュリティ

13

●DeeP Security(トレンドマイクロ社)

統合型セキュリティソリューションを導入し、 24時間/365日体制でのインフラ＆サービス遠隔監視を実施。これを、基本サービスとして提供。

●PCIDSSに準拠した運用監視を行うセキュリティチームが、日々の脆弱性情報をチェックし、顧客の大切なユーザ情報を安全な状態に保つ。

①統合型セキュリティソリューション

②24時間/365日体制のインフラ & サービス遠隔監視



・導入事例

14

• お客様名 : 文教大学

• ユーザー数 : 約 10,000 ユーザー

• ご要求事項：

• ID 管理に関わるサーバーや拡張時のメンテナンスコストを抑えたい。

• ID 管理の対象外となっている Office 365 も統合管理したい。

• LDAP Manager で実現している運用をできるだけ引き継ぎたい。

• 導入効果：

• ID 管理関連サーバーのメンテナンスコストを削減できました。

• Office 365 x 2 ドメインも ID 統合管理対象システムとすることに

より、学内の ID を統合管理することができました。

• これまでに培ってきた LDAP Manager のノウハウが反映されている

Extic であるため、LDAP Manager で行っている運用をあまり変える

ことなく、移行が実現できました。



・導入事例

15

• 機能構成

• 連携システム

• Office 365 x 2 ドメイン

• G Suite x 3 ドメイン

• オンプレミス連携

• Active Directory x 3 ドメイン

• Open LDAP x 1

• AD パスワードフック

• パスワード通知書印刷機能



・導入事例

16


Active Directory

Active Directory

Active Directory 事務局 A キャンパス B キャンパス

OpenLDAP (Linux)

プロビジョニングエージェント

プロビジョニング



定期的に更新情報を取得

利用者管理者

AD PW Hook

AD PW Hook

AD PW Hook

AD PW Hook 集約エージェント

Windows

PW情報を更新

CSV

PW変更

ユーザーのメンテナンス（Web GUI,CSV）

・サービス概要図 G Suite

Office365


・なかなか普及しない

17

まだまだ、、、、、

①大学の認証基盤要求にマッチしたIDaaSがまだない ②認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い

4. IDaaSの課題


4. IDaaSの課題

大学の要件いわゆる2016年のIDaaS

主要機能セキュア認証機能 ID管理 & 認証機能

フェデレーション SAML SAML & Shibboleth

IDM連携対象 SaaS オンプレシステム

価格帯 ¥500~¥1000/月￥100～¥300/月

現状、アンマッチ

・大学の認証基盤要求にマッチしたIDaaSがまだない


・が、大学でのSaaS利用がまだ進んでいない ①フェデレーションの認証利用により、IDとパスワードのセットを大学内に封じ込める必要性がそれほど高くない。 ②オンプレに多くのアプリが残るため、IDaaSを利用した場合、 ID情報は学内→学外→学内とネット上を往復することになる。

・セキュリティ責任者が機密情報を学外に出して良いか判断がつかない・IDaaS利用の場合、ID情報を学外に出すことになり、この変化に対して抵抗を感じている大学がまだ多い。

・大学でのSaaS有効活用は経営課題の一つのはず、、、

つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態

が、一方で①ISMSを整備している大学や、②学内より学外が安全という考えを持つ大学など、SaaS利用に積極的な大学も増えている

・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い

4. IDaaSの課題


・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い

21

4. IDaaSの課題

つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態

が、一方で①ISMSを整備している大学や、②学内より学外が安全という考えを持つ大学など、SaaS利用に積極的な大学も増えている

他の大学も利用しているセキュアなSaaSであれば利用したい

他の大学も利用している実績のあるSaaSであれば利用したい

実績のあるSaaSを統合管理できるIDaaS

セキュアなSaaSをさらにセキュアに利用するためのセキュアなIDaaS

目的

目的

手段

手段


4. IDaaSの課題

・まだまだ様子見状態もかなり佳境

SaaS有効活用に役立つ情報を発信する～他の大学のSaaS/IDaaS利用状況の提供

AXIES認証連携部会

大学の認証基盤要求にマッチし、実績あるSaaSをセキュアに利用するためのIDaaS整備

EXGENのIDaaS戦略

2016.12.15(木) 9:00～10:30 C会場 (1F Room H)

[TC1]アカデミックIDaaSの概要とExtic

アカデミックidaas最前線

Business