• 認証基盤におけるセキュリティ • 認証基盤における利便性 • 認証基盤ワーキンググループ

1. 認証基盤ワークショップ
認証基盤におけるセキュリティと利便性のこれまでとこれから
２０１８/２/２７
サイバートラスト株式会社
F5ネットワークスジャパン合同会社

2. もくじ
• 認証基盤におけるセキュリティ
• 認証における問題点
• 電子証明書
• 導入事例
• 認証基盤における利便性
• シングルサインオン
• 利便性向上を支援する基盤
• 認証基盤ワーキンググループ
2

5. 多発している不正ログイン
利用者X
A
①ID/PWを使いまわして
オンラインサービスに登録
②利用者のアカウント情報で
不正ログイン成立！
ID／PWは面倒くさい、
一緒にしておこう。
利用者X
ID
パスワード
アカウント情報漏洩
C
B
フィッシング
サイト
総当たり攻撃
盗聴
5

6. パスワードは8桁以上で複数の文字種を混在させる。
パスワードは意味のない文字列で構成する。
パスワードは定期的に変更する。
過去に使用したパスワードは使用しない。
システムごとに異なったパスワードを使用する。
fGiu#23%
QW1h&9Ud56%UnhoY
安全なパスワード運用のためのルール
営業システムのパスワード
fGiu#23%
人の頭では記憶できない パスワードをメモで残す
パスワード漏えいの
リスクが高まる
パスワード地獄
厳格なパスワード運用は
現実的には難しい。
パスワードに代わる
新しい認証方式が必要
安全なパスワード運用が必要
6

8. 電子認証における優位性
ID+パスワードの脆弱性
固定パス
ワード
認証
チャレンジ
レスポンス
認証
ワンタイム
パスワード
認証
電子証明書
認証
リ
ス
ク
の
高
さ
盗聴 高 低 低 低
なりす
まし
高 低 低 低
改ざん 高 高 高 低
フィッ
シング
高 高 高 低
認証におけるリスク 推測やれやすいパスワード
fjR8n pYDbL6 fh0GH5h F6&B is 1秒あたりの試行回数
桁数
5
大文字・小文字・数字
6
大文字・小文字・数字
7
大文字・小文字・数字
7
大文字・小文字・数字
記号・スペース混在
－
組合せ 916,132,832 56,800,235,584 3,521,614,606,208 55,784,660,123,648
GPU ＞1秒 4秒 17.5秒 7時間 33億回
CPU 24秒 90分 4日 75日 980万回
8,884
5,246
4,753
3,262
1,774
1,425 1,221 1,139 944 882
0
2,000
4,000
6,000
8,000
10,000
1234 0000 2580 1111 5555 5683 0852 2222 1212 1998
総当たり攻撃に要する解析時間
Smart PhoneにおけるPIN Top10
（iPhone Applicationによる調査）
出現回数
8

9. 認証方式の比較
ID/Password
ワンタイム
パスワード
マトリックス認証
電子証明書
（PKI）
認証プラット
フォーム（PKI）
認証強度 脆弱 やや脆弱*1 脆弱 強固 強固
複数アプリケーショ
ンへの対応
▲ × × ○ ○
ポリシーの柔軟性
強度を上げやすいか
× ▲ ▲ ○ ◎
アカウント管理の
容易さ
× ～ ▲ × ～ ▲ × ～ ▲ ▲ ～ ◎ ◎
構築コスト ◎ × ▲ × ◎
構築期間 ○ ▲ ▲ × ◎
ユーザライセンス ◎ × ▲ × ○
運用コスト ◎ × ▲ × ○
ユーザビリティ
パスワード地獄が
発生
H/Wが必要
視覚障害者、高齢者
に不具合
認証ごとに証明書を
選択する必要性
シンプルな操作で複
数認証可能
その他
ワンタイムパスワー
ドとユーザが紐付い
ていない
他人許容率が
高くなる
証明書の配付、
更新が困難
クレデンシャルの配
付、更新が容易、安
価
◎：優れている ○：やや優れている ▲：やや劣る（設計に依存） ×：劣る（設計・制御が困難）
＊１ アカウント管理とパスワード管理の両立が必要であり、H/W紛失のリスクが高い
9

10. 電子証明書とは？
電子証明書は、実社会の運転免許証を想像すると理解しやすいです。
運転免許証は、本人確認が可能な都道府県が発行する公文書です。
一方で認証局の審査を受けて発行された電子証明書は、電子の世界で持ち主の情報を証明す
ることができます。電子証明書は電子署名や通信の暗号化などいろいろな場面で利用されて
います。
発行者
有効期限
名前
鍵 など電子証明書
教育機関
自治体
クラウドサービス
IoT/M2M医療
民間企業
工場
製造物流
金融機関
電子社会、オンライン上における身分証明書の位置付け
10

11. 電子証明書を利用した厳格な機器認証
適用サービス
✓ AD/LDAPクライアント認証
✓ SSL-VPNクライアント 認証
✓ WiFiアクセスポイント 認証
✓ Webサービス 認証
電子証明書
従業員 なりすまし
OK NG
お客様企業
お客様管理者
VPN機器
証明書
発行申請
許可されたデバイスだけにインストールすることで
厳格なデバイス認証を実現します。
ID／パスワードが漏えいしても心配ありません
電子認証局
11

12. 電子証明書を利用した認証への活用シーン
サービス毎に異なるパスワード、更に数ヶ月毎に
パスワード変更では覚えられないが証明書を利用する
ことで簡単に利用できるようになった。
無線LAN（AP）対応で利便性も良くなった。
オフィス
電子証明書を利用することで「いつでも」・「どこでも」セキュアにアクセ
スすることが可能となります。
外出先
BYOD
海外支店や店舗・工場
企業ポリシーがあり外出先から社内システムにリモー
トアクセスするのは禁止だったが、SSL-VPNを経由す
ればセキュアログオンが可能になった。
導入してから生産性が上がったように感じます。
PCを持ち歩いてないケースが多く社内サーバにセキュ
リティを確保してアクセスするのは困難でした。本
サービスはマルチデバイス対応なのでタブレットから
でもセキュアにアクセスが可能になりました。
個人デバイスで自由なワーキングスペースを実現
するはずが、業務とプライベートの区別がつきません
でした。電子証明書を利用することでセキュアに業務
用webサービスを利用できるようになりました。
電子認証局
12

13. 「使う」・「セキュア」を簡単に
ID/PW 覚える 入力ログイン時に入力
していたID／PWを入力
する際に不便だと感じ
ませんか？
電子証明書で簡単ログ
イン、そしてセキュア
な環境が作れます。 証明書 PIN 所持
電子証明書を使うと
入力する手間
パスワードの更新
マルチデバイス
解決
解決
解決
ID/PW認証から証明書認証へ PC以外のタブレットにも対応
ログイン時に入力していたID／PWを証明書認証に切り
替えることで簡単にログイン。サーバー証明書とクラ
イアント証明書を利用することでセキュリティレベル
を最高レベルまで確保します。
iPhoneやiPadのようなスマートフォンやタブレットに
も証明書をインストールすることができます。
13

14. パスワードからの脱却を実現
クライアント証明書あり
安全なパスワードの運用ルールに伴うパスワード地獄
安全にパスワード運用するには
8桁以上で複数の文字種定期的に変更
システム毎に異なったPW
意味のない文字列
過去に使用したPWは使用しない
ヒトの頭では記憶できません
覚えられない
パスワード地獄！
パスワード地獄
パスワードをメモで残す
パスワード漏えい
のリスクが高まる
SSOで発揮する電子証明書の実力
クライアント証明書なし
OK NG
クライアント証明書を所持していないとアクセスできません！
SSL3.0による
相互認証と暗号化通信
複数のサービスを1枚の証明書で認証
×
14

15. 証明書でマッチング（認証）をかけます！
証明書のサブジェクト
電子証明書の優位性
電子証明書のメリットとディテール
インターネット上で本人確認
I’m Smith.
ID+Password
I’m Smith.
NG
×
電子証明書
OK
〇
CN：Mike Smith（氏名）
Issue：CA名称（発行元）
O：××商事 Co,ltd,.（所属）
OU：××××（認証ID）
E-mail：（アドレス）
証明書を所持していない
ので入ることはできません！
証明書を所持しているのでOK
暗号化通信で安全・安心
Internet
SSL／暗号化通信
証明書認証でシングルサインオン
・グループウェア
・ファイルサーバ
・人事
1枚の証明書でワンストップ管理！
15

16. IoT時代の認証プラットフォームへの拡張
1枚の証明書で複数認証が可能に
1枚の証明書でワンストップ認証！
低コストで次世代のユーザー認証を実現！
OK
厳格なユーザ認証でセキュアに
マルチサービスで高いユーザビリティ
マルチデバイス／マルチサービスに対応、次世代のユーザー認証
Mr.Smith
NG
×
シングルサインオン
認証プラットフォーム
（電子認証局サービス）
適用サービス
✓ AD/LDAPクライアント認証
✓ SSL-VPNクライアント 認証
✓ WiFiアクセスポイント 認証
✓ Webサービス 認証
Matching
SSL暗号化通信
信頼できる認証局
なりすまし
×
16

18. 導入事例① Webサイトでの証明書認証
全国各支店／従業員
電子証明書を利用したASPサービス認証
クライアント証明書と、代表的なWebサーバであるApacheやIIS（Internet Information Service）との組合せによ
り、電子証明書によるWebへのアクセス認証が可能となります。
通常のパスワード認証は、記憶という一因子に頼る認証方法であり、Webサービスに於いては安易なパスワード設定を
行うユーザが多いため、「なりすまし」を防ぐことがが難しいのが実情で、これでは十分な認証を行えているとは言え
ません。
これに対し、PKI(公開鍵基盤)を活用した認証方法を用いることにより、高度なセキュリティ強度を持つユーザ認証が可
能になります。
電子認証局
18

19. 導入事例② SSL-VPN 証明書認証
電子証明書
SSL-VPNとPKI認証の連携
SSL-VPN装置
管理者
SSLを利用したVPNによる暗号化通信は高度なセキュリティを実現していますが、暗号化通信を確立するため
の認証手段として、パスワード認証が多く利用されているのが現状です。
パスワードによる認証は、安易なパスワードの設定を行われたり、またパスワードポリシーを厳しくすると利用者のパ
スワード忘れが発生したり、パスワード自体を利用者が付箋紙やテキストファイルに記載したりとなかなか安全な運用
が難しいのが実情です。
これでは十分な認証を行っているとは言えず、強力な暗号化通信を行う意味がなくなります。
これに対して、
信頼できる認証局が発行するクライアント証明書を使うことにより、安全な認証を実現することが可能になります。
電子認証局
社内システム
19

20. 導入事例③ 無線LANでの証明書認証
電子証明書
802.1X（EAP-TLS）認証
無線LANコントローラ
管理者
企業・組織における無線LAN利用が広がりを見せておりますが、未だ認証に事前共有鍵（プリシェアードキー）を利用
している例が数多く見られます。 事前共有鍵方式はアクセスポイントと全端末が同じ鍵を持つため、どうしても十分な
セキュリティを確保できているとは言い難く、またMACアドレスによるアクセス制御は詐称が容易に可能という弱点が
あります。
こういったセキュリティリスクを抱えながらも、「便利だから」という理由でセキュリティリスクを軽視して無線LAN
を利用している例は枚挙に暇がありません。企業・組織での無線LAN利用では、事前共有鍵方式を利用するのではなく、
各ユーザ（或いは端末）毎に認証をかける802.1X方式が推奨されます。
RADIUS（認証サーバー）
アクセスポイント
電子認証局
20

21. OBCマイナンバークラウドとの協業（平成27年10月提供開始）
提供元：株式会社オービックビジネスコンサルタント
個人番号を自社内で保管することは、漏えい等のリスクを抱えることとなり、厳重な安全管理が必要です。このサービ
スでは、自社内ではなくクラウド上に保管することで、漏えい等のリスクを低減します。堅牢な日本のデータセンター
への保管、NRA-PKIクライアント証明書認証とSSL暗号化によるデータ通信などの高度なセキュリティ環境で、安全な
番号保管・運用が可能となります。
クラウドサービス
21

22. 「WaWaOffice」のログイン認証オプションを提供
「WaWaOffice」は、営業マンの日々の活動を管理し、戦略的営業を行うためのSFA、ワークフロー等、様々な業務の利
便性を考慮した純国産のクラウドサービスです。純国産のグループウェアの強みである、日本企業向けにカスタマイズ
したインターフェースをはじめとする利用しやすいシステムで多くのお客様にご利用頂いておりますが、ID+パスワード
の脆弱な部分に頭を悩ませておりました。NRA-PKIクライアント証明書を採用することで、従来懸念していたセキュリ
ティ面のリスクや、パスワードやシステム部門の運用の煩雑さを軽減し、バリューアップした「WaWaOffice」をお客
様へご提供致します。
クラウドサービス
提供元：株式会社アイアットOEC
22

25. 人事情報アプリ 給与情報アプリ 経理情報アプリ 営業情報アプリ 技術情報アプリ
ID: TARO
Password: oxoxo
ID: 10294
Password: xoxox
アクセス権なし ID: taro@domain
Password: xooxo
ID: taro@domain
Password: xooxo
さまざまな業務アプリケーションが乱立し、Aさんは
それぞれ異なる資格情報でログインして利用している ディレクトリサーバー
ID: domain¥taro
Password: xooxo
ディレクトリ連携

26. App 1
App 2
App 3
IAM directory IAM policy manager
SSOの仕組み Webアプリケーション利用者

27. どこからでも いつでもどのデバイスでも
Mobility 24x7 workforceBring your own device
• 多くの企業では、社内の独自ソリューションを今後も構築したり維
持するよりも、クラウドベースのサービスを採用し始めています
• クラウドプロバイダは、専門性の高いサービスを、高い費用対効果
で顧客に提供します（サブスクリプション、マルチテナント）

28. • クラウドアプリ個別でユーザ管理
運用負荷増大
• オペレーションミス
(i.e.退職に伴うアカウント削除漏れ)
セキュリティリスク
• セキュリティポリシーのばらつき
セキュリティリスク
• 各サービス利用毎にID/Passを入力
利便性の低下
インターネット
利用者
AAAAAAAAAAAA
管理者

29. 用語 意味／役割
アイデンティティ・プロバイダ（IdP） 認証を行いアイデンティティ情報を提供する
サービス・プロバイダ（SP）
IdPに認証を委託し、IdPからの認証情報を信頼し
てサービス提供する
Assertion（アサーション）
IdPが本人性を証明するために発行する文書。属
性やアクセス権情報などを含む場合もある
SP
Website
IdP
直接通信なし
User
１．SPへアクセス
２．IdPへ
リダイレクト
３．認証
４．認証結果を
POST
SPで直接認証を行わな
いためSPにパスワード
情報が不要
POST REDIRECT
型連携パターン
Assertion

30. • クラウドアプリ個別でユーザ管理
集中管理が可能
• オペレーションミス
(i.e.退職に伴うアカウント削除漏れ)
集中管理が可能
• セキュリティポリシーのばらつき
認証に関してポリシーの統一化
• 各サービス利用毎にID/Passを入力
一度の認証で複数アプリケーションに対応
認証システム
インターネット
Identity and Access
Management
端末
AAAAAAAAAAAA
AAA
管理者

31. 対応可能な認証システムが必要
Cloud
様々な提供形態より多くのデバイス より多くのアプリ
SaaS

33. SSL-VPN
SAML
OAuth
VDI
SSO
社内ネットワーク
クラウド
アプリケーション
仮想デスクトップ
(VMware/MS/Citrix)
Virtual
Edition ChassisAppliance
mac
iPhone iPad
Windows
Android
アプリケーションへの認証、認可、シングルサインオンを提供し、
あらゆるアプリケーションへの接続を安全、快適に！
社内
アプリケーション
(HTTPS / HTTP)
Outbound

34. チェック項目例：iOS
プラットフォーム情報 iOS
モデル名 iPhone 6
バージョン情報 10.1
ユニークID(UUID) 8ccaf965e51e3077
Jailbreak no
ワンタイムパスワード 123456
誰が、いつ、どこから、どんな端末から
アクセスしたのかをチェックします。
ポリシーエディタ
端末の状況確認
ユーザA
アクセス制御
検疫結果とポリシーに基づき
認証と認可を実施します。
ポリシー例
ユーザAというアカウント名のユーザーは、
最新のiOSをインストールした
デバイスID"XXXXX"というiPhoneから
でなければアクセスを拒否する
かつワンタイムパスワードを入力する
アクセス端末
アクセス許可
アクセス拒否
任意のメッセージを表示

35. •
•
•
上記設定例：
接続→クライアントのアンチウィルスチェックー>ログオン画面が現れ→AD認証→SSL-VPN
認証