ID&IT Management Conference 2013に参加します

現在国内で開催されるエンタープライズ向けのアイデンティティ管理関連のイベントといえば、

・ID&IT Management Conference

・Japan Identity & Cloud Summit

の2つが主だと思います。

（コンシューマとか技術よりだと通称 idcon の Identity Conference とか OpenID Technight などもあります）

そのうち、ID&IT Management Conference 2013 が 9/18@大阪、9/20@東京で開催されます。

　公式ページ

http://nosurrender.jp/idit2013/

昨年はカンターラ・イニシアティブの顔でシングルサインオンに関する技術動向についてのパネルディスカッションのモデレータをさせていただいたのですが、今年は日本ネットワークセキュリティ協会（JNSA）の顔で「THE 日本のID管理(SI編)～要求仕様策定のポイント～」と題してアイデンティティ管理システム／認証システムの導入に関する RFP をどうやって書くべきなのか？のポイントについてのパネルディスカッションのモデレータを担当することになりました。

公式サイトのプログラム紹介ページより

THE 日本のID管理(SI編)～要求仕様策定のポイント～

日本のIAM分野のSIerが、認証基盤システム導入のための要求仕様(RFP)策定のポイントについてパネルディスカッションを行います。

内容についてはまだ考えている途中ですが、JNSAのアイデンティティ管理ワーキンググループで今年度のテーマの一つとして検討をしている、「アイデンティティ管理や認証システムの導入の目的と必要とする機能のマッピング」をベースに話をする予定です。

要するに、一言でアイデンティティ管理とか認証基盤と言っても何のためにシステム化をするのかによって必要となる機能は違うはずなので、単純に製品機能の有無（例えば対応する接続先アダプタの数など）で検討を進めてもあまり意味は無く、例えば運用コストを下げる目的ならばパスワードのセルフリセット機能などの自動化機能の重みが増しますよね、などといった話をしていこうと思います。

まだ、パネリストは未定ですが、導入経験の豊富な SIer のみなさんが登場してくれるはずなので、現場の生の声が聞けるチャンスだと思います。

平日の日中帯ですが、東阪の両方の会場でやりますので、都合がよろしければご来場ください。

アイデンティティ・プロバイダにおける身元保証と岩波書店の縁故採用宣言

たまには時事ネタも、ということで。

岩波書店が2012年度の採用を縁故採用に限る、という宣言をしたことが賛否両論を呼んでいますね。

岩波書店の採用ページ
http://www.iwanami.co.jp/company/index_s.html

色々な意見があるのは確かだと思いますので、ここでは特に何の意見も述べるつもりはないので、少しだけWeb上の反応を紹介しておきます。
（私の周りには結構肯定的な意見が多いかも）

・雑種路線でいこう
　http://d.hatena.ne.jp/mkusunok/20120204/p1
・常識的に考えた
　http://blog.livedoor.jp/jyoushiki43/archives/51836165.html
・ドラゴンの抽斗
　http://ameblo.jp/nitta-ryo/entry-11153856843.html


で、ここからアイデンティティの話（およびサービスプロバイダの話）です。
先日の Kantara Initiative Seminar 2012 Winter でも Japan WG 議長の山田さんが紹介していましたが、現在 Kantara Initiative が生き残りを賭けて？力を注いでいるのが Identity Assurance Framework です。
※山田さんの講演資料はこちら：
　http://kantarainitiative.org/confluence/pages/viewpage.action?pageId=57606150


背景を含め簡単に説明すると、、、
特にパブリック・クラウドなど事業者をまたがってサービスを使う様な場合、「サービス・プロバイダの信頼」というものが非常に重要になってきます。
※これまでこの blog で紹介してきた AD FS2.0 などで言う証明書を使った信頼関係の実装とはレイヤが違う意味での「信頼」です。事業者同士の信頼をITシステムの中で表現するための一つの方法が証明書ベースでのIdP/RP間の信頼です。

例えば、アプリケーションを提供する側としては、外部のアイデンティティ・プロバイダからの認証結果や属性情報を受け入れるには普通に考えて結構な覚悟が要るはずです。本当に認証は正しく実行されているんだろうか？パスワードが漏れていて実際は本人以外の人がアカウントを使っているんじゃないだろうか？実は退職した後でもアカウントが消されていなくて不正利用をされているんじゃないだろうか？など考えただけで色々な懸念があるはずです。

また、逆にアイデンティティ・プロバイダ側からすると利用したいアプリケーション・サービスが本当に大丈夫なのか？については同様に気を使います。管理レベルが低くて提供したメールアドレスなどの属性情報をリスト化してスパム業者に売り払っているんじゃないだろうか？作成したデータを盗み見られているんじゃないだろうか？などなど、こちらも多くの懸念があります。

こうなってくると「何を持ってアイデンティティ・プロバイダ、サービス・プロバイダを信頼するか」の基準の確立が非常に大切になってきます。これを「トラスト・フレームワーク」と言います。
現在、Kantara Initiative は Open Identity Exchange（OIX）と並んでポリシー策定者である米国調達庁（GSA/ICAM）の認定したトラスト・フレームワーク・プロバイダとなっています。
GSA が行う電子調達においては OIX や Kantara Initiative が認定したアイデンティティ・プロバイダで認証された利用者 / 企業であることが必要となります。



ちょっと話がそれましたが、このトラスト・フレームワークの認定基準を見るとアイデンティティ・プロバイダ、サービス・プロバイダで事業に従事する人員の採用に関する要件についても規定されています。

Kantara Initiative Identity Assurance Framework
Identity Assurance Framework:Service Assessment Criteria

LoA2 ( Level of Assurance 2 )
AL2_CO_OPN#030 Personnel recruitment
Demonstrate that it has defined practices for the selection, evaluation, and contracting of all service-related personnel, both direct employees and those whose services are provided by third parties.

LoA3/4 ( Level of Assurance 3/4 )
AL3_CO_OPN#030/AL4_CO_OPN#030 Personnel recruitment
Demonstrate that it has defined practices for the selection, vetting, and contracting of all service-related personnel, both direct employees and those whose services are provided by third parties. Full records of all searches and supporting evidence of qualifications and past employment must be kept for the duration of the individual's employment plus the longest lifespan of any credential issued under the Service Policy.

特に LoA3や4（信頼レベル高）ともなると過去の従事者が資格を満たしていることのエビデンスや雇用履歴の調査など、かなり厳密な管理が必要となります。
それもそのはず、例えばイギリスでは LoA4 を要求するサービスとして生命や医療、国防にかかわるサービスをあげていたりします。


Kantara Initiative の他にも Cloud Security Alliance（CSA）でも Cloud Control Matrix（CCM）を定めており、その中にも従事者の採用に関する項目が規定されています。

CSA / Cloud Control Matrix（CCM）
https://cloudsecurityalliance.org/research/ccm/

HR-01
Pursuant to local laws, regulations, ethics and contractual constraints all employment candidates, contractors and third parties will be subject to background verification proportional to the data classification to be accessed, the business requirements and acceptable risk.

HR-02
Prior to granting individuals physical or logical access to facilities, systems or data, employees, contractors, third party users and tenants and/or customers shall contractually agree and sign equivalent terms and conditions regarding information security responsibilities in employment or service contract.

HR-03
Roles and responsibilities for performing employment termination or change in employment procedures shall be assigned, documented and communicated.

特に HR-01 では身元確認の重要性を強調しています。



色々と書きましたが、岩波書店の話に戻すと特に公共性の高いサービスにおいては「身元のしっかりした人を採用する」ことの重要性が認識され始めているのかも知れません。
しかし、これには色々と問題があるのも確かで、特にプライバシーの観点から見ると過去の犯罪歴や家族構成などが原因で仕事に就けない、といった事象を生む可能性も否めません。
※この辺りは崎村さんの blog で。
　http://www.sakimura.org/2010/12/686/

クラウドを含め単一の企業ネットワークに閉じた境界防御ではなく複数の事業者にまたがるビジネス・スキームが主流になってくると必ず話題に上る、いわゆる「セキュリティ vs プライバシー」の議論の典型的な例だと思いますので、岩波書店の例に関する結果がどうなるのか？は要ウォッチかも知れません。

Kantara Initiative Seminar 2011 に参加しました

先日お知らせした通り、本日 Kantara Initiative Seminar 2011 が開催されました。

私は Microsoft のアイデンティティ関連技術のオーバービューを話させていただきました。

スライド

Microsoft Identity Technology / Kantara Initiative Seminar 2011

View more presentations from Naohiro Fujie

他の方の資料も合わせてイベントサイトに既にアップロードされているので見逃した方はダウンロードしてみてください。

また、@hirokiさんが Togetter で一連のつぶやきをまとめてくれたので、現場の雰囲気は以下より参照できるかと思います。
http://togetter.com/li/143786


今回のセミナでは標準仕様に関するコアな技術の話から、実際の事例の話まで非常に幅広いテーマで話が聞けたため、とても役に立つものでした。
次回にも期待していきたいと思いますので、まだ参加したことのない方は是非とも参加してみてください。

Kantara Initiative セミナー 2011 が開催されます

直近ですが、6月3日（金）に Kantara Initiative セミナー 2011 が開催されます。

内容としては、技術セミナーなので分散アイデンティティ管理を実現するための各種技術要素の解説や事例が中心となる予定です。

私もこれまで紹介してきたマイクロソフトの技術を中心に1つセッションを担当します。

－予定講演一覧

講演

「Kantara Initiative Identity Assurance Frameworkについて（仮題）」

　NTT情報流通プラットフォーム研究所　伊藤　宏樹

講演

「NSTICについて（仮題）」「OpenID/OAuthの最新動向について（仮題）」

　株式会社野村総合研究所 崎村　夏彦

講演

「ID-WSF2.0を利用したセキュアな情報流通」

　NTTソフトウェア株式会社　菅野　淳

講演

「マイクロソフトのアイデンティティ関連技術概要」

　伊藤忠テクノソリューションズ株式会社　富士榮　尚寛（MS MVP）

事例紹介

「契約に基づいた外注スタッフのアカウント管理～NTTデータ「CURE」の取り組み」

　株式会社NTTデータ ITマネジメント室　梅香　輝彦

－案内文

======================================================================

カンターラ・イニシアティブ・セミナー2011開催のご案内

デジタルアイデンティティ管理に関するグローバルなオープンフォーラムであ

る「カンターラ・イニシアティブ (Kantara Initiative) 」の公開セミナーを

開催いたします。

米国政府より4月に発表されたNational Strategy for Trusted Identities in

Cyberspace(NSTIC)の取組からも示唆されるように、散在する個人のアイデン

ティティ情報を、セキュリティやプライバシに配慮しつつ、いかに連携して活

用するか、という課題意識はグローバルに高まっています。

今回のセミナーでは、このような分散型のアイデンティティ管理フレームワー

クを実現するための参考となる技術要素について解説をいただきます。

また毎回好評をいただいているエンタープライズ向けのアイデンティティ管理

事例紹介として協働者管理への適用例をご紹介します。

アイデンティティ管理に携わる多くの技術者の皆さまのご参加をお待ちしてお

ります。

【日 時】2011年6月3日(金)14:30～18:00頃(14:00受付開始)

【会 場】NTTソフトウェア株式会社セミナールーム(太陽生命品川ビル25F)

http://www.ntts.co.jp/event/map_seminar.html

【主 催】カンターラ・イニシアティブ ジャパン・ワークグループ

【参加費】無料（事前登録制）

【定 員】80名（先着順）

毎回すぐに一杯になってしまうセミナーなのでご都合が良ければ参加してみてはどうでしょうか？

申し込み方法などは以下のURLよりどうぞ。

http://kantarainitiative.org/confluence/display/WGJ/Kantara+Initiative+Seminar+2011

カンターラ・イニシアティブ技術セミナー2010に参加してきました（12/19更新）

【12/19更新：資料が公開されました】

12/14にカンターラ・イニシアティブ技術セミナー2010が新宿であったので参加してきました。

今回は

・SAML標準技術を活用した学術認証連携基盤の構築

　国立情報学研究所 学術ネットワーク研究開発センター 教授 中村 素典さん

・バックオフィス連携実験におけるID連携技術の適用

　株式会社NTTデータ リージョナルビジネス事業本部 永田 敏之さん

の2本立てでした。

話の流れはいずれ資料が公開されると思いますし、それまでは@hirokiさんがtogetterしてくれたのでそちらを見ていただければある程度流れはわかると思いますが、ざっくりおさらいをしておきます。

メインテーマに入る前にJapan Workgroupの坂本さんから最近のKantara Initiativeの活動を紹介してくださいました。これまで各WGの活動と他のWGとの関連性をまとめた資料は見たことがなかったのでとても貴重な話でした。

前回のシンポジウムのメインテーマだったことからもわかりますが、最近Kantara Initiativeが一番注力しているのがIAF(Identity Assurance Framework)で、IAF WG以外のいくつかのWGの活動もIAFに絡んでいる、という話もありました。

資料はこちら：http://kantarainitiative.org/confluence/download/attachments/45057108/KantaraJapanWGseminar20101214.pdf

次にメインの1本目、NIIの中村教授のShibbolethの話ですが、これはUSTで見ていた人にはわからないと思いますが、「学認ベスト(笑)」をまず最初に披露していました。（どこに売っているんだろう？？）※学認（GakuNin）＝学術認証ネットワーク

普段は基本的にエンタープライズを相手にお仕事をしているのでShibbolethは全くの門外漢なのですが、非常に基本的なところからShibbolethを解説していただき非常に役に立ちました。

基本的な考え方はSAML対応のWebSSOとDS（Discovery Service）がセットになった仕組みなので、他のWeb SSOとあんまり変わりませんが特徴としては以下の様な所であると感じました。

・スキーマ（eduPersonなど）が標準化されておりSPでの認可が共通化されている

　この辺りは共通基盤の強みです。

・DSとセットになっている

　複数IdP（各大学）と連携することを前提に作られているのでIdPを選択させる仕組みが必要になります。

・Federation Metadataを学認が取りまとめている

　通常はIdPとSPの間の信頼とFederation情報のやり取りは個別にやりますが、ここも共通基盤の強みですが、学術認証ネットワークに参加しているIdP（大学）と対応するSP（アプリケーション）の情報を一元管理しています。

・UPKIとの連携

　基本モデルはSPとIdPの間の信頼関係にある点は当然他のSAMLの仕組みと何ら変わらないので証明書のやり取りが発生しますが、事前に学認に参加する大学を審査しておくことにより使用するサーバ証明書の発行を簡素化する、という仕組みも構築されているそうです。

次にバックオフィス連携の実証実験の話ですが、これは電子行政（住民票の電子申請とか）を推進するために裏側（バックオフィス）で各自治体などとセキュアに情報をやり取りするための取り組みに関する話でした。

今後このバックオフィス連携の仕組みが自治体や各省庁の間の情報連携を行うための情報ハブ・プラットフォームとなるということでした。

現段階では実証実験ですが、SAML2.0 / ID-WSF2.0を採用しフェデレーションやプライバシー情報の連携を行っており、かつそれらの要素技術を何故選択したのか？などについても解説があったので非常に参考になりました。

また、行政関連ということで特徴的だったのが例えば障害等級の情報など非常にセンシティブな情報を扱うことが前提となる仕組みなのでID-WSFなど本人の同意の元で最低限の情報を連携する仕組みが必要になってくるということでした。他にも自治体職員が本人の代わりに過去に本人が在住していた自治体から情報を取得する時にいかにプライバシーを保護するのか？というテーマでのユースケースが紹介されたりと興味深い点が数多くありました。

とりあえずメインセッションの資料の公開を期待して待っておきましょう。

すみません、字ばっかりで。

IDaaSに関して考えてみる

たまには製品の実装の話以外も、ということでIDaaS（Identity as a Service）について考えてみます。

クラウドの潮流の中でXaaSというキーワードで「何でもサービス化」というのが流行って？いますが、アイデンティティをサービス提供する形態として「IDaaS」というのもしばしば耳にする様になってきました。

■IDaaSとは何か？

IDaaSとは平たく言うとアイデンティティプロバイダ機能のクラウドサービスなので、
・セキュリティトークンサービス（STS）
　認証機能
　セキュリティトークンの発行、変換機能
・アイデンティティストア
　アイデンティティ情報の保持
　ライフサイクル管理機能（セルフサービスポータル等）
といった機能が提供されることになります。

また、場合によっては他のクラウドサービスへのプロビジョニングを行ったりすることもあり得ると考えられます。

■IDaaSのメリット
IDaaSのメリットとして主に以下の事項が挙げられます。
サービスプロバイダにとって
・認証機能やアイデンティティ管理機を自前で開発しなくてよい
・アイデンティティ情報などのセンシティブな情報を自前で保持しなくてよい

利用者／利用企業にとって
・（サービスが対応していれば）複数のサービスで横断的に利用できる認証基盤となり、シングルサインオンが出来る
・複数のサービスと個別に信頼関係を結ぶ必要がなくなる（フェデレーション・ゲートウェイとしての利用）
・STSのトークン変換機能を使うことで自前（オンプレミス）のIdPを使うことができる（クラウド上にアイデンティティ情報をおく必要が必ずしもなくなる）

もちろん使い方や利用するサービスによってすべてのメリットを享受できるわけではありませんが、特にフェデレーション・ゲートウェイとしての機能はクラウド・オンプレミスのアイデンティティ連携を行う上では非常に有用な機能となりえると思われます。

■現在のプレイヤー
現在のプレイヤーとしては、GoogleやYahoo!、Windows LiveIDなどOpenIDプロバイダとしてサービスを提供しているものや、FacebookやTwitterなどOAuth対応という形で一部の認証や認可の機能をサービスプロバイダに提供しているものなどが挙げられます。
ただ、先述のクラウド・オンプレミス連携を行う上で重要となるフェデレーション・ゲートウェイ機能を提供しているサービスはまだ少なく、PingIdentityや対応するサービスが限定的ですがマイクロソフト（Microsoft Federation Gateway）くらいがメジャーどころだと思います。

■IDaaSを立ち上げるには？
これはIDaaSに限りませんがGoogleやAmazonの様に自前でサービスを提供するためにシステムを開発するプロバイダやマイクロソフトの様に元々製品を持っていたものをベースにサービスを提供するプロバイダと違って、OSS以外の既製品を組み合わせてサービス化していくのは採算的に中々厳しいと思われます。
（AmazonやGoogleの実装を元としてEucalyptusやHadoopが出てきていますが、あくまでリファレンス実装ですし、AmazonやGoogle自身が販売してるモノではありません。仮に彼らが自身のサービスに使っているツールを製品として販売したら相当な価格になるんじゃないかと思います）

例えばIDaaSを立ち上げるのに、市販のシングルサインオン系の製品を使ってしまうと、それらの殆どはユーザ数でライセンス課金なので、1ユーザあたり数千円～数万円の値付けをしないと採算が合わないでしょうが、ユーザが単なる認証機能にそれだけの金額を払うことはないでしょう。（Novell製品で米VerizonなどはIDaaSをやっているといいますから、それなりにベンダの値引きがあるんでしょうが・・・）

となると、自前でIdPを実装するかWSO2やOpenSSO/OpenAMなどのOSSをベースとして独自のサービスを実装するという覚悟が必要になるのかも知れません。

また、価格面以外にも認証や認可などセキュリティの根幹を担う機能を外部に委託する事になるので、ユーザからも提携するサービスプロバイダからも信頼される必要があります。ユーザに対してはOpenID CXやID-WSFの様に利用者自身の責任において属性の公開範囲等をコントロールする様な仕組みもありますし、この辺りになるともっと公的な機関との連携が必要になると思いますがKantara/LibertyのIdentity Assurance Framework(IAF)やGSA(米国調達庁)とICAMの例の様に第3者による認定制度の様な仕組みも必要になってくるでしょう。

IAFの認定アセスメントのイメージ

GSA/ICAM/OIXによる認定のイメージ


このように色々とハードルが高い世界ではありますが、出来れば日本でもPingIdentityの様にIDaaSプロバイダが出てくると面白いと思っています。

ツアー終了

先週から始まったエクスジェン・ネットワークス東名阪ツアーが本日終了しました。

様々な方々に来て頂き、「ブログ見てます！」というお言葉を頂き、非常に勇気づけられた1週間でした。皆さまにはとても感謝しております。

内容ですが、メインテーマは「IdM製品の傾向」でしたが、アイデンティティ管理自体に関するトレンドの推移やアイデンティティ情報の管理および利用モデルの移り変わりについて簡単ではありますが紹介させていただきました。

簡単に概要ですが、アイデンティティ管理を行う目的として、

• 運用の効率化
• セキュリティの強化
• 利便性の向上
• 法令対応／内部統制

といったキーワードが絡み合ってプロジェクトが複雑化しがちですが、それらのキーワードがここ10年程度を振り返ってどのような経緯で持ち上がってきたか、各製品ベンダはどのような機能でそれらのキーワードに追従してきたか、を紹介しました。

また、クラウド（主にSaaS）をイメージした際に、アイデンティティ情報を提供する側、サービスを提供する側それぞれの間を結ぶのは「信頼」であること、USガバメント（ICAM、OIX）やIAFの例をベースに保証のフレームワークを簡単に紹介しました。

全体に少々企業内のプロビジョニングとは離れた世界の話になりましたが、今後考えなければいけない事柄ばかりだと思うので、非常にざっくりですが紹介出来て良かったと思います。

いづれにしても、上記のような複雑な要件が絡み合うが故にややこしいプロジェクトになってしまいがちなアイデンティティ管理ですが、今後もしばらくはややこしさが付いて回りそうです。。。。

[終了]カンターラ・イニシアティブ・シンポジウム2009

以前ご紹介したカンターラ・イニシアティブ・シンポジウム2009が終わりました。

想像以上の動員で130～150人くらいは来場していたのではないでしょうか？

さて、内容です。

14:05～15:05 基調講演 "Why Kantara matters to ISOC and the Internet" （同時通訳）
Lucy Lynch
Trustee, Kantara Initiative
Director of Trust and Identity Initiatives, Internet Society

まずはLucyさんの基調講演ですが、こちらは非常にジェネラルというかインターネットとセキュリティや標準化の歴史的な話が中心だったのですが、おさらいの意味でとても役に立ちました。


15:10～15:30 一般講演 「アイデンティティ管理の『現在・過去・未来』」
金子以澄
日本CA株式会社 マーケティング部 マーケティングマネージャー

次にCA金子さんのセッションです。こちらは特にエンタープライズにおける課題とアイデンティティ管理関連技術の移り変わりがとてもきれいにまとめられていて、ある意味これまで技術仕様の解説中心だったLiberty/Kantaraの中ではかつてないほどわかりやすいセッションだったと思います。


15:30～16:00 一般講演 「カンターラ・イニシアティブにおける分科会の取組み事例」
伊藤宏樹
日本電信電話株式会社 NTT情報流通プラットフォーム研究所

伊藤さんのセッションでは各分科会の活動内容概要が紹介されました。IAFやUMAなど今後のID連携システムが普及する上でキーとなりそうなものについて簡単にまとめられていました。
ちなみにIAF（Identity Assurance Framework）では
・認証行為の保証レベルの規定
・各保障レベルに応じて必要となる実装／管理運用体制に関する規定
が定められます。
これにより、扱うID情報の種類のレベル付けや管理体制の定義、およびそれらを外部から監査するという枠組みが規定され信頼性を担保します。（ISMSなどと同じイメージ）
監査を通過すれば対象となるプロバイダにKantaraがお墨付きを与える、というようなことも検討しているようです。

また、UMA（User Management Access）ですが、こちらはユーザセントリックな環境においてユーザが複数のサービス（IdP、SP）を使う際に個別にID情報の伝搬の可否を判断することになり、利便性／確実性が低下することを防ぐための取り組みです。具体的には個々で行っていたアクセスコントロールをAuthorization Managerというコンポーネントを介在させることで用語やインターフェイスを統一させて混乱を防ぐことを考えているようです。


16:15～17:00 特別講演 「健康情報活用基盤 （日本版EHR） の全体構想について」
山本隆一
東京大学情報学環・学際情報学府 准教授 医学博士

山本先生の話は話し方、内容ともに非常に刺激的な内容で非常に面白かったです。
つかみは医療におけるITの活用の歴史から始まり、「保健医療情報は本来個人に帰属すべきである」という考え方に基づく基盤構想の紹介（ユーザセントリックですね）、浦添市における実証実験の内容の紹介、と生活に密着しているが故に興味深い内容でした。
この構想ではキーとして社会保障カードを使い、ID登録／カード発行は行政サービスとして自治体が行い、ID情報の取り扱いにはSAML2.0/ID-WSF2.0が使われていました。また、ポイントは扱う情報の中に「関係」という属性を持たせており、例えばフィットネスクラブで計測した体重などの情報についても主治医として関係付けがされた機関（SP）からは情報の参照が出来たり、という属性ベースのアクセスコントロール的なことが行われていました。


17:00～17:30 事例研究 「事例でみるID管理技術の使い分け(仮) 」
澤井 真二
日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部

こちらはオラクルさんによる事例紹介です。
澤井さんの組織の名前を見てもわかるようにオラクルではIdM製品群をセキュリティ製品の中心に置いているのでIdM導入のゴールはセキュリティ・コントロールというところに置いているのが印象的でした。


17:30～18:00 事例研究 「J-SaaS における SAML2.0 の適用」
永野 一郎
NTTソフトウェア株式会社 モバイル＆セキュリティ・ソリューション
事業グループ セキュリティソリューションチーフエキスパート


こちらも事例ベースの話です。
特に印象深かったのはSSOした後に別のIDへの切り替えをしなければならない、という要件への対応です。これは企業で兼務対応などをする際には実際にあり得る話だなぁと思います。（例えばログインはA部の部長としてするが、特定のシステムにおいては出向先の本部長としてのアクセスが必要、、とか）
この事例ではSAML2.0のForceAuthnを使っていました。



と、ざっと感想めいたことを書いてみましたが、おいおい資料なども公開されるようですので、本日参加できなかった方も是非参考にしていただければ、と思います。

[予告]カンターラ・イニシアティブ・シンポジウム2009

アイデンティティ管理技術の普及拡大を目的として今年6月に発足したカンターラ・イニシアティブのセミナが11/6（金）に開催されます。7月に開催されたセミナは発足記念セミナでしたので、実質今回のセミナが本格的な活動の第一歩と言えると思います。
私もJAPAN WGに参加しており、先日このセミナで使う講演資料に関する打ち合わせを実施しました。WGに参加されている方々はこの分野では名の通った方々ばかりなのでとっても緊張してしまうのですが、各種技術の相互運用など、今後有用なテーマに取り組んでいるので非常に勉強になります。

下記サイトで今回のシンポジウムに関する情報が公開されていますので、ご興味のある方は参加してみてはいかがでしょうか？
http://kantarainitiative.org/confluence/display/WGJ/091015+KI+2nd+Seminar


アジェンダ（予定）は下記です。


14:00～14:05 開会挨拶
高橋健司
カンターラ・イニシアティブ　ジャパン・ワークグループ　議長
14:05～15:05 基調講演 "Why Kantara matters to ISOC and the Internet" （同時通訳）
Lucy Lynch
Trustee, Kantara Initiative
Director of Trust and Identity Initiatives, Internet Society
15:05～15:10 （休憩）
15:10～15:30 一般講演 「アイデンティティ管理の『現在・過去・未来』」
金子以澄
日本CA株式会社 マーケティング部 マーケティングマネージャー
15:30～16:00 一般講演 「カンターラ・イニシアティブにおける分科会の取組み事例」
伊藤宏樹
日本電信電話株式会社 NTT情報流通プラットフォーム研究所
16:00～16:15 （休憩）
16:15～17:00 特別講演 「健康情報活用基盤 （日本版EHR） の全体構想について」
山本隆一
東京大学情報学環・学際情報学府 准教授 医学博士
17:00～17:30 事例研究 「事例でみるID管理技術の使い分け(仮) 」
澤井 真二
日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部
17:30～18:00 事例研究 「J-SaaS における SAML2.0 の適用」
永野 一郎
NTTソフトウェア株式会社 モバイル＆セキュリティ・ソリューション
事業グループ セキュリティソリューションチーフエキスパート
18:00 閉会挨拶

クラウド時代のID管理へ？ ～ADFS2.0がSAML2.0相互運用性テストにパス～

先のポストにも一部書きましたが、カンターラ・イニシアティブとLiberty AllianceのSAML2.0相互運用性テストにマイクロソフトのADFS2.0（Geneva Server）がパスしています。

http://www.projectliberty.org/news_events/press_releases/entrust_ibm_microsoft_novell_ping_identity_sap_and_siemens_pass_liberty_alliance_saml_2_0_interoperability_testing



















結果をみると、ADFS2.0が今回パスしたのは、
・IDP Lite
・SP Lite
・eGov 1.5
です。

企業内のAD/ADFSをIdPとしてクラウドのサービスの認証を行う、ということができるということになれば、クラウドサービスの利用の障壁が少しでも下がるのではないでしょうか？
また、SAMLという標準的なプロトコルに対応した、ということでオンプレミスの世界でもこれまでWindows統合認証ができないために利便性が悪かった様々なIIS以外のアプリケーションサーバの認証が別途SSOツールを導入しなくてもできる、となるとADFS2.0は非常に強力なソリューションということができると思います。



ちなみに、ひそかに2010年の第2四半期にリリースされる予定のSAP NetWeaver Identity Management 7.2もパスしてます。
こちらは
・IDP Lite
・SP Lite
が対象です。

MaXware時代後期にもMFS（MaXware Federation Server）が出てきてはいたものの、結局SAPに買収されたときに立ち消えになっていましたが、ここにきてリリースされるということになったようです。
GUIクライアントとのEnterpriseSSOとかも合わせて実装されればな～とも思います。

7 Laws of Identity

久しぶりの投稿になってしまいました。

マイクロソフトのアイデンティティ管理に関する基盤となる考え方であるアイデンティティの原則（The Laws of Identity）のポスターが同社のアイデンティティ＆アクセスアーキテクトのKim Cameron氏のblogで紹介されています。
改めて見てみると初出が2005年であるにも関わらず錆ついていない内容になっています。（「原則」なのでそんなに簡単に変わってしまうと困りますが）

7 Laws of Identity
http://www.identityblog.com/?p=1065
















Genevaの実装が見えてきて、ようやく同社のアイデンティティ＆アクセスのVisionであったIdentity Metasystem構想が現実のものになってきた、ということもあり今改めて基盤となっているこの原則を掲載しなおしたのだと思います。

構成要素	現状実装	次期実装
"InfoCard" identity selector	CardSpace	Windows Cardspace （"Geneva" Cardspace）
"InfoCard" simple self-issued identity provider
Active Directory identity provider	ADFS	Active Directory Federation Services （"Geneva" Server）
"Indigo"	WCF	Windows Identity Foundation （"Geneva" Framework）

Identity Metasystemとは簡単に言うと、IdPが発行するセキュリティトークンの種類、RPとの間の受け渡し方法などの技術的な要素をユーザやディベロッパーが意識しなくても利用／開発ができるようにするための考え方（アーキテクチャ）です。
たとえば、IdP（STS）が発行するトークンの種類がSAMLトークンであろうがNTトークンであろうがアプリケーション側は意識をすることなく同じIClaimsIdentityクラスでトークンに含まれるクレーム（属性情報）にアクセスすることができます。

このあたりはカンターラ（Liberty Alliance）がやっている相互運用性の取り組みにもつながる話です。
















ちなみに初出はこれです。↓（2006年1月8日／PDFは2005年5月13日）

The Laws of Identity
(http://www.identityblog.com/?p=352)


以下、概要です。

1. User Control and Consent
Technical identity systems must only reveal information identifying a user with the user’s consent.

ユーザーによる制御と同意
個々のアイデンティティ システムでは、ユーザーの同意がなければ、ユーザーの識別情報を開示することはできない。

2. Minimal Disclosure for a Constrained Use
The solution that discloses the least amount of identifying information and best limits its use is the most stable long-term solution.

制限付きアクセスでの最小限の開示
最も安定し、長期にわたって使用できるソリューションとは、開示するアイデンティティ情報を最小限にし、情報へのアクセスを適切に制限するソリューションである。

3. Justifiable Parties
Digital identity systems must be designed so the disclosure of identifying information is limited to parties having a necessary and justifiable place in a given identity relationship.

正当と認められる当事者
デジタル アイデンティティ システムは、特定の状況において識別情報を必要とし、かつ入手できる正当な権利を持つ当事者のみに対して識別情報を開示するように設計されなければならない。

4. Directed Identity
A universal identity system must support both “omni-directional” identifiers for use by public entities and “unidirectional” identifiers for use by private entities, thus facilitating discovery while preventing unnecessary release of correlation handles.

方向付けられた アイデンティティ
普遍的なアイデンティティ システムは、公共のエンティティが使用する“全方位的”な識別子と、プライベートなエンティティが使用する“特定の方向性”を持った識別子の両方をサポートしなければならない。このようにして、公共性を維持しながら、不要な相互関係までサポートすることを回避すべきである。

5. Pluralism of Operators and Technologies
A universal identity system must channel and enable the inter-working of multiple identity technologies run by multiple identity providers.

複数の運用者/テクノロジの共存
普遍的なアイデンティティ システムは、複数のアイデンティティ プロバイダーによって実行される複数のアイデンティティ テクノロジの相互作用を橋渡しし、有効にしなければならない。

6. Human Integration
The universal identity metasystem must define the human user to be a component of the distributed system integrated through unambiguous human-machine communication mechanisms offering protection against identity attacks.

ユーザーの統合
普遍的なアイデンティティ メタ システムは、利用者たるユーザーを分散システムの 1 つのコンポーネントとして定義しなければならない。ユーザー - マシン間の明確なコミュニケーション メカニズムを策定してユーザーを分散システムに統合し、アイデンティティを保護しなければならない。

7. Consistent Experience Across Contexts
The unifying identity metasystem must guarantee its users a simple, consistent experience while enabling separation of contexts through multiple operators and technologies.

特定のコンテキストに依存しない一貫したエクスペリエンス
アイデンティティの統一的なメタ システムは、運用者やテクノロジごとにコンテキストを分離することを可能にしつつも、シンプルで一貫したエクスペリエンスを確保できるものでなければならない。

カンターラ・イニシアティブ発足記念セミナー

昨日、オラクル青山センターで開催されたので参加してきました。

アジェンダおよび内容は以下の通り。

1.カンターラ・イニシアティブ概要説明　／　NTT情報流通プラットフォーム研究所　高橋氏

　アイデンティティのベン図（The Venn of Identity）を紹介し、カンターラ・イニシアティブとしてはアイデンティティ管理に関連する3つの技術分野（SAML、OpenID、Infomation Card）の「ハーモナイズ」を目指すという話でした。
　※ちなみにカンターラとはスワヒリ語で「橋」という意味で、語源にアラビア語の「調和」を持つとのことです。語源とよりアラビア語では3つの子音で意味をあらわすので今回のケースだと「نطر」（n t r）がベースとなっている「قنطرة（カンタラトゥン）＝アラビア語でも橋の意」がそのままスワヒリ語になっているんだと思いますが。

　活動の特徴としては、技術仕様の検討は行うが、実際の策定は各団体（OIDFやLibertyなど）が行うことになる、ということでした。
　ちなみにConcordia、Liberty Alliance、Open Libertyは今後カンターラ・イニシアティブの配下にはいるようです。

2.分科会における取組事例～SAML-OpenID連携～　／　NTT情報流通プラットフォーム研究所　岡本氏

　RSAカンファレンス2009で紹介したデモンストレーションが紹介されました。
　OpenIDのIdPで認証してSAML対応のサービスを利用したり、決済をする場合は追加でSAML IdPでも認証を要求して多要素認証としたり、という内容でした。

3.カンターラ・パートナーセッション
　OpenID最新動向、OpenIDファウンデーションジャパン活動　／　野村総合研究所　崎村氏

　OpenIDそのものの簡単な紹介と、OpenIDファウンデーションの活動内容（技術セミナや崎村氏自身が関与している各種仕様策定の活動）の紹介がありました。

　また、関連するニュースとしてGoogle AppsがOpenIDに対応する、という話がありました。（意図せぬ情報のリークだった様でしたが）

4.カンターラに集う技術事例（１）Liberty/SAML事例紹介
　SAML認証によるGoogleAppsの認証連携事例の紹介　／　サイオステクノロジー　中田氏

　「コスト削減」という企業における命題に対してクラウドが選択されてきていますが、エンタープライズ利用に必要な「セキュリティ」と、クラウドの特徴である「どこからでも使える」の相反をどう解決するか、という点への取り組みが紹介されました。

　例えば、GMailを社内からOutlookやThunderbirdといったメールクライアントでpop/imap利用をしたいが、GoogleAppsの特徴からして自宅でも同じ設定をすればそのまま使えてしまうのでなんとかしたい、というセキュリティ上の課題を社内プロキシ経由でないとGMailが使えないようにした、という話がありました。

5.カンターラに集う技術事例（２）OpenID事例紹介
　NTTComにおけるOpenID活用の取り組み　／　NTTコミュニケーションズ　北村氏

　現在取り組みつつある「マスタID」のOpenID対応について紹介されました。
　以前はLiberty仕様で構築されていたものをOpenIDに対応させようとしているとのことです。

　取組みとしては、OpenID対応のIdPプロキシのようなものを構築してNTTコミュニケーションズ提供のIdP、NTTドコモのIdP、gooのIdPをユーザが選択できるような仕組みづくりや、決済などを含むアプリケーションを含めたサービス対応を考えているようです。

　参加者からの質問も出ていたのですが、例えば決済する際にgooのIDとドコモのIDを同列に信頼してよいのか？という課題への取り組みが重要になってくると思います。

6.カンターラに集う技術事例（３）Infomation Card事例紹介　／　マイクロソフト　田辺氏

　SAMLやOpenIDとは少し違った点としてCardSpaceではユーザビリティを中心に取組んでいるという話が紹介されました。
　Geneva STSを使った別ドメインのSharePointサイトへのログオン／属性交換のデモも行われました。



まぁとりあえずは発足したばかり、ということでカンターラ・イニシアティブとしての具体的な取組みはこれから、ということだと思いますので、今後の動きを要ウォッチだと思います。