2019 Fiscal Year Research-status Report
ID連携基盤における不正アクセス対策のための強固な認証セキュリティアーキテクチャ
| Project/Area Number |
17K00199
|
|---|
| Research Institution | Kyoto University |
|---|
Principal Investigator |
中村 素典 京都大学, 学術情報メディアセンター, 教授 (30268156)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
西村 健 国立情報学研究所, 学術基盤課, 特任研究員 (50334272)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | ID連携 / シングルサインオン / SAML / Shibboleth / 多要素認証 / トランザクション認証 / セキュリティ |
|---|
| Outline of Annual Research Achievements |
インターネットにおける成りすましや不正アクセスによる犯罪等の対策としてオンライン認証の強化は欠かせない。ネットワーク構造の複雑化と社会におけるネットワーク活用の多様化により、ネットワーク環境の安全性を仮定せず毎回確実な認証を行うゼロトラストモデルが急速に広がってきている。
本研究は、オンライン認証の強化を目的として、トランザクション認証および複数の認証システムの併用(多信頼点認証方式)という2つのテーマによる次世代認証連携アーキテクチャを、SSO技術に基づくID連携フレームワーク上に実現することを目指す。
認証の強化は、利便性低下とのトレードオフの関係にあり、ネットワークサービスにおける不正アクセスのリスクを評価した上で、要求される認証強度のレベルを設定する必要がある。この意味において、トランザクション認証や多信頼点認証方式は、リスクの高い処理を行う時に、より強度の高い認証を求める一つの手段として有効である。
まず、Shibboleth IdPバージョン3における多要素認証方式の利用方法について調査を行い、Web上で設定方法について公開を行った。利用者に求められる認証強度は、利用するサービスの内容ごとに異なることから、複数レベルの認証強度を設定して、それぞれの認証強度レベルごとに要求すべき最低限の認証手段が設定できるようにし、SP側から必要とする認証レベルが指定できる方法について調査を行った。アクセス元のIPアドレス等に基づくリスクベース認証にも対応する方法についても提供した。
次に、認証の対象とする処理内容を利用者およびシステム側で共に確認し、途中での処理内容の改竄を防ぐトランザクション認証に関する調査を行った。近年、認証プロトコル標準規格として検討が進められているFIDOにおいても、UAFにおいてトランザクション認証がサポートされていることから、その詳細について調査を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
学術分野ではSAMLを用いたID連携技術の活用が進められており、ShibbolethやOpenSAMLphpと呼ばれるミドルウェアが広く利用されていることから、これらの実装において、トランザクション認証および多信頼点認証方式の導入によるセキュリティ向上について重点的に検討を行ってきた。Shibbolethにおいて高度な認証処理を実現するためのMultiFactor認証フロー機能を利用した多要素認証の実現方法について情報をまとめ、Webサイトで提供を行うとともに、多要素認証のためのデバイスとして利用可能なTiqrをShibbolethに対応させる環境を構築し提供した。Shibboleth IdPはこれまでバージョン3が最新として提供されていたがバージョン4の開発が進められ3月に正式リリースされたことから、バージョン4についての調査と提供情報のアップデートを行っている。
また、FIDOについては、正式に各種サービスにおいてサポートされるようになってきていることから、様々なサイトにおいてどのように利用されているかについて調査を行った。京都大学においても、多要素認証の導入を進めているところであるが、FIDOへの対応についての検討を進めている。
|
| Strategy for Future Research Activity |
引き続き、ID連携対応トランザクション認証方式および多信頼点認証方式についての評価を行う。Shibboleth IdPはVersion 4がリリースされたことから、Version 4への対応についても検討する。まず、ID連携対応トランザクション認証については、ShibbolethやOpenSAMLphpによって構築されるIdPおよびSPに対して、組み込んだトランザクション認証のための機能について、WebアプリケーションからAPIを介してユーザにトランザクションの内容を提示しつつ再認証を行うことができることを確認し、その使い勝手について評価を行う。多信頼点認証方式についても、複数のIdPを組み合わせて認証に利用する処理の流れについて検討し、使い勝手等について評価する。最終的にトランザクション認証と多信頼点認証方式を組み合わせた利用についても検討する。
認証処理における標準はNIST SP800-63が参照されることが一般的であるが、改訂版であるNIST SP800-63-3が公開され本人確認レベルと認証レベルの基準が明確に分離されたことから、さらに認証強度についての評価がやりやすくなったが、本研究の対象であるトランザクション認証および多信頼点認証方式については明確な基準が定められていないため、これらの位置づけについても検討したい。
|
| Causes of Carryover |
3月2日~6日にカトマンズ(ネパール)にて開催予定の国際会議APAN49がコロナウィルス感染対策のため不開催となり、関連する他の会議の多くも不開催となった。年度内の旅費の執行が難しくなったことから、来年度に繰り越して、来年度開催の会議への参加による、研究課題に関する継続調査および成果発表に充当する。
|
