Nc 30 sakimura-distribution_0604
-
Upload
nat-sakimura -
Category
Technology
-
view
1.064 -
download
2
description
Transcript of Nc 30 sakimura-distribution_0604
NC-30: クラウドセキュリティ標準化動向(2)
クラウドにおけるアイデンティティ管理&プライバシー保護の国際標準化最新動向
2012 年 6 月 15 日
株式会社野村総合研究所 上席研究員( ISO/IEC JTC1 SC27 WG5 国内主査)
崎村夏彦 http://www.sakimura.orgtwitter: @_nat
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
QQIdentity って何?
2
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Identity
Set of attributes related to an entity ある実体(人・もの・組織)に関する属性の集合
[ISO/IEC 24760]
3
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
実体(Entity)
自己像(Identity)
自己像(Identity)
誕生日
性別
メアド
身長
呼び名
恋人
性別 身長
本名 社員番号
住所
他観
他観
自観
自観
自観と他観のずれ=対人関係の悩み
自観と他観のずれ=対人関係の悩み
住所 資格
役職 実績
関係性
関係性
コンテキスト
コンテキスト4
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
QQ何で重要なの?
5
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(出所) C. Mortimore “open, mobile, social”, Cloud Identity Summit 2011
6
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(出所) C. Mortimore “open, mobile, social”, Cloud Identity Summit 2011
7
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(出所) C. Mortimore “open, mobile, social”, Cloud Identity Summit 2011
8
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(出所) Microsoft Office Online
In the Cloud we live.
9
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
( 出所 ) http://en.wikipedia.org/wiki/File:Palazzo_Medici-Riccardi_-_walled_garden_1.jpg
The walled fortress is done
10
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Identity is the New Perimeter
(出所) http://www.cloudidentitysummit.com/
11
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Federated Identity & Access management
12
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. (出所) C. Mortimore “open, mobile, social”, Cloud Identity Summit 2011 をもとに NRI 作成
Entity
Credential UserAgent
Identity
13
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Identity Ecosystem
14
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
QQなぜ標準化するの?
15
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. 16
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
分断された市場~ Fragmented Market
17
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Identity Ecosystem
18
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
IETF 83 Paris (Mar, 2012)
19
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
OpenID Connect Workshop @ EIC 2012
20
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
OpenID Connect WG F2F @ Microsoft (May 2, 2012)
21
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Internet Identity Workshop (IIW) XIV
22
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Tell me what is “Privacy” @ IIW XIV (2012 May)
23
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ISO/IEC JTC1 SC 27 / WG 5 @ Stockholm, May 2012
24
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
QQプライバシーって、何?
25
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. 26
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. IIW IX “Tell me What Is Privacy” より
PrivacyData
Protection
Scott DavidED of Law, Technology & Arts GroupUniversity of Washington
27
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Privacy = Private + -cy
Private は、ラテン語の Privatus より。 Privatus = 他から分離して、自身に帰属させ
た。
「 publicus( 公共の ) 」「 communis( 共同体の ) 」
28
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Warren & Brandeis : Right to be let alone 「 Rigth to be let alone 」 ~ Cooley 判事より
Personal immunity. The right to one’s person may be said to be a right of complete immunity: to be let alone.
「個人の不可侵 (Complete Personal immunity )の権利」「個人の肉体及び精神の自由の不可侵の権利」
自己に対する自己の主権、すなわち人間の自由の権利「 These considerations lead to the conclusion that the protection afforded to thoughts, sentiments, and emotions, expressed through the medium of writing or of the arts, so far as it consists in preventing publication, is merely an instance of the enforcement of the more general right of the individual to be let alone. 」
( 出所 )Warren and Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV December 15, 1890 No. 5
( 出所 )Treatise of the Law of Torts by Thomas McIntyre Cooley (Callaghan, 1888)
29
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(他人の自由を侵害しない限り) 自分に属する情報 etc. は自分がどう使うか決めて良い~情報流通の自由
でもある。
例えば…プロフィール情報を共有するな
ど。
30
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
(出所)日経コミュニケーションズ 2012 年 3 月号 P.24
31
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
プライバシー(自己の自由)の権利
表現の自由
身体の自由
財産権
名誉毀損
著作権個人情報保護
狭義のプライバシー権
32
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
守るべきはプライバシーであって、個人情報ではない
個人情報保護法は、プライバシーを守るための一手段。それだけやれば良いというものではない
33
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
プライバシー(自己の自由)の権利
表現の自由
身体の自由
財産権
名誉毀損
著作権その他
狭義のプライバシー権
プライバシー(自己の自由)の権利
表現の自由
身体の自由
財産権
名誉毀損
著作権その他
狭義のプライバシー権
34
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
人々の期待
法的要求
A 国 B 国 C 国 D 国 E 国 F 国
( 出所 ) Ian Glazer の IIW IX “Tell me what is Privacy” での白板の図をもとに作成
35
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
個人情報保護かプライバシー保護か?
個人情報保護取扱事業者に於ける安全管
理処置
プライバシー保護「自己に関する情報を適宜
選択して相手に提供し、自分の望む自己像を相手に認識してもらうようにすることによって関係性を改善してゆく権利」の保護
36
混ぜるな危険!
個人情報
個人情報個人
情報秘するもの
御するもの
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
デジュール標準とデ・ファクト標準
37
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ISO/IEC SC27/WG5 Identity Management & Privacy
Identity & Access Management
24760 A framework for identity management
29115 Entity authentication assurance framework
29xxx Identity Proofing24761 Authentication Context
for Biometrics29191 Requirements for
partially anonymous, partially unlinkable authentication.
29146 A framework for access management etc.
Privacy
29100 Privacy Framework29101 Privacy architecture
framework29190 Privacy Capability
Assessment 27018 Code of practice for
data protection controls for public cloud computing services
29xxx Personal Information Controls?
29xxx Privacy Impact Analysis
38
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Foundation
OpenID ConnectMessagesStandardDynamic RegistrationDiscoverySession Management
-----Basic Client Profile
Account Chooser Local Account Chooser Central Account Chooser
39
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Internet Engineering Task Force (Internet Society)
Open Authorization Framework (OAuth)
OAuth Framework 2.0OAuth Bearer TokenJSON Web Token (JWT)
etc.
Javascript Object Signature and Encryption (JOSE)
JSON Web SignatureJSON Web EncryptionJSON Web KeysJSON Web Algorithm
Others:Webfinger / SWDSimple Cloud Identity Management (SCIM)
40
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Kantara Initiative技術的標準化団体ではない。
要求事項作成、標準案作成、プロファイル作成、認定事業など
41
Attribute Management DG
Business Cases for Trusted Federations DGConsumer Identity WG
eGovernment WG
Federation Interoperability WGHealth Identity Assurance WG
Identity Assurance WG
Information Sharing WG
Japan WG
NSTIC DG
Open Source Support Initiative WGPrivacy and Public Policy WG
Telecommunications Identity WGTrust Framework Meta Model WGUser Managed Access WG
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ISO/IEC SC27/WG5 Identity Management & Privacy
Identity & Access Management
24760 A framework for identity management
29115 Entity authentication assurance framework
29xxx Identity Proofing24761 Authentication Context
for Biometrics29191 Requirements for
partially anonymous, partially unlinkable authentication.
29146 A framework for access management etc.
Privacy
29100 Privacy Framework29101 Privacy architecture
framework29190 Privacy Capability
Assessment27018 Code of practice for
data protection controls for public cloud computing services
29xxx Personal Information Controls?
29xxx Privacy Impact Analysis
42
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ISO の標準的プロセス
•Study Period
•New Work Item
•Working Draft
•Committee Draft
•Draft International Standard
•Final Draft International Standard
•International Standard
43
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
24760 A framework for identity management
Part 1: Terminology and concepts (IS)Part 2: Reference architecture and requirements (WD)Part 3: Practice (WD)
(出所) ISO 24760-1:2011 P.13
44
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
29115 Entity authentication assurance framework
FDIS
TechnicalManagement
&Organizational
Credential management
phase
Enrolmentphase
Entity authentication
phase
• Authentication• Record-keeping
• Credential creation• Credential pre-processing• Credential initialization• Credential binding• Credential issuance• Credential activation
• Application and initiation• Identity proofing• Identity verification
• Service establishment• Legal and contractual compliance• Financial provisions• Information security management and audit• External service components• Operational infrastructure• Measuring operational capabilities
• Record-keeping recording• Registration
• Credential storage• Credential suspension, revocation, and/or destruction• Credential renewal and/or replacement• Record-keeping
Figure 1 – Overview of the Entity Authentication Assurance Framework
4
3
2
1
LoA
45
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
29xxx Identity ProofingNew Work Item29115 で十分に取り扱えなかった、「身元確認」を標準化New Zealand : Evidence of Identity Standard などを参照
何をもって「身元確認」とするか?
例:住民票は身元確認書類としてはどのレベルにあるのか?例:オンラインバンキングのログインは、身元確認として使える
か?例:本質的な身元確認はどうしなければならないか?
46
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
29146 A framework for access management
Working Draft
Authenticated Identity を所与として、これに対してどのようにアクセスコントロールがされてゆくべきかというフレームワーク
29146 WD6 Fig. 4
47
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
29100 Privacy FrameworkIS
(出所 ) ISO/IEC 29100:2011 Privacy Framework
48
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
PII
ISO 29100 の Actors
49
PII principals
PII controllers PII processors
Third parties -> PII Controllers
PIIconsent PII
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ISO 29100 における
プライバシーリスクマネジメントに影響を与える要素
50
(source) ISO/IEC 29100 Information technology — Security techniques — Privacy framework
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Foundation
OpenID ConnectMessagesStandardDynamic RegistrationDiscoverySession Management
-----Basic Client Profile
Account Chooser Local Account Chooser Central Account Chooser
51
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Working Together
OpenID Connect
52
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
OpenID Connect の場合
鍵作製: 2011/5/15 11:00:04
認証レベル: 2確認者: Google
1. あなた、誰?紹介状もらってきて。メアドも
忘れずに。 2. 伊部さんにロッカーの鍵と紹介状を渡して。
3. はい、どうぞ。
有栖さん
4. はい、どうぞ。
鍵作製: 2011/5/15 11:00:04
認証レベル: 2確認者: Google
株式会社グーグル印
株式会社グーグル印
執事
別庭さん
ロッカー ロッカー
Oauth 2.0Access Token
ID Token(JWS)
53
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
OpenID Connect のクレーム集約、分散クレーム
氏名:有栖和歌子生年月日:平成元年3月3日
性別:女住所:千代田区1-3-5
千代田区長公式野印
別庭さん
ロッカー
UserInfo Endpoint
サイト X
サイト Yサイト Z
54
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Open Authorization Framework
(認証を受けたユーザによる同意に基づく)アクセス権を「移譲 (delegate) 」 するプロトコル。
55
認証済みResource Owner
AuthorizationServer
Client(Service)
ProtectedResource
Access Token Access Token
認可Authorization
データ/他
※ 認証では無いので注意
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
JOSE Working GroupJavascript Object Signature and Encryption WGJSON Web SignatureJSON Web Encryption etc.
特徴Canonicalize しない → 実装楽。より良い互換性。Encryption では AEAD必須 → より良いセキュリティ。
6 月中に WG Last Call の予定
56
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
SCIM Simple Cloud Identity Management
http://www.simplecloud.info/ クラウド・サービスにおけるアイデンティティ・プロビジョニング・インタフェースの共通仕様(を目指す)
特長RESTful APICRUD (Create, Read, Update,
Delete) に特化シンプルで拡張しやすいユーザー・ス
キーマSalesforce.com, Google, Cisco
(WebEx), VMware など、有力クラウド・サービス・プロバイダが参加
▪Ping Identity, Sailpoint, UnboundID などのソリューション・プロバイダも参加
Source: http://www.simplecloud.info/specs/draft-scim-scenarios-04.html
57
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
ECS( e.g. クラウドサービス利
用企業)
CSP( e.g. クラウドサービス事
業者)
追加リクエスト
処理レスポン
ス
SCIM の例 (ユーザー生成)
POST /User HTTP/1.1
Host: example.com
Accept: application/json
Authorization: Bearer h480djs93hd8
Content-Length: ...
{
"schemas":["urn:scim:schemas:core:1.0"],
"userName":"bjensen",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
}
}
HTTP/1.1 201 Created
Content-Type: application/json
Location: http://example.com/v1/User/uid=bjensen,dc=example,dc=com
ETag: "e180ee84f0671b1"
{
"schemas":["urn:scim:schemas:core:1.0"],
"id":"uid=bjensen,dc=example,dc=com",
"meta":{
"created":"2011-08-01T21:32:44.882Z",
"lastModified":"2011-08-01T21:32:44.882Z"
},
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"userName":"bjensen"
}Source: https://groups.google.com/forum/#!topic/cloud-directory/w-WgLPmw6gQ 58
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Kantara Initiative技術的標準化団体ではない。
要求事項作成、標準案作成、プロファイル作成、認定事業など
59
Attribute Management DG
Business Cases for Trusted Federations DGConsumer Identity WG
eGovernment WG
Federation Interoperability WGHealth Identity Assurance WG
Identity Assurance WG
Information Sharing WG
Japan WG
NSTIC DG
Open Source Support Initiative WGPrivacy and Public Policy WG
Telecommunications Identity WGTrust Framework Meta Model WGUser Managed Access WG
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
意味ある同意
60
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. (出所) Facebook 61
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
読んで、理解していますか?
62
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. (出所) StandardLabel.org 63
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
利用者が読んで理解して同意していると考えるのは合理的ですか?
64
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Standard Information Sharing Label
(出所) StandardLabel.org 65
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
User Managed Access
Client Registration が、 IETF OAuth WG で規格化される方向。
66
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
OASIS Open
67
•OASIS Biometric Identity Assurance Services (BIAS) Integration TC• Defining methods for using biometric identity assurance in transactional Web services
and SOAs•OASIS Cross-Enterprise Security and Privacy Authorization (XSPA) TC
• Enabling the interoperable exchange of healthcare privacy policies, consent directives, and authorizations
•OASIS Electronic Identity Credential Trust Elevation Methods (Trust Elevation) TC• Defining a set of standardized protocols to elevate trust in an electronic identity
•OASIS Identity in the Cloud TC• Developing profiles of open standards for identity deployment, provisioning and
management in cloud computing•OASIS Identity Metasystem Interoperability (IMI) TC
• Advancing interoperability standard for Information Cards•OASIS Open Reputation Management Systems (ORMS) TC
• Advancing the ability to use common data formats for representing reputation data•OASIS Privacy Management Reference Model (PMRM) TC
• Providing a guideline for developing operational solutions to privacy issues•OASIS Provisioning Services TC
• Providing an XML framework for managing the provisioning and allocation of identity information and system resources within and between organizations
•OASIS Security Services (SAML) TC• Defining and maintaining a standard, XML-based framework for creating and exchanging security
information between online partners •OASIS Transformational Government Framework TC
• Advancing an overall framework for using IT to improve delivery of public services•OASIS Web Services Federation (WSFED) TC
• Extending identity management to enable federations of trust across organizations
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
Identity in the Cloud TCIdentity deployment, provisioning, management に関するオープン標準のクラウド用プロファイルを作成
TC の文書第一弾として、ユースケース集をCommittee Note として発表 (5/8)bit.ly/LY48qr29のユースケースについて、
▪Description /User Story▪Goal or Desired Outcom▪Notable Categorization and Aspects▪Process Flow を整理
例:▪UC20 Government Provisioning of Cloud Services ▪UC21 Mobile Customers’ Identity Authentication Using a Cloud
Provider68
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
今後のエンタープライズ IdM
69
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
オーソリテイティブ・ソース(人事
システムなど)
プロビジョニング・
システム
アイデンティティ・
リポジトリ / SSO システム
Webアプリケーショ
ン
Webアプリケーショ
ン
Webアプリケーショ
ン
Webアプリケーショ
ン
ユーザー( Webブラウ
ザ)
旧き良き時代のエンタープライズ IdM
企業
プロビジョニングアクセ
ス
認証
アクセス保護
70
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
オーソリテイティブ・ソース(人事
システムなど)
プロビジョニング・
システム
アイデンティティ・
リポジトリ / SSO システム
SaaS プロバイダ
Webアプリケーショ
ン
Webアプリケーショ
ン
Webアプリケーショ
ン
ユーザー( Webブラウ
ザ)
最近のエンタープライズ IdM
企業
71
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
オーソリテイティブ・
ソース(人事システムなど)
プロビジョニング・
システム
アイデンティティ・リポジトリ / SSO / トークン管理システ
ム
SaaSプロバイダ
SaaSプロバイダ
Webサービス
Webサービス
ユーザー・エージェント( Webブラウ
ザ)
今後のエンタープライズ IdM
ユーザー・エージェント(モバイル
App )
ユーザー・エージェント
(外部サービス)
ユーザー・エージェント
(デスクトップApp )
ユーザー・エージェント
( Webサービス)
企業
API
API
API
API
72
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
オーソリテイティブ・
ソース(人事SaaS など)
プロビジョニングSaaS
SaaSプロバイダ
メガ SaaSプロバイダ
ユーザー・エージェント( Webブラウ
ザ)
さらに今後のエンタープライズ IdM
ユーザー・エージェント(モバイル
App )
ユーザー・エージェント
(外部サービス)
ユーザー・エージェント
(デスクトップApp )
ユーザー・エージェント
( Webサービス)
企業
SaaSプロバイダ
SaaSプロバイダ
プロビジョニング / アイデンティティ・リポジトリ / SSO / トークン管理サービ
ス
API
API
API
API
73
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved.
オーソリテイティブ・ソース(人事SaaS など)
プロビジョニング
SaaS
SaaSプロバイダ
メガ SaaSプロバイダ
ユーザー・エージェント( Webブラウ
ザ)
さらに今後のエンタープライズ IdM
ユーザー・エージェント(モバイル
App )
ユーザー・エージェント(外部サービ
ス)
ユーザー・エージェント
(デスクトップApp )
ユーザー・エージェント( Webサービ
ス)
企業
SaaSプロバイダ
SaaSプロバイダ
プロビジョニング /
アイデンティティ・
リポジトリ / SSO /
トークン管理サービス
API
API
API
API
プロビジョニング API: SCIM
API AM:OAuth 2.0
アイデンティティ API: OpenID Connect
74
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. 75
Components Standards
Identity API OpenID Connect
Access Delegation OAuth 2.0 Core
Entity Authn Assurance
ISO29115
Identity Proofing ISO29xxx
Identity Provisioning SCIM
Privacy Framework ISO2910x
Privacy Enhancing Technology (PET)
ISO 29191 etc.
Permissionning Standard Label, etc.
PII Management ISO 27017, 18
IdM Framework ISO27460
Components Standards
Access Control OAuth 2.0 Bearer
AC Framework ISO24760
Resource Registration
UMA
Privacy Enhancing Technology (PET)
ISO 29191 etc.
PII Management ISO 27017, 18
Identity Provider
Protected Resource
Components Standards
Access Control OAuth 2.0
Privacy Enhancing Technology (PET)
ISO 29191 etc.
PII Management ISO 27017, 18
Client
( c ) 2012 by Nomura Research Institute, ltd. All rights reserved. 76