2018 Fiscal Year Research-status Report

ID連携基盤における不正アクセス対策のための強固な認証セキュリティアーキテクチャ

Research Project

Project/Area Number	17K00199
Research Institution	National Institute of Informatics
Principal Investigator	中村素典国立情報学研究所, 学術基盤課, 特任教授 (30268156)
Co-Investigator(Kenkyū-buntansha)	西村健国立情報学研究所, 学術基盤課, 特任研究員 (50334272)
Project Period (FY)	2017-04-01 – 2020-03-31
Keywords	ID連携 / SSO / SAML / Shibboleth / 多要素認証 / トランザクション認証 / セキュリティ
Outline of Annual Research Achievements	インターネットにおける成りすましや不正アクセスによる犯罪等の対策のためにはオンライン認証の強化が欠かせない。本研究はオンライン認証の強化を目的として、トランザクション認証および複数の認証システムの併用（多信頼点認証方式）による次世代認証連携アーキテクチャを、SSO技術に基づくID連携フレームワーク上に実現することを目指している。2年目にあたる平成30年度は、認証の対象とする処理内容を利用者およびシステム側で共に確認し、途中での処理内容の改竄を防ぐトランザクション認証に関する調査を引き続き行った。近年、認証プロトコル標準規格として検討が進められているFIDOにおいても、UAFにおいてトランザクション認証がサポートされていることから、その詳細について調査を行っているが、新たに定められた後継仕様であるFIDO2においてもどのような対応になっているかについて調査を進めた。また、SAMLによるSSO ID連携を実現するミドルウェアであるShibbolethのIdPバージョン3において、認証を強化するためのMultiFactor認証フローを利用した多要素認証の実現方法について情報をまとめ、Webサイトで提供を行うとともに、多要素認証のためのデバイスとして利用可能なTiqrについても、Shibboleth IdPバージョン3対応を行った環境を構築し提供を行っている。これらについて、トランザクション認証をどのように組み込むことができるかについて引き続き検討を行う。
Current Status of Research Progress	Current Status of Research Progress 3: Progress in research has been slightly delayed. Reason ID連携技術の整備と活用が世界的に進められているが、特に学術分野では、SAMLを用いたID連携技術が利用されていることから、その代表的な実装であるShibbolethおよびOpenSAMLphpと呼ばれるミドルウェアによるIdPのセキュリティ向上について重点的に検討を行っている。トランザクション認証についてはIdPだけでなく、認証デバイスとの連携も重要になるため、FIDOをはじめとする認証デバイスに関する標準について調査を進めているが、FIDOも平行して標準の策定やデバイスの開発が進められているところであるため、調査および簡単な評価に留まっている。また、多信頼点認証の実現に向けた複数のIdPの連携方法についての検討も進めており、複数のIdP間での紐付け機構の検討・実装・評価を行っている。今後はこれを一歩進めて複数IdPでの認証に結びつけることを検討中である。
Strategy for Future Research Activity	引き続き、ID連携対応トランザクション認証方式についての検討、実装および評価を行うとともに、多信頼点認証方式についての検討、実装および評価を行う。 ID連携対応トランザクション認証については、Shibboleth、OpenSAMLphpによって構築されるIdPおよびSPに対して、トランザクション認証のための機能を組み込み、WebアプリケーションからAPIを介してユーザにトランザクションの内容を提示しつつ再認証を行うことができることを確認し、その使い勝手について評価を行う。多信頼点認証方式についても、複数のIdPを組み合わせて認証に利用する方法を検討し、Shibboleth、OpenSAMLphpによって構築されるIdPおよびSPに対して、多信頼点認証方式に対応させる方法について実装、評価する。また、最終的にトランザクション認証と多信頼点認証方式を組み合わせた利用についても検討する。
Causes of Carryover	研究分担者の旅費を計上していたが、研究分担者の調査研究等の出張に調整がつかなかったため、予算を次年度に持ち越しとして、有意義に活用することとしたことによる。

Research Products
(3 results)

All Presentation (1 results) (of which Invited: 1 results) Remarks (2 results)

[Presentation] Shibbolethの多要素認証対応と学認2019
- Author(s)
  西村健
- Organizer
  第12回統合認証シンポジウム
- Invited
[Remarks] MultiFactor認証フロー(MFA)を用いた認証設定
- URL
  https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26186832
[Remarks] Shibbolized Tiqr
- URL
  https://meatwiki.nii.ac.jp/confluence/display/tiqr/Home