• Home

  • Documents

  • 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle...
16
<写真欄> 日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部 澤井真二, CISSP 事例でみるID管理技術の使い分け(仮) カンターラ・イニシアティブ・シンポジウム 2009 事例研究

事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

  • Upload
    others

  • View
    14

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

<写真欄>

日本オラクル株式会社

Fusion Middleware事業統括本部

Security SC部

澤井真二, CISSP

事例でみるID管理技術の使い分け(仮)

カンターラ・イニシアティブ・シンポジウム

2009 ~

事例研究

Page 2: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

2Copyright© 2009, Oracle. All rights reserved.

はじめに

この資料の目的

– 事例や実績を引用しながら、ID管理

(アイデンティティ管理)に係わる技術を

考えてみること

内容

– 仮想世界 と

IDの役割

– SAMLを使用したフェデレーション利用の実績

– 整理

– 追加事例(XACML等)

– まとめ

今回の事例や実績は、弊社(Oracle)の視点で

書いています。

Page 3: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

3Copyright© 2009, Oracle. All rights reserved.

仮想世界 と

IDの役割

ID とは?

– システム利用者を識別するための情報。

– システム利用者の役割を表現するための情報。

権利(免許証、社員証)証明書

現実世界における存在確認の方法現実世界における存在確認の方法 仮想世界における存在確認の方法仮想世界における存在確認の方法

目 (表情・骨格・服装)

耳 (声を聞く、足音)

口 (声をかける)

鼻 (匂い)

手 (触れる)

個人を特定する情報:・

氏名、住所、誕生日、性別、家系、国籍 等

1.取得可能な情報 2.判断方法(処理)

脳 (判断)

個人が保持する情報

・ ログインID

・ パスワード

ICカードのID

生体情報(指紋等)

・・・

アクセスポイントの情報

IPアドレス

・ ドメイン

個体の番号(MACアドレス等)

・・・

・ 認証

・ 認可脳 (記録)

証跡(ログ)

※ 個人の特定

※ 判断と制御

※ 記録

Page 4: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

4Copyright© 2009, Oracle. All rights reserved.

SAMLを使用したフェデレーション利用の実績 by Oracle

過去の実例より、ID管理に関連する次のケースを参考にして考えてみます。

国内 A社

<部門間>

課題 対策 利用技術業種

製造 特定の拠点(地域)の社員を、別事業部が管轄する ERP を利用させたい。

2つの拠点のローカル認証システム同士を連携する。

SAML 1.1 アサーションによる認証状態の連携 (SSO)。

海外 B社

<企業間>

運輸 ITコスト削減、利用者増や業務パートナー

との共有基盤の推進、パスワード数削減。

情報系システムの統合認証基盤を構築する。

LDAPによるID情報の集約化。Web SSOシステムとICカード認証(多要素認証)。SAMLによる認証状態の連携 。

海外 C社

<企業間>

金融 金融サービスをアウトソース(外部委託)し、異なるドメイン間で SSO を実現する。

標準技術による SSO化。 SAML 2.0 による認証状態の連携。

不正アクセスへの対策。

海外 D社

<企業間>

製造 従業員、販売パートナー、関連子会社と連携するためのID基盤が存在しない。

段階的にID管理技術を導入

して、業務効率を改善する。人手に頼らない基盤作り。

ID管理、統合認証、フェデレーションを

段階的に導入して、網羅的な統合認証基盤を整備した。

ローカルの認証機能 SAMLによる連携フェーズ

ID情報の集約化(LDAPデータの仮想統合)

SAMLによる連携フェーズ

統合認証(SSO)

ID情報の集約化(LDAP)統合認証(SSO)

SAMLによる連携フェーズ

不正アクセス対策(なりすまし対策)

フェーズ統合ID(プロビジョニング) 統合認証(SSO) SAMLによる連携

Page 5: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

5Copyright© 2009, Oracle. All rights reserved.

ID管理(ID情報の保管/ライフサイクル管理) - MAP

この図では、ID管理の実装方式の傾向を示しています。

– 右上の領域(雲の形)がゴールを示しています。

– 円の大きさは、実装の規模感を示しています。(相対比較)

LDAPServer

Role Management

Entitlement Management

MetaDirectory

ProvisioningSystem

RDBMSServer

File

統合

分散

業務や組織運用と融合したモデル

オープン標準

Page 6: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

6Copyright© 2009, Oracle. All rights reserved.

ID管理(ID情報の保管/ライフサイクル管理) - 実績

この図では、ID管理の利用実績の情報を追加しています。

近年は、SOX対応を背景にしてID管理に取り組むケースが

非常に増えています。

LDAPServer

Role Management

Entitlement Management

MetaDirectory

ProvisioningSystem

RDBMSServer

File

・・・

実績

ID情報の管理方法

における現実解 背景:SOX対応 =業務ユーザと職責管理、特権ID対応等

統合

分散

業務や組織運用と融合したモデル

オープン標準

Page 7: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

7Copyright© 2009, Oracle. All rights reserved.

セキュリティコントロール

認証技術(ID情報による識別と許可) - MAP

この図では、認証技術(認可含む)の実装方式の傾向を示しています。

– 右上の領域(雲の形)がゴールを示しています。

TraditionalWeb SSO

PKI

Kerberos

Liberty/SAML・

OpenID・

InformationCard

Biometrics

ICカード

OTP

EnterpriseSSO

認証強度

認証技術

強固な認証技術

認可技術

オープン標準

Attribute-basedAccess Control(XACML)

Risk-basedAccess Control

統合

分散

Page 8: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

8Copyright© 2009, Oracle. All rights reserved.

セキュリティコントロール

認証技術(ID情報による識別と許可) - 実績

この図では、認証技術(認可含む)の利用実績の情報を追加しています。

近年は、不正アクセス対策にも取り組むケースが増えて

います。

TraditionalWeb SSO

PKI

Kerberos

Liberty/SAML・

OpenID・

InformationCard

Biometrics

ICカード

OTP

EnterpriseSSO

認証強度

認証技術

強固な認証技術

認可技術

オープン標準

Attribute-basedAccess Control(XACML)

Risk-basedAccess Control

実績

個別対応

統合

分散

Page 9: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

9Copyright© 2009, Oracle. All rights reserved.

ここまでの整理

ここまでの話を下図のように整理してみます。

ID管理

機能

課題

質 の課題

量 の課題

機能の高度化を図る(強化・拡張)

集約して数を減らす(共通化)

情報セキュリティ対策の強化

・B to C (消費者向けのような不特定多数の利用者)・B to B (シェアードサービス/プライベートクラウド等)

この課題の優先度が高いケース

IDと権限割当ての適正化

高度な制御(RAdAC)認可・アクセス制御(RBAC、ABAC/PBAC)機能認証機能

リスク値によるコントロール

権限によるコントロール

不正の検出(発見)

多様な属性

によるコントロール

不正の抑止(予防)値に基づく判断

Need-To-Know の確認 アクセス状況の確認

識別 判断

※ 参考情報:

アクセス制御の方式(RBAC、ABAC、PBAC、RAdAC)についてhttp://csrc.nist.gov/news_events/privilege-management-workshop/

想定される脅威とリスクに応じて対策を講じる

A社

B社

C社

D社

Page 10: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

10Copyright© 2009, Oracle. All rights reserved.

追加事例(1)

XACML と

リスク値に基づくアクセス制御

システムの適正なコントロールのためには、情報の精度 と

利用状態(サービスレベル)を

確保・維持することが重要と考えています。

– 適切なアーキテクチャ(テクノロジー)を選択する

– 適切なアプローチを実施する

例2.人材情報を扱う会社(海外)のリスクベースのアクセス制御

人材情報の管理システム

100万件以上の

仕事データ

1,800万人以上の

人材データ

リスクベースのアクセス制御システム

BL情報

リスク値の算出エンジン

※ 過去履歴を含めた「アクセス状況」から、リスクを判断するため、固定的な保護ルールよりも安全性は高くなる。

融資の判断(銀行担当者)

当該案件の関係者

アプリケーション

顧客情報(機密性 – 高)

機密情報の運用ポリシー

PDP、PIP

XACML 2.0の要求/応答

ポリシー変更 監査/棚卸し

アプリ数:

20以上

例1.金融機関(海外)のXACMLによるアクセス制御

PEP

運用側

Page 11: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

11Copyright© 2009, Oracle. All rights reserved.

追加事例(2)

IGFによるID情報アクセスのコントロール

実用例ではありませんが、2008年11月に OpenLiberty の活動の一環で

Oracle Virtual Directory (LDAPゲートウェイ・ソフトウェア)と

ArisID API を組み合わせた

検証ケースが紹介されています。– ArisID API は、IGF(Identity Governance Framework)仕様を実装したOSS。

CARML メッセージにより、ID情報を取得する機能を提供しています。

http://www.oracle.com/technology/tech/standards/idm/igf/arisid/index.html

Page 12: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

12Copyright© 2009, Oracle. All rights reserved.

Oracle は何故、認証・認可(アクセス制御)を気にするのか? ~ OpenID や SAML を利用する事例が少ない? ~

Oracle にとっては、ID は「システムの利用者」「組織に所属する人を示す識別子」

として扱っており、情報セキュリティと効率化対策がID管理への取り組みのメイン。

ID管理をパブリックなプロバイダに委託することは、前提条件ではない。

ERP(HR)

情報系アプリ

RDBMS(データ)

ID情報の源泉・

業務ユーザの統制

利用者の識別(個人認証)・

利用者のアクセス制限(認可)

価値の高いデータの保護

ERPERP

ERP

情報系アプリ情報系アプリ

情報系アプリ

業務フロー(ワークフロー)の整備

・ オープン標準のI/Fによる連携(SAMLによる認証状態の連携を含む)

ユーザ

Web

AP

DB

Data

・認証・認可

・識別・認可

・識別・認可

・識別・認可

・識別・認可

Page 13: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

13Copyright© 2009, Oracle. All rights reserved.

まとめ

今回、次のことをお伝えしました。

– ID管理技術といっても、普遍のプロセスは存在しない。

事例をもとにご紹介しました

– ID管理とは、仮想世界で人をコントロールするための技術。

識別して、管理して、不正を抑止するための方法

– IDの信頼度は、情報の精度、認証レベル(認証強度)、セキュリティ

レベルに依存する。

人の流れ IT効率化オープン標準

効率化

(自動化) (共通化)

IDに関して...

Page 14: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

14Copyright© 2009, Oracle. All rights reserved.

参考情報1. 統合認証基盤のためのソフトウェア ~ Oracle セキュリティ・プラットフォーム

企業の情報セキュリティ対策を支援するためのソフトウェアおよび機能

を提供しており、世界中で多くの実績を持っています。

1.統合認証基盤の基本機能1.統合認証基盤の基本機能 ((Oracle Identity and Access Management SuiteOracle Identity and Access Management Suite))

2.補完機能2.補完機能

アイデンティティ(ID)管理

LDAP IDライフサイクル管理

認証・アクセス制御(アクセス管理)

統合型認証・アクセス制御 連携型認証(フェデレーション)

Oracle Internet DirectoryOracle Virtual Directory

Oracle Identity Manager Oracle Access Manager Oracle Identity Federation

ロール管理 シングル・サインオンの強化 認証・アクセス制御の強化

Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access ManagerOracle Entitlements Server

データ・セキュリティの強化

Oracle Advanced SecurityOracle Database VaultOracle Label SecurityOracle Audit VaultWebサービス・セキュリティ

Oracle Web Services Manager

電子文書の取扱いに関するセキュリティの強化

Oracle Information Rights Management

http://www.oracle.com/lang/jp/products/middleware/identity-management/identity-management.html

Page 15: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

15Copyright© 2009, Oracle. All rights reserved.

参考情報2. おでんの具材

鍋に何を入れますか?

・ 大根

・ こんにゃく

・ 練りもの

・ たまご

・ 牛すじ

ウインナー

Page 16: 事例でみるID管理技術の使い分け(仮) - Kantara …...Oracle Role Manager Oracle Enterprise Single Sign-On Suite Oracle Adaptive Access Manager Oracle Entitlements

日本オラクル株式会社 無断転載を禁ず

この文書はあくまでも参考資料であり、掲載されている情報は予告なしに変更されることがあります。日本オラクル社は本書の内容に関していかなる保証もいたしません。また、本書の内容に関連したいかなる損害についても責任を

負いかねます。Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその

子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標の可能性があります。


Oracle Communications Core Session Manager SCZ … · Oracle Communications Core Session Manager SCZ 7 ... Core Session Manager and Oracle Communications Session Border Controller

Oracle Communications Core Session Manager SCZ … · Oracle Communications Core Session Manager SCZ 7 ... Core Session Manager and Oracle Communications Session Border Controller

Documents
My Oracle Support: Configuration Manager (formerly My Oracle Support configuration manager) Name – Customer Support Manager Email -

My Oracle Support: Configuration Manager (formerly My Oracle Support configuration manager) Name – Customer Support Manager Email -

Documents
Managing Oracle Linux with Oracle Enterprise Manager · PDF fileIntroduction 2 Oracle Enterprise Manager 13c overview 2 Managing Oracle Linux with Oracle Enterprise Manager 13c 3 Discovery

Managing Oracle Linux with Oracle Enterprise Manager · PDF fileIntroduction 2 Oracle Enterprise Manager 13c overview 2 Managing Oracle Linux with Oracle Enterprise Manager 13c 3 Discovery

Documents
Kantara Initiative Operating Procedures

Kantara Initiative Operating Procedures

Documents
Oracle - Identity Manager

Oracle - Identity Manager

Technology
Oracle Web Service Manager Implementation Guide Oracle

Oracle Web Service Manager Implementation Guide Oracle

Documents
Kantara Workshop at CIS

Kantara Workshop at CIS

Technology
Oracle Enterprise Manager Oracle Database and Application ... · Page 1 of 52 Oracle Enterprise Manager 11g Data Masking Hands‐on Lab Introduction to Enterprise Manager 11g Oracle

Oracle Enterprise Manager Oracle Database and Application ... · Page 1 of 52 Oracle Enterprise Manager 11g Data Masking Hands‐on Lab Introduction to Enterprise Manager 11g Oracle

Documents
The Oracle SM2000 Web Manager - RCS | Remote … Oracle SM2000 Web Manager 1. The Oracle SM2000 Web Manager The Oracle SM2000 Web Manager is a high-performance browser-enabled system

The Oracle SM2000 Web Manager - RCS | Remote … Oracle SM2000 Web Manager 1. The Oracle SM2000 Web Manager The Oracle SM2000 Web Manager is a high-performance browser-enabled system

Documents
Oracle enterprise manager 12c Patch Manager

Oracle enterprise manager 12c Patch Manager

Technology
Oracle Identity and Access Managementetiuppcl.org/ppt/genx-ppt/Oracle-IDAM-Technical-Overview.pdf · Oracle Identity Manager (OIM) Oracle Adaptive Access Manager (OAAM) Oracle Identity

Oracle Identity and Access Managementetiuppcl.org/ppt/genx-ppt/Oracle-IDAM-Technical-Overview.pdf · Oracle Identity Manager (OIM) Oracle Adaptive Access Manager (OAAM) Oracle Identity

Documents
Oracle Key Manager

Oracle Key Manager

Documents
Oracle Enterprise Manager 12c Essentials · A. Installing Oracle Enterprise Manager using a new database B. Installing Oracle Enterprise Manager with Oracle Replication C. Installing

Oracle Enterprise Manager 12c Essentials · A. Installing Oracle Enterprise Manager using a new database B. Installing Oracle Enterprise Manager with Oracle Replication C. Installing

Documents
Kantara May 2012

Kantara May 2012

Technology
Oracle Enterprise Manager

Oracle Enterprise Manager

Technology
How Toad DBA Suite Complements Oracle Enterprise Manager 12cclubutilisateursoracle.org/.../2017/02/Oracle-Enterprise-Manager-12C.… · Complements Oracle® Enterprise Manager 12c

How Toad DBA Suite Complements Oracle Enterprise Manager 12cclubutilisateursoracle.org/.../2017/02/Oracle-Enterprise-Manager-12C.… · Complements Oracle® Enterprise Manager 12c

Documents
Oracle Identity Manager Readme - Oracle Documentation

Oracle Identity Manager Readme - Oracle Documentation

Documents
Simple, Inexpensive Oracle Recovery Manager Backups … · Simple, Inexpensive Oracle Recovery Manager Backups on EMC Celerra MPFS Applied Technology Abstract Oracle Recovery Manager

Simple, Inexpensive Oracle Recovery Manager Backups … · Simple, Inexpensive Oracle Recovery Manager Backups on EMC Celerra MPFS Applied Technology Abstract Oracle Recovery Manager

Documents
Oracle - Report Manager

Oracle - Report Manager

Documents
Oracle Configuration Manager - DOAG Deutsche ORACLE ... Rhein... · My Oracle Support: configuration manager ... R2 and 11g) 4 Configuration Manager ... system configurations on machines

Oracle Configuration Manager - DOAG Deutsche ORACLE ... Rhein... · My Oracle Support: configuration manager ... R2 and 11g) 4 Configuration Manager ... system configurations on machines

Documents
oracle identity manager training |oam training | oracle identity manager course

oracle identity manager training |oam training | oracle identity manager course

Education
Oracle Telephony Manager · 2003-05-12 · 1-2 Oracle Telephony Manager Implementation Guide Section1.1.3, "Application Architecture" Section1.1.4, "Oracle Telephony Manager (OTM)"

Oracle Telephony Manager · 2003-05-12 · 1-2 Oracle Telephony Manager Implementation Guide Section1.1.3, "Application Architecture" Section1.1.4, "Oracle Telephony Manager (OTM)"

Documents
Oracle Access Manager

Oracle Access Manager

Documents
Oracle Connection Manager

Oracle Connection Manager

Design
Oracle Fusion Middleware Administering Oracle …Oracle Fusion Middleware Administering Oracle Identity Manager Manager

Oracle Fusion Middleware Administering Oracle …Oracle Fusion Middleware Administering Oracle Identity Manager Manager

Documents
Oracle® Access Manager · Oracle Access Manager Schema Description—Provides details about the schema. Oracle Access Manager Configuration Manager Installation and Administration

Oracle® Access Manager · Oracle Access Manager Schema Description—Provides details about the schema. Oracle Access Manager Configuration Manager Installation and Administration

Documents
Oracle Enterprise Manager · Introduction to Extending Enterprise Manager Oracle Enterprise Manager is Oracle's suite of management products for managing various Oracle and non-Oracle

Oracle Enterprise Manager · Introduction to Extending Enterprise Manager Oracle Enterprise Manager is Oracle's suite of management products for managing various Oracle and non-Oracle

Documents
Oracle Enterprise Manager Cloud Control 12c:Oracle Enterprise Managerを使用した ... · Oracle Enterprise Manager Cloud Control 12c Oracle Enterprise Managerを使用したOracle

Oracle Enterprise Manager Cloud Control 12c:Oracle Enterprise Managerを使用した ... · Oracle Enterprise Manager Cloud Control 12c Oracle Enterprise Managerを使用したOracle

Documents
oracle identity manager

oracle identity manager

Documents
Oracle Enterprise Manager Oracle Fusion Middleware Management · Page 1 of 30 Oracle Enterprise Manager 11g SOA Management Hands‐on Lab Introduction to Enterprise Manager 11g Oracle

Oracle Enterprise Manager Oracle Fusion Middleware Management · Page 1 of 30 Oracle Enterprise Manager 11g SOA Management Hands‐on Lab Introduction to Enterprise Manager 11g Oracle

Documents