セキュリティ対策コラム注目されるアイデンティティ管理＜第3回＞
－アイデンティティ管理技術の動向－

（1）仕様の概要

LibertyAlliance では、アイデンティティ・ライフサイクルとして、アイデンティティの「作成」、「削除」、アイデンティティの利用としての「変更」、「認証」、「連携」、「SSO」、「履歴」、「アクセス制御」、「属性共有」などが定義されています。
提供される仕様は、SAML(Security Assertion Markup Language)、SOAP(Simple Object Access Protocol)、WSS（Web Service Security)、XML (Extensible Markup Language) などの既存の標準仕様に準拠して以下のように構成されています。

• ①リバティ・アイデンティティ連携フレームワーク(ID-FF/SAML)
• ②リバティ・アイデンティティサービス・インターフェース仕様(ID-SIS)
• ③リバティ・アイデンティティWeb サービス・フレームワーク(ID-WSF)

（2）特徴

LibertyAllianceの規格では、アイデンティティ情報（ID）を提供する側Idp（アイデンティティプロバイダ）とIDを受け取り、サービスを行う側のサービスプロバイダ（SP）の間に厳密な信頼関係を結んでおく必要があります。それに加えユーザの情報はサーバー側に一元管理されており、厳密な信頼関係によって結ばれたサービス間でのみ認証情報や属性情報を共有することができます。

（3）アイデンティティ情報のセキュリティ確保

アイデンティティ情報のセキュリティ確保は個人情報の漏洩防止、コンプライアンス確立の上で重要であることは論を待ちません。LibertyAllianceでは、企業によるネットワーク上の情報共有と保護をサポートする新しいフレームワーク「Liberty Identity Governance Framework（IGF）」を発表しました。 IGFは、 PCI Data Security Standardなどの情報セキュリティ基準に準拠するよう、データに関連するポリシーの設定をサポートするものとしています。

(注) PCI Data Security Standard（PCI DSS）：クレジットカード情報を保護するために制定されているセキュリティ規準で、店舗を初めとしたクレジットカード情報を持つ全ての事業所に遵守を義務付けるものです。
詳細はNTTデータ・セキュリティのHPを参照http://www.nttdata-sec.co.jp/article/pcidss.html

（4）適用状況

LibertyAlliance／SAMLは高度なセキュリティ機能、多様なデバイスサポート、ビジネスガイドラインや規制対応に関するリポートの提供など、電子政府や医療情報ネットワークといった社会インフラでの利用までターゲットとしているのが特徴です。適用事例としては、GM, American Express, Boeing, NTTデータ等の企業内・企業間使用やNokia, AOL, Gooleなどのサービスに提供されています。

（参考URL） http://wiki.projectliberty.org/index.php/JapanSIG

2．2．OpenID （オープン　アイディ)

（1）特徴

• 同じID,パスワードで複数のリソース、サービスへのアクセスを実現するシングルサインオン（SSO）とアイデンティティ連携（フェデレーション）の機能により、複数の企業間や複数サービス間でのシングルサインオンを実現する高度なアイデンティティ管理機能が求められています。
  
  
  • OpenID は、URL を使ってインターネット上のWEB サイトへの認証をシングルサインオン的に行う仕組みです。OpenIDでは、アイデンティティプロバイダは単に個人情報を保管するだけで、その個人情報の主体的な管理はユーザがコントロールするユーザセントリックの考え方を採っています。
  • LibertyAlliance／SAML では認証サーバーを利用できるサービスを事前に決めておく必要があり、インターネットのWeb サイトには不便であると言われているのに対して、OpenID は認証サーバーと認証を受けるWeb サイトの間で事前の信頼関係の構築が不要であるため、インターネット上のサービスで利用し易い仕様だと言えます。又エンドユーザ、個人のWeb サイトをOpenID とする機能を使うことにより、OpenID プロバイダが運営を中止した場合も、違うOpenID プロバイダ を使用することによりID を変更する必要がないメリットがあります。

（2）信頼性の確保の課題

OpenID の限界はOpenID プロバイダ は誰でも作れるため、すべてのOpenID Provider が信頼できるというわけではないことです。つまりオレオレOpenID Provider が存在しうることになります。Webサイト（Relying Party） がどのOpenID Provider を信頼すれば良いかについてはOpenID のみでは解決しないため、例えばホワイトリストなどの別の仕組みが必要です。 また信頼のおけるOpenID プロバイダ のユーザであってもユーザ自身が悪意のあるユーザである可能性があります。これについてもユーザの信頼性を評価する仕組みが別途必要になってくるでしょう。

（3）適用状況

現状でOpenID は、ミッションクリティカルなサービス等のような高いセキュリティを求められない場面で使用されるケースが多いようです。実装が容易なことから、その適用が広がっています。現在 Yahoo！, Google　Blog,　France Telecom,　Sun Micro等で適用されています。

（参考URL） http://www.openid.ne.jp/

2．3．CardSpace （カードスペース）

（1）特徴

• Windows CardSpace はMicrosoft 社の個人向けIdentity 関連技術で.NET Framework 3.0 以降の一部機能として提供されています。独自技術中心ですが、インターネット上に存在する様々な形式、方式や管理技術との相互運用性、連携性の向上も狙っています。Microsoft 社の個人向けID 管理システムには他にWindows Live ID がありますWindows Live ID がアカウント情報をMicrosoft 社が集中管理するモデル(独立モデル)であるのに対し、CardSpace は、個人ユーザがID管理に関与できるユーザセントリックであるところに特徴があります。
• CardSpaceでは、個人のアイデンティティ情報を記述したXMLファイルをイメージし易い"カード"として表現し、一般ユーザにも分かりやすい操作性を提供しています。カードには自己署名による"個人用カード"と、ID提供者が発行する"マネージカード"があります。 この他Windows CardSpace. TM では、他システムとの相互運用を行うプロトコルとしてWS-＊＊＊を提案しています。オープンなSOAP、XMLをベースにしたWS-Trust（セキュリティートークン取得）、WS-Security（証明書利用者への配信）、WS-ScurityPolicy（証明書利用者のセキュリテリー記述）などがあります。

（2）適用状況

マイクロソフト社のオンラインサービス（Windows　Live）用のIDとしてWindows　Live　IDの発行やドイツのオンラインショッピングサイト（Otto）等で使用しています。

（参考URL） http://www.microsoft.com/japan/msdn/net/general/IntroInfoCard.aspx

各標準化では、関連する技術に関わる人々に対して、オープンな議論の場を提供して相互運用性を確保しようとする動きが活発化しています。Concordia プロジェクトでは、各種ID 管理技術の相互運用確立を目指して組織されたプロジェクトです。利用者は、これらのWeb サービスを自分のID に基づき安全・安心に、かつ統一的に使えることを望んでいますが、現状は、各種規格が並存しています。この問題を解決するために、LibertyAlliance が中心になってConcordia プロジェクトが設立されました。プロジェクトには、代表的なID 管理技術であるLibertyAlliance、OpenID、CardSpace に関係するベンダーとその利用者が参加しています。