屑木柱および丸太(クレオソート注入柱・注入丸 …1.件名 屑木柱および丸太(クレオソート注入柱・注入丸太)収集運搬業務委託仕様書
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール...
-
Upload
nat-sakimura -
Category
Internet
-
view
420 -
download
0
Transcript of 車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール...
Digital Identity Standards and their Goals
Nat Sakimura, Chairman, OpenID Foundation
@_nat | www.sakimura.org
Do we have a round wheel yet?
デジタル・アイデンティティの標準化動向とそのゴール米国 OpenID 財団理事長ナット・サキムラ@_nat | www.sakimura.org
車輪は丸くなったか?
なぜ人は車輪の再発明をするのか?
本日の登場人物Ian GlazerSenior Director, IdentitySalesforce Identity@iglazer今年の3月まで、ガートナーのアナリストだった。今日の話のあらすじを作った人。ラーメン LOVE 元米国大統領サイバーセキュリティ特別補佐官ハワード・ A.シュミットエクスジェン・ネットワークス 株式会社代表取締役 江川 淳一 氏
謎の外タレ?何億人もが使っている標準を色々書いているらしい。ラーメン LOVE
デジタル・アイデンティティの標準化分野
認証( Authentication)
認可 (Authorization)
属性 (Attributes)
プロビジョニング (Provisioning)
Real Name
Professionalqualification
department
Geo-location
Employee number
Entity IdentityResource
Authentication PEP
PDP
PAP
Boss Metadata
Log Log
ApplicationAccounts
Account Provisioning
e.g., OpenID/SAML
e.g., SCIM / SPML
認証
認可
プロビジョニング
属性
© 2013 by Nat Sakimura. All rights reserved.
認証 (Authentication)
© 2013 by Nat Sakimura. All rights reserved.
Q認証の標準プロトコルは?
認証プロトコルは、十分成熟している。最近の Web サービスが要求する REST+Web API 環境では、 OpenID Connect を使うのが良い。OpenID Connect は、まだ、プロファイルなどを開発中だが、十分使える。もしそれでダメなら SAMLを使えば良い。
今すぐ使え。すぐ使え。日本じゃまさか、パスワード共有なんかしてないよね。
え、mjdsk ?
デファクト=パスワード共有
じゃないんですか?
パスワード共有なんかしてない?!本当に?!
2 種類のパスワード共有
サイトA
サイトB
サイトC
[email protected]@$$w0Rd
[email protected]@$$w0Rd
[email protected]@$$w0Rd
サイトA
サイトB
サイトC
[email protected]@$$w0Rd
インターネット規模でこうなる???
だめじゃん
サイトごとに異なるパスワード?サイト
A
サイトB
サイトC
[email protected]@$$w0Rd1
[email protected]@$$w0Rd2
[email protected]@$$w0Rd3
人間は何個パスワードを覚えられるのか?
パスワード金庫で万事解決?!
サイトA
サイトB
サイトC
[email protected]@$$w0Rd1
[email protected]@$$w0Rd2
[email protected]@$$w0Rd3
パスワード変更とかどうするの?
サイトごとにトークン発行すれば、パスワード覚えなくて良いじゃん!
今現在、400個以上パスワードあるんですけど…
TokenInside
いやいや、スマホアプリで OTP!
400 個アプリ入れるんすか?
無いわ~
© 2013 by Nat Sakimura. All rights reserved.
?どうしてみんな、そんなにユーザのことを無視するの?
© 2013 by Nat Sakimura. All rights reserved.
セキュリティの専門家って、人の能力の限界とか、行動特性を考えない人が多くて困る。
元米国大統領サイバーセキュリティ特別補佐官ハワード・ A. シュミット
© 2013 by Nat Sakimura. All rights reserved.
?どうして SSO しないの?
… だって、安いんだもの… だって、ニーズが無いんだもの
by サービス・プロバイダ
© 2013 by Nat Sakimura. All rights reserved.
パスワードベースのシステムを作るのは、公害垂れ流しの工場を作るのと一緒なん
だよね。安く作れるような気がするけど、それは他人にコストを押し
付けてるだけ。
© 2013 by Nat Sakimura. All rights reserved.
みんな自主的にやらないんだったら、パスワード税をかけるか、パスワード総量規制をかけるかが、外部性制御の定石だな。
© 2013 by Nat Sakimura. All rights reserved.
そんな規制が来る前に…
© 2013 by Nat Sakimura. All rights reserved.
みなで、サービス・プロバイダに要求し
よう!
© 2013 by Nat Sakimura. All rights reserved.
今すぐ使え。すぐ使え。
© 2013 by Nat Sakimura. All rights reserved.
認可 (Authorization)
© 2013 by Nat Sakimura. All rights reserved.
車輪に例えると、数度の再発明を経て、認証は十分丸い、よく転がる車輪になっ
たんだよね。
© 2013 by Nat Sakimura. All rights reserved.
これに対して、認可に使われる XACML は
…
© 2013 by Nat Sakimura. All rights reserved. 詰め込みすぎで、パンクした状態。
© 2013 by Nat Sakimura. All rights reserved.
単純化と、REST+JSON
化が必要だね。
© 2013 by Nat Sakimura. All rights reserved.
その意味で、OAuth は良いのだけどね。特に、認可決定の伝達という意味では。
© 2013 by Nat Sakimura. All rights reserved.
でも、その認可内容を表すScope は標準化されてない
しね。
© 2013 by Nat Sakimura. All rights reserved.
そこのところは UMA が役に立つんだろうけど、まだ標準化には時間がかかるよ
ね。
© 2013 by Nat Sakimura. All rights reserved.
属性 (Attributes)
© 2013 by Nat Sakimura. All rights reserved.
属性は、認可決定・アクセス許可のためのキーファ
クターだね。たとえば、どこからアクセスしてきているかとか、と
ても重要。おさらいすると…
© 2013 by Nat Sakimura. All rights reserved.
Real Nam
eProfessionalqualification
department
Geo-location
Employee number
Entity IdentityResource
Authentication PEP
PDP
PAP
Boss Metadata
Log Log
ApplicationAccounts
Account Provisioning
e.g., OpenID/SAML
e.g., SCIM / SPML
認証
認可
プロビジョニング
属性
© 2013 by Nat Sakimura. All rights reserved.
でも、その属性スキーマの決定版って、無いん
だよね。決まってるのは、“name”:”value” ペアをつか
うということくらい * 。
* Graph API も、 OpenID Connect UserInfo も、 SCIM もそうしている。
© 2013 by Nat Sakimura. All rights reserved.
SCIM は、エンタープライズでもコンシューマでも使えるから、これを中心に考えて行くんだろ
うね。
© 2013 by Nat Sakimura. All rights reserved.
OpenID Connect も、 SCIM が
キャッチアップしてくること前提で、あえて細かいスキーマは決めな
かったんだよね。
© 2013 by Nat Sakimura. All rights reserved.
プロビジョニング (Provisioning)
© 2013 by Nat Sakimura. All rights reserved.
v.2は、
ちっとも丸くない車輪だね。
© 2013 by Nat Sakimura. All rights reserved.
DSML は丸かったけど、今更役に立た
ないね。
© 2013 by Nat Sakimura. All rights reserved.
やっぱ、デファクトは独自 CSV で
しょ。
© 2013 by Nat Sakimura. All rights reserved.
それじゃ、自動でつながらないでしょ!
© 2013 by Nat Sakimura. All rights reserved.
やっぱ、かね。 Salesforce も Oracle もサポートしてるしね。みんなサポートしようね!まだ、時間かかるけどね。
© 2013 by Nat Sakimura. All rights reserved.
みなで、 SCIM サポートを要求しないと、認証の二の舞いになるから、今から要求してい
こうね。
© 2013 by Nat Sakimura. All rights reserved.
将来に向けて…
© 2013 by Nat Sakimura. All rights reserved.
今、デジタル・アイデンティティを取り巻く環境は激変しているね。従来型のエンタープライズ ID 管理が
© 2013 by Nat Sakimura. All rights reserved.
だったのに対して、
© 2013 by Nat Sakimura. All rights reserved.
非常に多数の人が
© 2013 by Nat Sakimura. All rights reserved.
Reports to
Reports toReports to
Works with
お互いに関係性を持ち
© 2013 by Nat Sakimura. All rights reserved.
250 億とも( ガートナー推計)
© 2013 by Nat Sakimura. All rights reserved.
500 億ともいわれる
( シスコ推計)
© 2013 by Nat Sakimura. All rights reserved.
© 2013 by Nat Sakimura. All rights reserved.
非常にたくさんのモノとの
© 2013 by Nat Sakimura. All rights reserved.
Reports to
Reports toReports to
Owns
Owns
Owns
Sends data to
Gets data from
Owns
Paired with
Uses
Controls
Owns
Uses
UsesConstrains choice of
Sends data to
Ridden in
Ridden in
Works with
関係性を持っていく
© 2013 by Nat Sakimura. All rights reserved.
そういう時代がすぐそこまで来てるね。
エクスペリエンスの創生。
IRM* とも言うね。
*IRM – Identity Relationship Management
© 2013 by Nat Sakimura. All rights reserved.
だね。一方では、そうしたもののセキュリティとプライバシーをちゃんとやっていくことの重要性も訴えていかないとね。
© 2013 by Nat Sakimura. All rights reserved.
たとえば、電力供給が 99.5% なんて
ときに、「せーの」でインターネット家電をリ
モート ON にされたりしたら、一斉停電になる。
安全保証問題だね。
© 2013 by Nat Sakimura. All rights reserved.
IoT屋さんには、そのあたり気にしていない人が多くて、 National Critical Infrastructure の保護の観点からすごく気になってる。
元米国大統領サイバーセキュリティ特別補佐官ハワード・ A. シュミット
© 2013 by Nat Sakimura. All rights reserved.
組込み機器とかで使いやすい、省電力な認証・認可の開発は急務だね。あと、アップデートされないコンピュータ問題も大きいね。ハートブリードだって未だに…。これがIoT で拡大すると…。
© 2013 by Nat Sakimura. All rights reserved.
標準を作るだけで満足しちゃいけないね。それを使って、何をするかが問題だね。
今、われわれのレベルで出来るのは…
© 2013 by Nat Sakimura. All rights reserved.
1. 標準の採用
© 2013 by Nat Sakimura. All rights reserved.
標準を使わないということは、車輪の再発明をしてるはずだからね。もし、現在の標準が間尺に合わないなら、ユースケースを標準化団体に提出して「標準化」すれば良い。
© 2013 by Nat Sakimura. All rights reserved.
大阪では、来週も経産省主催の関連シンポジウムがあるね。
そういうところに行って勉強するところからスタートするのも良いね。
© 2013 by Nat Sakimura. All rights reserved.
詳細: http://www.jipdec.or.jp/event/20140926_trustframework.html
© 2013 by Nat Sakimura. All rights reserved.
2. 他の人が採用するのを助ける
© 2013 by Nat Sakimura. All rights reserved.
OpenID と SAMLを使う SDK つくって、 SCIM やOAuth のオープンソース実装作って、まず自社の開発者を助けなさい。そして、コミュニティを助けなさい。
© 2013 by Nat Sakimura. All rights reserved.
3. 標準の採用を要求する
© 2013 by Nat Sakimura. All rights reserved.
技術提供社にサービス・プロバイダに自社の開発者に
標準の採用を要求しなさい。
© 2013 by Nat Sakimura. All rights reserved.
丸い車輪≠
ゴール
© 2013 by Nat Sakimura. All rights reserved.
© 2013 by Nat Sakimura. All rights reserved.
Follow: @_nathttp://www.sakimura.org/
Thanks!