student identity trust framework - motonori nakamura, shingo yamanaka

学生ID向け

トラストフレームワーク Student Identity Trust Framework

2012/05/17

OpenID Foundation Japan Shingo Yamanaka

「信頼フレームワーク」セミナー Vol. 2 ～学生IDを活用しオンライン学割サービスを提供しよう～

Copyright 2012 OpenID Foundation Japan - All Rights Reserved.

ハッシュタグ

1

#SITF


本日のアジェンダ 18:00-20:30

2

テーマスピーカー

セッション1 「学生ID向けトラストフレームワーク ”SITF”の概要」

NII 中村素典先生 OIDF-J 山中進吾

セッション2

「オンライン学割サービスの利用例と今後のサービスの展開について」

日本ベリサイン田中亮さんヤフー松岡泰三さん OIDF-J 伊東諒

休憩

パネルディスカッション

「大学と企業を連携させる学生ID向けトラストフレームワークによる新たなイノベーション創出」

パネリスト：東京大学佐藤周行先生日本経済新聞社瀧島伸篤さん慶応大学商学部山田周太郎さんベリサイン田中さんヤフー松岡さんモデレーター：OIDF-J 山中

SITFへの参加方法の紹介 NII 島岡政基さん


OpenID?

3

2012 European Identity and Cloud Award for

“Best Innovation / New Standard in Information Security” A New Venn Of Access Control For The API Economy

Eve Maler’s blog – Forrester Research


だが技術だけでは超えられない課題も…

リアルIDとネットIDとどう結びつけるか

はたまた、結び付けないのか

Identity（ペルソナ）の使い分け

錯誤なき本人同意

IdP以外の事業者の情報管理体制

ビッグデータは極力スモールデータに

法律（hard law）のキャッチアップ

4

?

Trust（信頼）を保証する仕組みを整備する必要性


トラストフレームワークとは？

オンラインで

パーソナル・データを

認定された事業者の間で

利用者本人の同意に基づき

安全に流通させる

信頼構築の枠組み 5


トラストフレームワーク（Open Identity Trust Framework) とは

6

Policy Maker （ポリシー策定者）

Trust Framework Provider（TFP）

Identity Provider （IdP）

Relying Party （RP）

Assessor (認定監査人)

一般利用者 (User)

認定

認定

監査

ID登録／認証

サービス利用

アイデンティティ情報の提供

契約契約監査結果通知

監査


Trust Frameworkに関する世界的潮流

米国

官：Open Identity for Open Government ▪GSA（一般調達局）配下のFICAM（国民ID局）

民：National Strategy for Trusted Identities in Cyberspace (NSTIC) ▪商務省、NIST

学：InCommon

英国

Identity Assurance Scheme/Programme

7


Trust Frameworkに関する世界的潮流

他国も次期国民IDとして検討カナダ、オランダ、オーストリア、ニュージーランド…

ダボス会議 “Re-thinking Parsonal Data” プロジェクト

ISO / ITU-T による国際標準化 x.oitf

日本 NII 学認

8


ただ、認証だけでは面白くない…

“認証” is just “認証”

認証後、パーソナルデータを流通させるのが本来やりたいこと

属性（Attribute）とは？

実体（Entity）に紐付くあらゆるデータ

氏名、住所、性別、年齢、電話番号

ソーシャルグラフ、ロケーション、趣味、写真

所属組織・自治体、保有資格、健康情報、図書館の貸出履歴

9

属性情報が正しく流通し、それが信頼でき・正しい情報であることが保証されれば、いろいろなことが実現できるかも。


OpenIDファウンデーション・ジャパン

トラストフレームワーク・ワーキンググループ（TF-WG） 2012/3/5 設立

10


TF-WGの目的

民間分野をつなぐアイデンティティ連携のためのトラストフレームワークの策定

民間IdPと民間RP

学術分野と民間ビジネス分野

信頼できるアイデンティティ・エコシステム実現のためのユースケースの策定と、トライアルサービスの実施

“Student Identity Trust Framework (SITF)”

確認済み（Verified）の属性情報の事業者間流通

利用者の権利保護、ステークホルダー全員のメリットを確保

保証レベル2程度のIdPの認定

11

ユースケースを実際動かし、フィージビリティを行うことで、トラストフレームワーク普及のためのブートストラップとし、将来的に様々な分野・業界への横展開を狙う。


TF-WGのマイルストーン

フェーズ1：2012/2-5

学生IDを使ったユースケースの作成

IdP向けポリシー、RP向けポリシーの作成

フェーズ2：2012/6-11

SITFを使った実サービスの検討・設計

パイロットサービスの開発

他分野のサブWGの立ちあげ

12

メンバー募集中 TF-WG

Student Identity Trust Framework

Sub-WG

Trust Elevation Sub-WG

Employee Identity Trust Framework

Sub-WG

学生であるという属性本人確認したという属性会社員であるという属性

学術認証フェデレーション「学認」 www.gakunin.jp

信頼フレームワークセミナー Vol.2 / 2012-05-17 / 国立情報学研究所

14

シングルサインオン(SSO)技術を用いて学術機関が連携

教育・研究のためのより良い（安心、安全、便利な）ICT基盤の構築を目指す

学術機関が、その構成員であることと、属性情報について保証

サイトライセンスとの親和性が高い

認証のための国際標準SAMLに準拠 Shibboleth by Internet2

simpleSAMLphp by UNINETT

「学認」の役割 IdP / SP の運用基準（セキュリティレベル）統一

やりとりする属性情報の統一（現在17種類）

IdP / SP の勧誘、接続支援

参加申請の受付

メタデータ（IdP / SP リスト）の管理、配布

DS (Discovery Service)の運用

海外フェデレーション等との連携など

15

属性内容

OrganizationName (o) 組織名

jaOrganizationName (jao) 組織名（日本語）

OrganizationalUnit (ou) 組織内所属名称

jaOrganizationalUnit (jaou) 組織内所属名称（日本語）

eduPersonPrincipalName (eppn) フェデレーション内の共通識別子

eduPersonTargetedID フェデレーション内の匿名識別子

eduPersonAffiliation 職種(faculty, staff, student, member)

eduPersonScopedAffiliation 職種（＠ドメイン名がついた形式）

eduPersonEntitlement 資格

SurName (sn) 氏名（姓）

jaSurName (jasn) 氏名（姓）（日本語）

GivenName 氏名（名）

jaGivenName 氏名（名）（日本語）

displayName 氏名（表示名）

jaDisplayName 氏名（表示名）（日本語）

mail メールアドレス

gakuninScopedPersonalUniqueCode 学生番号、職員番号（＠ドメイン名）ユーザは送信する属性の選択が可能

SPごとに異なるハッシュ化された識別子個人情報開示に配慮

17種類の属性情報を用いてSPが認可判断（機関、ロールベース）。

uApprove.jp

プラグイン

個人情報のため慎重に扱う必要あり

16

0

10

20

30

40

50

60

70

80

90

100

Jul-

09

Dec-0

9

May-1

0

Oct-

10

Mar-

11

Aug-1

1

Jan-1

2

Jun-1

2

Nov-1

2

Ap

r-1

3

Sep

-1

3

機関数

0

20

40

60

80

100

120

Jul-

09

Dec-0

9

May-1

0

Oct-

10

Mar-

11

Aug-1

1

Jan-1

2

Jun-1

2

Nov-1

2

Ap

r-1

3

Sep

-1

3

Total Students Staffs

学生の割合は、80%強

ユーザ数の推移

試行本格運用

総ID数≒50万

（万人）

高等教育人口は350万人

17

0

20

40

60

80

100

120

Jul-

09

Sep

-0

9

Nov-0

9

Jan-1

0

Mar-

10

May-1

0

Jul-

10

Sep

-1

0

Nov-1

0

Jan-1

1

Mar-

11

May-1

1

Jul-

11

Sep

-1

1

Nov-1

1

Jan-1

2

Mar-

12

May-1

2

Jul-

12

Sep

-1

2

Nov-1

2

HighWire Press Stanford University

18

学術コンテンツ Science Direct / SCOPUS (Elsevier)

SpringerLink (Springer)

Web of Knowledge / EndNote (Thomson Reuters)

OvidSP (Ovid)

RefWorks / ebrary (ProQuest)

Cambridge Journals Online (CUP)

Pathology Images (Atlases)

CiNii (NII)

開発環境 DreamSpark (Microsoft)

ネットワークサービス Fshare（大容量ファイル交換）（NII）,ファイル送信サービス（金沢大学）

FaMCUs (テレビ会議多地点接続)サービス (NII)

Eduroam-Shib（eduroam用一時アカウント発行）サービス（京大&NII）

ゲスト用ネットワークアクセス認証（佐賀大学、広島大学）

科学技術の学術情報共有のための双方向コミュニケーションサービス（山形大学）

WebELS eLearningシステム（NII）

しぼすけ（アットウェア）、Foodle (UNINETT) ―スケジュール調整

モバイルWiMAXキャンパスネットワーク接続（UQ WiMAX）

最新情報：https://upki-portal.nii.ac.jp/docs/fed/participants

準備・調整中

ACS

AMA

BMJ

Cengage

Ingenta

IEEE CSDL

jSTOR

Nature

PubMed (NIH)

SAGE

Tavlor&Francis

Thieme

Wiley

EBSCO host (EBSCO)

KOD (研究社) IEEE Xplore

360 Core / Search / Link / Electronic Journal Portal (Solaris Solutions)

IOP science (IOP)

BioOne

Royal Society of Chemistry (RSC)

IMCデータリポジトリ（金沢大学）

Karger

HighWire Pr

PierOnline

Emerald

学認申請システムによるオンライン受付参加申請，メタデータ登録・更新等がWebを通してオンラインで可能詳細：https://www.gakunin.jp/docs/fed/join

テストフェデレーション 1. 申請情報登録（およびアカウント作成） 2. 事務局での参加承認 3. フェデレーションメタデータの自動更新

運用フェデレーションの場合は？オフラインによる確認、押印済み申請書の提出が1ステップ増えるだけ

19

通常一日で参加完了

利用開始可能

https://www.gakunin.jp/docs/fed/join



20

学術認証フェデレーションでは、下記の規程（ポリシー）を定めています。参加にあたっては、規程の遵守をお願い致します。

学術認証フェデレーション実施要領

システム運用基準

属性情報一覧

・テストフェデレーションのルールは，学認運用フェデレーションのシステム運用基準を基本とした上で，接続テスト向けに基準を変更・緩和しています

個人情報保護ポリシーおよび指針

• 信頼できるDBに基づくアカウント生成 • 信頼性のある属性情報の付与 • 卒業・退職等によるID失効 • 共有ＩＤの禁止 • IDの十分な再利用間隔など

NIH （米国立衛生研究所）のPubMed等の医学・生物学系DBサービスの利用では、IdPにLoA Level 1が必要

学認が、IdPのLevel 1準拠を認証するTFP (トラストフレームワークプロバイダ)となって、接続を実現

まもなく、PubMedとの接続が完了(Level 1対応)

2012年度以降、Level 2への対応で、研究費申請(e-Rad)、高性能コンピューティング基盤(HPCI)等との連携に期待

日本の学術向けTrust Framework Providerを目指す 21

民間デファクトであるOpenID対応のサービスが、学認IdPで認証して利用できるようになれば、学認（大学）向けのサービスがさらに広がる

学認にてプロトコルゲートウェイによるOpenID Connect対応

GakuNin IdP

OpenID RP

プロトコルゲートウェイ

GakuNin SP

OpenID OP

SAML OpenID

GakuNin SP

OpenID OP

プロトコルゲートウェイ

OpenID RP

GakuNin IdP

OpenID SAML

民間（OpenID OP）から学認対応SP へのアクセスが可能になれば、産学協同研究の情報基盤としての活用や保護者向けサービスへも展開できる

学認

学認

民間

民間

22

23

学生は、オンライン上で学割サービスが受けられる

サービス提供側は、学生であることを確実に把握した上でサービスが提供できる

大学IdP側は、学生に対する教

育研究環境や福利厚生の充実につながる

NIIの狙いは、産学連携しなが

らより良い教育研究環境を研究・創出すること

24

学生であるという属性を取り扱う学生証を提示するという行為を、ネットの世界でも可能にする

その属性の信頼性は？

各大学が所属している学生に対して、大学の署名付きの属性を提供する

一定レベルの管理がなされているかどうかを、学認がチェックし、保証する

よって、学認がTrust Framework Providerとして、「学生である」という属性の取り扱いに関する一定のルールを設ける

道筋さえつけば、あとは民間企業と学術機関・大学とのコラボレーションによって多様なサービスやイノベーションが生まれることを期待


まとめ

Trust（信頼）

これが保証さればインターネットはもっと面白くなる

トラストフレームワーク

ネットの信頼性を高め、属性を流通させるための世界標準の枠組み

SITF

学割などネット上でいろんなことが出来るように

産学連携のイノベーション・プラットフォームに

25


Student Identity Trust Framework

26

Policy Maker （ポリシー策定者）

Trust Framework Provider（TFP）

Identity Provider （IdP）

Relying Party （RP）

Assessor (認定監査人)

一般利用者 (User)

認定

認定

監査

ID登録／認証

サービス利用

アイデンティティ情報の提供

契約契約監査結果通知

監査

民間サービス各大学

TF-WG

学生


27

It’s time to say goodbye to Internet Dog.


パネルディスカッション

議論したいテーマ

SITFがもたらすであろう、ベネフィットについて

▪大学の視点

▪民間企業の視点

▪利用者（学生）の視点

SITFをスケールさせるための、ルールやガバナンスについて

▪大学や企業の認定、リスティング

▪個人情報保護、プライバシー保護、本人同意

29


Trust Framework=オープン・ガバナンス

Q: 車にブレーキが付いているのはなぜか？

A: 止まるため☓

30

VS

経済成長／イノベーション促進のためには、

性能の良いブレーキを整備することが重要

速く走るため○

student identity trust framework - motonori nakamura, shingo yamanaka

Technology