オープンソース活用研究所 | 第二回目「認証・ID管理の課題と、今後「SKUID」に求められる機能」

第二回目「認証・ID管理の課題と、今後「SKUID」に求められる機能」

オープンソース活用研究所

2017年02月13日
オープンソース活用研究所 所長 寺田雄一

SLAや監査への対応

2016年12月5日、渋谷にあるGMOグローバルサイン株式会社において「クラウドサービス利用時のID/パスワード管理 運用実務 勉強会」が開催されました。

Office365やDropBox、SalesforceCRM、Cybozu.comなど、中小企業におけるクラウドサービスの利用が増大しています。一方、ユーザーのリテラシーを含めたクラウドへの周知をはじめ、システム担当者の負担は大きくなるばかりです。

本セミナーでは、クラウドサービスにおける認証とID管理の動向や、パスワード使いまわしなどID管理のリスクをご紹介するとともに、ID管理クラウド「SKUID」のハンズオンセミナーを行いました。

GMOグローバルサインが提供する「SKUID」は、ID管理、シングルサインオン、アクセスコントロールを提供するID管理クラウドサービスです。ビジネスレベルの機能を兼ね備えていながら、アカウント数、アプリケーション登録数が無制限であり、基本機能が無料で使えるという大きな特長があります。

本セミナーではハンズオン終了後、今後「SKUID」に実装してほしい機能についてディスカッションが行われ、活発な意見が飛び交いました。

本稿では、そのディスカッションの模様をダイジェストでご紹介します。第2回目のトピックは、「SLAや監査への対応」等についてです。


2-1.「SKUID」のクラウドサービスの利用制限機能について

Q: システム管理者としてお聞きしたいのですが、自社の社員が「SKUID」に限らず独自に外部サービスに登録・利用することについて、他社では一般的にどこまで許可、又は禁止しているのでしょうか?

A:企業によって事情は異なると思いますが、何らかのルール(社内規定)を設けている企業は多いようです。一部の企業では、特定のクラウドサービスの利用を禁止したり、不正利用を検知したりできる仕組みを導入しています。

「SKUID」では、将来的には対応する可能性もありますが、現状では利用制限の機能はありません。

利用制限機能を実現するものとしては、やや大規模向けですが、「CASB(キャスビー)」というクラウドサービスがあります。こちらは外部のクラウドサービスをモニタリングし、それぞれにランク付けをした上で危険度の高いクラウドサービスは使わせないなどの制御が可能です。

2-2.「SKUID」のSLA対応、セキュリティ認証について

Q:クラウドサービスのSLA (Service Level Agreement:サービス品質保証)という観点から、「SKUID」はISMSのようなセキュリティ認証を取得する必要があるのではないでしょうか? 認証が止まってしまうとその先のサービスがすべて使えなくなるという懸念があり、企業にとって「SKUID」は重要なサービスになると思います。それについては現状どのようにお考えでしょうか?

A:はい、セキュリティ認証は非常に重要であると考えています。一方、当社には「基本機能を無償で提供する」という確固たる理念があり、社内的にそのバランスで悩んでいます。

もちろんSLAは提示すべきであると認識していますが、具体的にどの程度までのSLAを設けるのか、それをどのように保証するのか、どのような約款にするのか、認証を止めないことをどのように担保するか、といったところも含めて前向きに検討している段階です。

Q:一定以上の可用性を求めるのであれば、Amazonのように有償でサービスを提供するという考えもあるのではないでしょうか?

A:そうですね。そのようなオプションも選択肢として考えています。しかしその場合は、無償のシステムと有償のシステムを別立てでどのように管理していくのかという課題も残り、即答が難しいテーマです。

Q:外部監査の認証について、例えばISMSやSOC2等は、ユーザー企業側では重要視されるのでしょうか?

A: ISMSはかなり重視するお客様はいるようです。海外の認証に関してはあまり聞いたことがありません。

以上、GMOグローバルサインでは、今回の意見を参考に「SKUID」の機能拡張やサービス改善に取り組んでいくとのことでした。

次回は、利用環境についての意見を紹介します。

ご参考

講演資料はマジセミからダウンロード可能です。
SKUIDのサービスサイト
第一回目 人事異動への対応やSAML認証への対応


OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【講演資料を公開】7/21『デジタル革命時代の「攻めの認証/ID管理」と、不正アクセスに対する「守りの認証/ID管理」(基調講演:監査法人から見たID管理/パスワード不要のFIDO動向)』(2017年08月20日 09:15)

2017年07月21日(金)14:00~17:40 NS会議室3階3-H にて『デジタル革命時代の「攻めの認証/ID管理」と、不正アクセスに対する「守りの認証/ID管理」(基調講演:監査法人から見たID管理/パスワード不要のFIDO動向)』と題したセミナーを開催ました。 お申込総数は、130名以上と「認証・ID管理」へのご関心の高さが伺えました。また、当日はうだるような暑さの中、多くの熱心な方々...

関連オープンソース

Gluu(グルー)

  • シングルサインオン

Gluu(グルー)とは、オープンソースの認証ソリューションです。アイデンティティおよびアクセス管理を行います。多くの認証プロトコルに対応しています。

OpenAM(オープンエーエム)

  • シングルサインオン

OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

Keycloak(キークローク)

  • シングルサインオン

Keycloak(キークローク)とは、シングルサインオン機能を提供するフレームワークです。「OAuth2」や「OpenID Connect」などの方式をサポートしており、「ソーシャルログイン」にも対応しています。

Snort(スノート)

  • セキュリティソフト

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)

  • シングルサインオン

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)とは、シングルサインオンソリューションです。アプリケーション/API/クラウド/モバイル間で統合ID管理を行います。

LibreSSL(リブレ エスエスエル)

  • ネットワーク系ツール

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

Vuls(バルス)

  • セキュリティソフト

Vuls(バルス)とは、脆弱性スキャンツールです。Linux(FreeBSD)系OS/各種ミドルウェア/各種フレームワークなどに対する脆弱性存在を検査し、詳細情報をレポーティングします。

OpenSSH(オープンエスエスエイチ)

  • ネットワーク系ツール

OpenSSH(オープンエスエスエイチ)。ネットワーク経由通信を暗号化する「SSH」のオープンソース実装です。おもにUNIX/Linuxサーバに対するネットワーク経由でのリモートログインに使用します。

FreeRADIUS(フリーラディウス)

  • 認証サーバ

FreeRADIUS(フリーラディウス)。オープンソースの高機能RADIUSサーバです。認証用プロトコル「RADIUS」機能を実現するデファクトスタンダードとして広く使われています。

OpenSSL(オープンエスエスエル)

  • ネットワーク系ツール

OpenSSL(オープンエスエスエル)。オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

Apache DS(アパッチディーエス)

  • 認証サーバ

Apache DS(アパッチディーエス)。オープンソースのLDAP(ディレクトリ)サーバです。「Apache Directory」プロジェクトで開発されています。

389 Directory Server(389ディレクトリサーバ)

  • 認証サーバ

389 Directory Server(389ディレクトリサーバ)。オープンソースディレクトリサーバです。「Fedora Directory Server」の後継で、商用製品の流れを受けており、ユーザフレンドリーなGUIツールの充実などが特徴です。

OpenIDM(オープンアイディーエム)

  • ID管理

OpenIDM(オープンアイディーエム)。高い柔軟性と拡張性を備え、エンタープライズ/クラウド/モバイル/ソーシャル/レガシーなど多様な環境において、ユーザアカウントのプロビジョニングとライフサイクルの一元管理を実現するID管理製品です。

LISM(リズム)

  • ID管理

LISM(リズム)。シンプルな使いやすさが特徴のID統合管理ソリューションです。

OpenLDAP(オープンエルダップ)

  • 認証サーバ

OpenLDAP(オープンエルダップ)。最も多くの導入実績があり、ディレクトリサービスを提供するオープンソースLDAPサーバです。

OpenDJ(オープンディージェー)

  • 認証サーバ

OpenDJ(オープンディージェー)。OpenAMに内蔵されており、先進的なレプリケーションアーキテクチャや「REST API」を搭載したLDAP準拠の高機能オープンソースディレクトリサーバです。

バックナンバー

関連記事

  • オープソース書籍(サイド)

facebook

twitter