2017 Fiscal Year Research-status Report
ID連携基盤における不正アクセス対策のための強固な認証セキュリティアーキテクチャ
| Project/Area Number |
17K00199
|
|---|
| Research Institution | National Institute of Informatics |
|---|
Principal Investigator |
中村 素典 国立情報学研究所, 学術基盤推進部, 特任教授 (30268156)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
西村 健 国立情報学研究所, 学術基盤推進部, 特任研究員 (50334272)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | ID連携 / SSO / SAML / Shibboleth / 多要素認証 / トランザクション認証 / セキュリティ |
|---|
| Outline of Annual Research Achievements |
インターネットにおける成りすましや不正アクセスによる犯罪等の対策としてオンライン認証の強化を目的として、トランザクション認証および複数の認証システムの併用(多信頼点認証方式)による次世代認証連携アーキテクチャを、SSO技術に基づくID連携フレームワーク上に実現することを目指し、研究初年度である平成29年度はトランザクション認証に関する準備研究を行ってきた。学術分野におけるID連携で世界的に広く利用されているSAML (Security Assertion Markup Language)ではShibbolethと呼ばれるミドルウェア実装が広く利用されていることから、Shibboleth IdP (ID Provider)を用いた実現方法について検討を進めている。Shibboleth IdPはバージョン2のサポートが終了し、バージョン3への移行が行われたが、バージョン3になって実装の大幅な見直しが行われたため、バージョン3の調査を中心に進めてきた。その一環として、Shibboleth IdPバージョン3.3における多要素認証の実現方式であるMultiFactor認証フローについて調査を進めた。調査の結果は、Webページにまとめて公表している。Shibboleth IdPを利用している場合は、このページを参考に設定を行うことで、多要素認証を用いたIdPのセキュリティ向上を実現することが可能である。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
ID連携技術は、今後より幅広く活用が進むと予想されるが、特に学術分野では、SAMLを用いたID連携技術の活用が進められており、Shibbolethと呼ばれるミドルウェアが広く利用されていることから、Shibboleth IdPの利用におけるセキュリティ向上について重点的に検討を行っている。トランザクション認証方式の活用による、セッション全体のセキュリティ向上を行う上でも、利用者認証はある程度の認証強度を保持していなければトランザクション認証によるセキュリティ向上は意味をなさない。そのためには、これまで広く利用されてきたID/パスワードのような脆弱なものではなく、多要素認証などの認証強度がより高い仕組みを普及させていく必要がある。そこで、Shibboleth IdPに関する調査を進める中で、多要素認証方式を活用するための方法について調査を行うことから作業を開始した。特に、Shibboleth IdPは平成28年にバージョン2からバージョン3への移行が進められ、実装が大幅に変更されていることから、Shibboleth IdPバージョン3における多要素認証方式の利用方法について調査を行い、Web上で設定方法について公開を行った。利用者に求められる認証強度は、利用するサービス(SP: Service Provider)の内容ごとに異なることから、複数レベルの認証強度を設定して、それぞれの認証強度レベルごとに要求すべき最低限の認証手段(パスワード、証明書、認証トークン等)が設定できるようにし、SP側から必要とする認証レベルが指定できる方法について調査を行った。アクセス元のIPアドレス等に基づくリスクベース認証にも対応する方法についても提供している。
|
| Strategy for Future Research Activity |
予定通り、ID連携対応トランザクション認証方式についての検討、実装および評価を行うとともに、多信頼点認証方式についての検討を開始する。
ID連携対応トランザクション認証については、Shibboleth、OpenSAMLphpによって構築されるIdPおよびSPに対して、トランザクション認証のための機能を組み込み、WebアプリケーションからAPIを介してユーザにトランザクションの内容を提示しつつ再認証を行うことができることを確認するとともに、その使い勝手について評価を行う。
また、多信頼点認証方式として、認証の信頼点を複数に分散させ、一つの認証サーバが侵入等の被害を受けても、他のサービスに被害が広がらない仕組みについて検討を開始する。平成31年度には、Shibboleth、OpenSAMLphpによって構築されるIdPおよびSPに対して、多信頼点認証方式に対応させる方法について検討した結果を実装、評価する。なお、ID連携の枠組みにおいては、IdPと連携して動作し、当該ユーザに対して追加の情報を提供する属性プロバイダと呼ばれる仕組みが存在するが、このような連携を拡張することにより、多信頼点認証に対応することから検討を始めることで、実環境への導入を容易にすることについても考慮する。また、最終的にトランザクション認証と多信頼点認証方式を組み合わせた利用についても検討することを予定している。
|
| Causes of Carryover |
当初、研究分担者の旅費を計上していたが、研究分担者の調査研究等の出張に調整がつかなかったため、予算を次年度に持ち越しとして、有意義に活用することとしたことによる。
|
Research Products
(1 results)
