Pages

2014年10月9日木曜日

クラウド時代の認証基盤 〜個人利用と企業利用の違い〜

Be.Cloud通信戌亥です。昨日、CEATECに行ってきました。クラウドビジネスアライアンスのブースでプロキューブの中川路社長がプレゼンをしていました。そこで、表題の話をしておりましたので、それについて書いておきます。

表題にありますように、普段みなさんは、個人として様々なクラウドサービスを利用されていると思います。Facebook, Dorpbox, iCloud, Office365などです。おそらくクラウドを一つも使っていないという人は稀だと思います。クラウドを利用する場合、ほとんどのケースはIDとパスワードを要求されます。そして、様々なクラウドサービスから、アクセスの認可するか?という要求を受けて利用したりします。

通常、個人の場合は契約主体とID/パスワードを管理する人が同一人物であるため、各クラウドサービスからの認可と認証に個人で承諾するのは問題ありません。全て自己責任による利用となります。


しかし、企業のクラウド利用はどうでしょうか?企業のクラウド利用の場合は、契約は企業がします。サービス提供者と企業がアグリーメントを交わして契約することになります。そして、利用者はその企業の従業員となります。この場合は、契約当事者と利用者が変わります。しかし、これに対して、ほとんどのケースは個人が管理をするIDとパスワードをサービス事業者の提供する認証基盤にサービス事業者にの認証ポリシーに従ってログインをし利用をします。


企業はある意味、個々の従業員に管理を任せているということになります。本来であれば、企業が契約をしているわけですから、企業が認証基盤を提供し、企業の管理下でユーザIDとパスワードを発行し、クラウドサービスを利用することが重要なわけです。

中川路さんは、OASISが提唱しているモデルから、企業のクラウドの契約はBrokered(利用者とサービス事業者の間に企業という仲介者が入る)であるため、認証はDirect(利用者が直接サービス業者から認証を受ける)認証よりも、Indirect(企業がサービス業者に変わり認証基盤を提供し、サービス事業者は、契約主体の企業が認証をしたユーザを信頼して利用させる)認証の方がふさわしいとしています。

ちょっとややこしく書いてますが、契約主体である企業が認証基盤を提供すべきでしょうということです。これが、個人のクラウド利用と企業のクラウド利用の大きな違いであると言っております。(以下の図を参考)



 
直接認証の場合は、個人にID/パスワードの管理を任せなければならないため、ISMSなどに対応するため、ID/パスワードの適切な管理の規定を定めて、社員に徹底するという労力が必要となってしまいます。もちろん、認証基盤を企業が管理したからといって全く規定類が必要ないかというとそうではありませんが、企業のセキュリティポリシーに従った対応がやりやすくなります。

例えば、ワンタイムパスワード、コピー耐性の強い証明書を利用したり、スマートデバイスの端末の管理などを付加することができます。それにより、個人に頼るID/パスワードに加えて二重の壁(二段階認証)を作ることができ、不正アクセスから企業情報を守ることもできます。

それでは、そんなことが一体できるのか?ということになりますが、Google Apps, Office365, Salesforceなどはそれをしています。SAMLというプロトコルを利用してセキュアに間接認証を実現しています。現在様々なクラウドサービスが出てきておりますが、SAML対応をして、間接認証をの仕組みを作っているサービス事業者はまだ少ないと感じます。


尚、興味ある方、もっと詳しい話を聞きたい方は、CEATECにおいての中川路さんのプレゼンは10月10日(金)15:30-からもやっていますので見に行かれてはどうでしょうか?

追記:中川路さんのプレゼンテーションが公開されましたのでリンクを追記いたします。
http://www.cloud-business.jp/information/docs/CEATECCBA2014-CBA-NCWG-FrontWG.pdf



0 コメント:

コメントを投稿