金曜日 4 10, 2009

そろそろ多要素認証を考えよう - 三菱UFJ証券の顧客情報流出事件から考える。

こんにちは。
三菱UFJ証券の顧客情報流出事件に関して、識者の方がいろいろコメントしていますね。
今回の情報流出では、
データベースへアクセスする際にほかの従業員のIDとパスワードを使用し
証券各社がコメント:性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出 - ITmedia エンタープライズ
とあるように、他人のIDとパスワードを使用してデータベースへのアクセスをしています。
ここで、IDとパスワードは認証に使用されています。
ID管理の用語では、認証とは authenticataion を意味していて、
  • 認証(authentication)
    あるユーザが本当にそのユーザであることを証明する。
ということになります。
認証方式は認証にどういった情報を利用するかという観点から大きく3つの種類に分けられます。
  • あなたが知っていること(What You Know)
    パスワードや秘密の質問など。
  • あなたが持っているもの(What You Have)
    クライアント証明書やワンタイムパスワード
  • あなた自身(What You Are)
    生体認証(指紋、静脈、虹彩など)
の3つで、ID/パスワードはあなたが知っていること(What You Know)を利用する認証方式です。
ID/パスワードは技術的に導入が容易なこともあり古くから使われていて、利用されている領域も非常に広いです。
しかしながら、今回のケースのように、他人に推測されたり、盗み見られるなどして、不正に利用されるリスクもあります。
使用できる文字種やパスワードの長さに制限をかける(パスワードポリシーを設定する)などして推測されるリスクを下げることは可能ですが、それも完璧ではありません。今回のケースでも、おそらくパスワードはある程度の複雑性はもっていたかと思います。(最近パスワードポリシーを設定していないような企業はほとんどないので) しかし、不正に利用されてしまったのです。

極端な言い方をすると、ID・パスワードで認証を行なうことには、不正利用のリスクがある程度のレベルで存在します。
そのリスクを軽減するために、上記のあなたが持っているもの(What You Have), あなた自身(What You Are)といった認証のための情報を組み合わせ、複数の情報を認証に利用する、多要素認証というものが最近では非常に注目を集めています。

複数の要素を使用することでセキュリティを高めようと言うものです。
技術的な成熟もあり、生体認証や証明書認証などに対応している製品なども増えてきています。
ID・パスワードが悪いとは言いません。非常に秀逸なアイデアでこれまでのIT環境での認証を一手に引きうけてきたのは間違いありません。
ただ、そろそろ他の方法も検討する時期ではないでしょうか。多要素認証、より強度の高い認証は今年のキーワードです。

ぜひ一度、自社の認証方式について考えてみて下さい。

_kimimasa

火曜日 9 30, 2008

なぞなぞ認証 - IdM関連の用語の使い方は難しい。。。

こんばんは。
ふとBlogのドラフトを眺めてたら書きかけのエントリを発見したので最後まで書くことにしました。 はてなユーザだし、日本発のWeb企業としてがんばってほしいと思ってはいるのだけど、なぞなぞ認証というような形で認証という用語を使われるとちょっと違和感を感じてしまいます。
IdM(アイデンティティ管理)において、認証と言えば authentication を意味していて、、
  • 認証(authentication)
    あるユーザが本当にそのユーザであることを証明する。
という本人認証のことになります。 で、認証方式としては
  • ID・パスワードによる認証
  • 証明書認証
  • 生体認証
などがあります。(認証方式に関してはまた詳しく書いてみたいなー。)

つまり、なぞなぞ認証のように、あるサービスだったりアプリだったりアルバムだったりという、人やユーザを示すもの以外に使うのはIdM(アイデンティティ管理)の側面から見ると正しくないと思います。
そういう意味では、マイミク認証コミュニティ認証にも同じような違和感を感じます。mixi OpenID に関しては にも感じたことを書いているので興味があれば見てください。

なぞなぞ認証,マイミク認証,コミュニティ認証ともに特に抵抗もなく受け入れられていて理解もしやすいので、問題ないといえばないのかも知れません。 にもあるように、日本国内の特殊な事情として認証という言葉がいろんなところで安易に使われてしまっているという現状もあります。
ただ認証を乱用することで本来の意味を取り違えてしまっていることがよく見られるので注意する必要があると思います。

特に元々英語の文章が訳されている場合には、認証がなにを意味しているかを気にしながら読むことをお勧めします。

_kimimasa

木曜日 6 26, 2008

【SDNコンテンツの紹介】Sun Java System Access Manager FAQ: Liberty Alliance and Security Assertion Markup Language (2) と Performance and Sizing, Policy, Session Failover


こんにちは。

SDN(Sun Developer Network)の新規コンテンツを紹介します。
Sun Java System Access Manager and Sun Java System Federation Manager FAQ にさらに、 の項が追加されました。
かなり充実してきましたねー。全部で150くらいになったでしょうか。
ご利用ください。なにか不明点などあれば、このブログにでもコメントいただければと思います。ベストエフォートで対応させていただきます(笑)

ではまた。
_kimimasa

火曜日 4 01, 2008

【SDN記事の紹介】Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Server


こんにちは。
風が強いですね。桜が散ってしまわないか心配です。

今日は、SDN(Sun Developer Network)の記事を紹介します。これまた、二ヶ月くらいまえで申し訳ないですが。。。
Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Serverってことで、OTP(One Time Passwor:湾タイムパスワード)の製品(ActiveIdentity 4TRESS Authentication Server)との連携に関する記事です。
Great news for identity developers! An integration of Sun Java System Access Manager (henceforth, Access Manager) and ActivIdentity 4TRESS Authentication Server (henceforth, 4TRESS) is now in place. Newly available as an OpenSSO extension is an Access Manager authentication module that adopts the 4TRESS-supported one-time password (OTP) schemes, including Europay, MasterCard, and Visa (EMV or Chip and PIN). That Access Manager module is known as the 4TRESS OTP authentication module.

kimimasa の適当訳
アイデンティティの開発者に素晴らしいニュースです。Sun Java System Access ManagerとActiveIdentity 4TRESS Authentication Server の連携が現実となりました。OpenSSOの拡張機能として新しく利用可能になったAccess Managerの認証モジュールは、4TRESS がサポートするワンタイムパスワードのスキーマに対応します。このスキーマは、Europay,MasterCards,Visa(EMVあるいは、ChipとPIN) も包含しています。Access Managerの認証モジュールは4TRESS OTP認証モジュールとして知られています。
Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Server

という感じで、Access Managerの認証モジュールを追加して、OTPでの認証を使用できるようにするという記事です。コンテンツは
  • バックグラウンドと概要(Background and Overview)
  • セッションアップデート機能のアーキテクチャ(Architecture for Session Upgrade)
  • インストールと設定(Installation and Configuration)
  • 配備(Deployment)
  • テスト(Test)
  • 謝辞(Acknowledgment)
  • 参考(References)
という構成で、インストールして設定して、配置して、テストするという流れで書かれていますので一連の流れが把握しやすくなっています。

以前は、Access ManagerのようなWAM(Web Access Management)製品はSSO(シングルサインオン)ができればよくてそのために導入されることが非常に多かったです。
現在ももちろんSSOのニーズはありますが、SSOに加えて多次元認証(この記事の場合は、「LDAP上のID/Password」と「4TRESSによるOTP」の2次元認証)のニーズも多くなっています。
カレンダーやグループウェアやBlogなどの簡単に利用できることが大事なアプリには、ID/Passwordでの認証でOKとして、経理や受注管理などの高いセキュリティレベルが求められるアプリケーションにはOTPでの認証を必要とする。といったケースが今後増えてくると思います。そのような要望がありましたら、ぜひAccess Managerの多次元認証の機能(実際は複数の認証モジュールの組み合わせ)をご検討頂ければと思います。
ではまた。参考になれば幸いです。
_kimimasa

火曜日 3 18, 2008

【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ : Identity Management and Service Management SDK


こんにちは。

SDN(Sun Developer Network)の新規コンテンツを紹介します。
Sun Java System Access Manager and Sun Java System Federation Manager FAQ にさらに、 の項が追加されました。合わせて20強くらいです。全部で100越えたかな。
お客様へのご説明や、製品を検討される際にご利用頂ければと思います。
_kimimasa

金曜日 12 21, 2007

【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ : Liberty Alliance and Security Assertion Markup Language

こんにちは。
昨日は忘年会で飲み過ぎて頭痛いです(泣)。皆様も飲み過ぎにはお気をつけ下さい。
SDN(Sun Developer Network)の新規コンテンツを紹介します。
今まで2回紹介した、 Sun Java System Access Manager and Sun Java System Federation Manager FAQ

Access Managerと、Federation Managerの FAQ集(よくある質問集)です。一般的な質問(General)と、管理コンソール(Admin Console)の2つに分かれていて、全部で30数個の質問と回答が掲載されています。
【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ : kimimasa's blog
認証(Authentication)と、シングルサインオンとセッション(Single Sign-On (SSO) and Sessions)が追加されました。2つで40個くらいです。全部で70個くらいになりました。
【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ (情報増えました。): kimimasa's blog
にさらに、Liberty Alliance(リバティアライアンス)と SAML(Security Markup Language)の項が追加されました。15個くらいです。全部で80越えましたー。
お客様へのご説明や、製品を検討される際にご利用頂ければと思います。
_kimimasa

水曜日 12 05, 2007

【SDN記事の紹介】Securing Applications With Identity Services, Part 2: Authorization

こんにちは。
いやー、インフルエンザはやり出したみたいですね。皆様、うがい手洗いマスク着用をお忘れなく。。
さて、ちょっとご紹介がおくれてしまいましたが、SDN(Sun Developer Network)の記事を紹介します。
Securing Applications With Identity Services, Part 2: Authorizationということで、以前紹介した(【SDN記事の紹介】Securing Applications With Identity Services, Part 1: Authentication: kimimasa's blog)Securing Applications With Identity Services, Part 1: Authentication の続きです。 第1段では認証サービスでしたが、
OpenSSOに実装されている、WSDLを使ったSOAPでのIdentity WebService と RESTベースの Identity WebService をためしに使ってみよう!!っていうコンテンツです。第1弾の今回は認証(Authentication)サービスです。OpenSSOのインストール、設定、WebServiceクライアントの実装(ってほどでもないけど。。)、簡単な動作確認までが紹介されています。
【SDN記事の紹介】Securing Applications With Identity Services, Part 1: Authentication: kimimasa's blog
第2騨の今回は認可(Authorization)サービスです。OpenSSO でのポリシーの作成(認可サービスで参照する為の情報)、WebServiceクライアントの実装(サンプルがのっています)と、簡単な動作確認が紹介されています。
Overviewとしては、以下の引用分のようになっています。
Part 1 of this series describes how to configure OpenSSO for user authentication through identity services. Here in Part 2, again with IdSvcsClient, an example client application built with the NetBeans IDE, you learn how to further configure OpenSSO so as to allow authenticated users to perform tasks for which they have been authorized. Toward the end of this article is a troubleshooting section.

We assume you have done the following:

The authorization service includes two interfaces. One is built with Simple Object Access Protocol (SOAP)—that is, it is a Web-service interface. The other interface is built with Representational State Transfer (REST). The authorization service authorizes users according to three parameters: resource, action, and subject. You can also extend the authorization mechanism for other approaches. That topic is beyond the scope of this article, however.

今回も画面の絵や、JSPのサンプルなどがついていて説明もとても丁寧です。
ざっと目を通すのに15分くらい。実際にやってみるのだと、1時間くらいですかね。 (前回のを含めると30分と2時間ってところでしょうか。)
お試しいただければと思います。
認証、認可までは紹介されましたので次は属性取得かと思います。
_kimimasa

木曜日 11 01, 2007

【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ (情報増えました。)

こんにちは。
今日も2エントリ目です。誰もほめてくれないので、自分で自分をほめます(泣)
SDN(Sun Developer Network)の新規コンテンツを紹介します。
先日紹介した、 Sun Java System Access Manager and Sun Java System Federation Manager FAQ
Access Managerと、Federation Managerの FAQ集(よくある質問集)です。一般的な質問(General)と、管理コンソール(Admin Console)の2つに分かれていて、全部で30数個の質問と回答が掲載されています。
【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ : kimimasa's blog
に新たに、認証(Authentication)と、シングルサインオンとセッション(Single Sign-On (SSO) and Sessions)が追加されました。2つで40個くらいです。全部で70個くらいになりました。

ご利用下さい。
_kimimasa

木曜日 10 25, 2007

【SDNコンテンツの紹介】Sun Java System Access Manager and Sun Java System Federation Manager FAQ

こんばんは。
書けるときにまとめてかいておこうかなー。ってことで今日2エントリ目です。
SDN(Sun Developer Network)の新規コンテンツを紹介します。
Sun Java System Access Manager and Sun Java System Federation Manager FAQということで、Access Managerと、Federation Managerの FAQ集(よくある質問集)です。一般的な質問(General)と、管理コンソール(Admin Console)の2つに分かれていて、全部で30数個の質問と回答が掲載されています。

ご利用下さい。
_kimimasa

【SDN記事の紹介】Securing Applications With Identity Services, Part 1: Authentication

こんにちは。
いやー、おかげさまで忙しいです。:)。北に南に西に、飛行機に新幹線にと飛び回っております。
さて、ちょっとご紹介がおくれてしまいましたが、SDN(Sun Developer Network)の記事を紹介します。
Securing Applications With Identity Services, Part 1: Authenticationということで、最近多い続きものの第1弾です。OpenSSOに実装されている、WSDLを使ったSOAPでのIdentity WebService と RESTベースの Identity WebService をためしに使ってみよう!!っていうコンテンツです。第1弾の今回は認証(Authentication)サービスです。OpenSSOのインストール、設定、WebServiceクライアントの実装(ってほどでもないけど。。)、簡単な動作確認までが紹介されています。Overviewとしては、以下の引用分のようになっています。

OpenSSO contains client interfaces for authentication, authorization, session and identity management, and auditing (logging) in the Java, C, and C++ languages with proprietary XML and Simple Object Access Protocol (SOAP) over HTTP or HTTPS. Even though those interfaces are used by Policy Agents within the Web and the Java platform, Enterprise Edition (Java EE platform) and by custom applications, developing applications with the interfaces is labor-intensive. For example, to communicate with OpenSSO, you must correctly configure the client libraries for the Java, C, and C++ languages. Additionally, the interfaces cause dependencies on OpenSSO—an unacceptable scenario for developers.

As alternatives to vendor lock-in, open standards based on Web services include the following:

However, many developers consider those standards to be overcomplex and appropriate only for achieving interoperability with partners and vendors. On the developers' wish list are simple interfaces for efficient development. Those offered by identity services in OpenSSO fulfill that wish with the following security-related capabilities:

  • Authentication — Verification of user credentials

  • Authorization — Permission for authenticated users to access secured resources

  • Attributes — Collection of the profiles of authenticated users

  • Log — Ability to audit and record operations

The interfaces enable Web services in two styles:

  • The SOAP or Web Services Description Language (WSDL) style, which the SOA-business intelligence community prefers

  • The REST style, which the Web 2.0 community prefers

Both styles are simple and robust. For example, WSDL defines all the input arguments and return values. You can consume Web services by simply pointing an IDE to the services and enabling the IDE to generate the stub code that wraps function calls to the services.

OpenSSO supports IDEs such as Eclipse, NetBeans, and Visual Studio. Recall that the example in this article is a client application built with the NetBeans IDE.


まー、言ってしまえば、とりあえず、簡単WebServiceで認証、認可、属性取得などの Identity WebServiceを使ってみてください。ってことでしょうか。(ざっくり過ぎ??)
今回も画面の絵や、JSPのサンプルなどがついていて説明もとても丁寧です。

ざっと目を通すのに15分くらい。実際にやってみるのだと、1時間くらいですかね。
お試しいただければと思います。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日