NRIセキュアが考える持続可能なID&アクセス管理基盤の実現

ID & IT Management Conference 2015
NRIセキュアが考える
持続可能なID & アクセス管理基盤の実現
2015年9月18日
NRIセキュアテクノロジーズ株式会社
ソリューション事業本部
ソリューションビジネス一部
上級ソリューション・アーキテクト
工藤達雄 https://www.linkedin.com/in/tatsuokudo
〒100-0004
東京都千代田区大手町1-7-2 東京サンケイビル

Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1
あらためて、IAMとは?
人の活用
・多様な人材登用
・拠点間人事統合/合従連衡
・関連業務の効率化
ITの活用
・企業間アイデンティティ連携
・タブレット、スマホ活用
・クラウドサービス活用
コンプライアンス強化
・金融監査/内部統制対応
・当局レスポンス強化
（eガバナンスetc.）
セキュリティ強化
・アクセス制御の実現
・ID統制×リスク管理
・管理達成度の説明責任
攻
攻
守守
テキストＩＡＭ

「認証基盤」+「アイデンティティ管理」= IAM
従業員A
従業員B
社外
パートナー
「統合認証基盤」
システム
A
ID パスワード
共通 tsato cliaKnGd
ID パスワード
共通 hsawa lkqg94sdc
ID パスワード
共通 rmiki p098aPPO
システム
B
システム
C
SSO
システム
ディレクトリ
システム
共通ID パスワード氏名拠点所属ロール …
tsato cliaKnGd 佐藤太郎東京営業部 Sales …
hsawa lkqg94sdc 沢博美大阪人事部 HR …
rmiki iloveyou 三木良福岡経理部 Finance …
… … … … …
システム
D
「統合アイデンティティ管理」
アイデンティティ
管理システム
共通ID パスワード氏名 …
tsato cliaKnGd 佐藤太郎 …
hsawa lkqg94sdc 沢博美 …
rmiki p098aPPO 三木良 …
… … … … …
temp changeit 保守担当
人事情報
システム
パート
ナー管理
システム
一般
社員
部門長
担当
役員
利用申請承認統制状況
の把握
ユーザー情報
／アクセス
権限情報の
設定・検証
マスター情報
の取り込み
ユーザー情報/
アクセス権限
情報の設定・検証
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン

IAMの今後(1)
従業員向けIAMは今後、部門や事業ごとに複数存在するIAMシステムが連携してID/アクセス管理を行っていく。
またクラウドサービスのIAMについてはIDaaSと連携していく
IDM AM
派遣管理
App
HR
IDM AM
派遣HR
App SaaS
App
SaaS
IDM AM
全社IAM
IDaaS
部門IAM
認証
利用
利用
利用利用
アクセス制御
（ID連携）
アクセス制御
（AM独自）
アクセス制御
（ID連携）
アクセス制御
（AM独自）
プロビジョニング/
リコンシリエーション
アクセス制御
（ID連携）
リコンシリエーションプロビジョニング/
全社
部門
従業員
従業員
従業員
従業員
従業員
アクセス制御
（ID連携）
•HR: 人事情報システム
•IDM: アイデンティティ管理システム
•AM: アクセス管理システム
•SaaS: ソフトウェア・アズ・ア・サービス
•IDaaS: アイデンティティ・アズ・ア・サービス
部門内IAMは認可を
担い、一方認証は
全社IAMに委ねる
全社IAMはIDライフ
サイクルとユーザー
認証の中心となる
クラウドサービスの
ID・権限管理は
IDaaSに集約される

IDM AM
パートナー/顧客
企業内IAM
IAMの今後(2)
企業のB2B2E基盤はオンプレミスからクラウドに移設・構築されていく。それらサービスのIAMはIDaaSによって
行う。IDaaSへのプロビジョニングやID連携は企業やパートナー・顧客企業から行う
IDM AM
IDM AM
派遣管理
AppHR
App
SaaS
IDaaS
パートナー/顧客企業
(IAMあり)
全社IAM
認証
利用
アクセス制御
（ID連携）
Private Cloud
全社
利用
アクセス制御
（ID連携）
アクセス制御
（AM独自）
認証
認証
利用
利用
利用
利用
アクセス制御
（ID連携）
リコンシリエーションプロビジョニング/
従業員
パートナー/
顧客企業
（IAMあり）
従業員
パートナー/
顧客企業
（IAM無し）
従業員
•HR: 人事情報システム
•IDM: アイデンティティ管理システム
•AM: アクセス管理システム
•SaaS: ソフトウェア・アズ・ア・サービス
•IDaaS: アイデンティティ・アズ・ア・サービス
B2B2E基盤向けのIAMが
プライベートクラウドの
一機能として提供される
全社IAMはIDライフ
サイクルとユーザー
認証の中心となる
パートナー/
顧客企業の
IAMと連携
する

IAMの今後(3)
個別運用されている各システムの特権ID/アクセス権限が職責に対して適切かどうかを確認・是正するために、
全社IAMのアクセス分析を活用した、リアルタイムの不正アクセス発見へと進化していく
全社ID/アクセス管理
 特権ID制御・申請/承認
 アクセスログ管理
対象システムユーザ（特権ID利用者）
UNIX系サーバ
LINUX系サーバ
Windowsサーバ
ネットワーク
機器
特権
ID・PW
特権
ID・PW
特権
ID・PW
特権
ID・PW
アクセス
ログ
不正アクセス
分析
特権IDで
アクセス
特権IDの
アクセス
申請
ユーザID
認証情報
ユーザID
認証情報
全社のID/アクセス管理と
各部門/サービスの特権ID/アクセス管理を
連携
社員
パートナー
管理者

IAMの今後(4)
クラウドファースト、モバイルファーストが浸透するにつれて、IAMの「クラウドサービス化」が進行している。
「クラウドIAM」はオンプレミスのシステムとも連携し、社内外のシームレスなサービス利用環境を実現する
ユーザー企業
クラウド
サービス
クラウド
サービス
クラウド
サービス
ユーザー
「クラウドIAM」
「コネクター」
企業内のユーザー/権限情報
マスタや認証システムと連携
ユーザー/
権限情報
マスタ
オンプレミス
アプリケー
ション
オンプレミス
アプリケー
ション
オンプレミスアプリ
ケーションへのSSO/
プロビジョニング
クラウドサービスへの
SSO/プロビジョニング
ユーザーの場所や
デバイスに応じて
適切に認証・認可
サービス
利用
サービス
利用
• 既存のユーザー/権限情報マスタ/
認証システムと連携
• 社内外のサービスへSSO・認
可・プロビジョニング
• 高度認証（二要素、端末など）
• リポーティング

IAMの将来のかたち(1)
 VPN等の専用ネットワークを排除し、インターネットに社内システムを公開。すでに90%以上の社内システムについて完了
 コンセプトはマネージドデバイス。インベントリ情報、パッチの適用レベル、ユーザのロケーション、デバイスアイデンティティ (TPM)、…
 “We are removing the requirement for a privileged intranet and moving our corporate applications to the Internet.”
Google “BeyondCorp”
Source: BeyondCorp: A New Approach to Enterprise Security http://research.google.com/pubs/pub43231.html, Devices outside the Enterprise Perimeter | SCALE 12x http://www.socallinuxexpo.org/scale12x/presentations/devices-outside-enterprise-perimeter.html
BeyondCorpのアーキテクチャアクセスポリシーの例ペリメーターモデルとの比較

 自社の顧客（製品導入企業、サービス利用企業）基盤を足がかりとしてIAM領域に進出
Microsoft Azure / Salesforce Identity
Source: Microsoft Identity Platform for Developers: Overview and Roadmap https://myignite.microsoft.com/#/videos/ec8edc3c-58a2-e411-b87f-00155d5066d7,
Identity in the Cloud http://www.slideshare.net/metadaddy/identity-in-the-cloud
Azure ADは企業内のActive Directoryと一体化した
“Single Logical Directory” へ
Salesforce Identityは同社サービスの利用者IDを軸に
クラウドサービスを連携

AWS Cognito / Lambda / API Gateway
 IAM基盤の「ビルディング・ブロック」となりうる機能を相次いで提供開始
HTML5 App
w/ AWS SDK
(JavaScript)
Mobile Native App
w/ AWS SDK
(iOS, Android)
Webブラウザ
Webアプリケーション
w/ AWS SDK
(Java, PHP etc.)
(OpenID Connect
RP化)
(RP化対応が困難)
SSO用リバース
プロキシー
認証・認可システム
Lambda
ユーザー/権限情報
リポジトリ
DynamoDB
モバイル向け認可
トークン管理
Cognito
AWSリソース
認証・認可
リクエスト
API
アクセス
認��・認可
リクエスト
認証・認可
リクエスト
API
アクセス
API
アクセス
認証・認可リクエスト
(OpenID Connect)
Web
アクセス
Web
アクセス
Web
アクセス
Web
アクセス
認証・
認可
情報
参照
認証・認可リ
クエスト
(OpenID
Connect)
「AWSネイティブ」な
アプリケーション
従来型
認証システム群
ID連携ゲートウェイ

いきなり “BeyondCorp” に行けるだろうか?
ベンダーロックインのリスクをどうするか?
自社ITを完全に「AWSネイティブ」にできるだろうか?
自組織がどの段階にあるか?
どうやって考える? どうやって進める?
→ IAMを「一回きりのプロジェクト」ではなく
「継続的なプログラム」として考える
さて、どうやるか? 高みを目指すべきではあるが…

従業員A
従業員B
社外
パートナー
システム
A
システム
B
システム
C
SSO
システム
ディレクトリ
システム
システム
D
管理システム
人事情報
システム
パート
ナー管理
システム
一般
社員
部門長
担当
役員
の把握
ユーザー情報
／アクセス
権限情報の
設定・検証
マスター情報
の取り込み
ユーザー情報/
アクセス権限
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン
IAMはプロジェクトではなく継続的なプログラム。
一度導入してプロジェクト完了、ではない
従業員A
従業員B
社外
パートナー
システム
A
システム
B
システム
C
SSO
システム
ディレクトリ
システム
システム
D
管理システム
人事情報
システム
パート
ナー管理
システム
一般
社員
部門長
担当
役員
の把握
ユーザー情報
／アクセス
権限情報の
設定・検証
マスター情報
の取り込み
ユーザー情報/
アクセス権限
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン
共通ID/
パスワードで
ログイン
IAMシステム
の運用・管理
対象システム
の変化
業務要件の
変化

NRIセキュアが考える「持続可能なIAM」のポイント
ITとビジネスを
理解した上での
システム化計画
最適な
テクノロジーを
活用した構築
専門家による
運用と改善

NRIセキュアの「セキュアIAMソリューション」
システム化構想支援から、ＩD・アクセス管理システムとマネージドIDサービスまでを見据えた、
包括的なIAMプラットフォームのサービスとソリューションをワンストップで提供いたします。
IAMシステム化
構想の立案
IAMシステムの
構築
IAMシステムの
運用とID統制・
棚卸・不正
アクセス検知
IAMシステム化構想の立案
• 現状のID管理の棚卸、不正リスク診断、課題整理、次期システム検討、構
築計画策定、要件定義からご支援
IAMシステムの構築
• 最適な製品を組み合わせたID・アクセス管理システムの構築
• 特権IDによるアクセス時のユーザー認証を強化し統制環境を高度化
IAMシステムの運用とID統制・棚卸・不正アクセス検知
• IAMシステム運用サービスのご提供
• IDの利用状況を収集し、退職者IDの失効処理やIDのなりすまし利用の疑い
を把握

現場任せのID・アクセス権限管理から
脱却するためのカギが “IAM” です。
IAMのかたちが大きく変わっていく中、
基盤を確立するための現実的なアプ
ローチが求められています。
NRIセキュアは、テクノロジーとマネジ
メントの両輪によって、お客様のIAMの
課題を「ワン・ストップ」で解決します。
まとめ

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現

More Related Content

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現