第４回「明日の認証会議」

いまさら聞けない

「シングルサインオン（SSO）」の基本

～1万人の大企業における、

LiferayとOpenAMの導入事例紹介～

株式会社オープンソース活用研究所

代表取締役所長

寺田雄一

ｔｅｒａ＠ｏｓｓｌａｂｏ．ｃｏｍ

Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

�自己紹介は後ほど・・・

2 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

「明日の認証会議」

�「認証」について様々な環境の変化や課題があるなかで、本会議では、今はなく、遠い未来でも

なく、「明日、何をするべきか」というテーマを選

んで議論を進めて行きます。

�また、要素技術や仕様についての細かい議論ではなく、利用者の視点に立った議論を行ってい

きます。

3 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

「明日の認証会議」

�第１回�スマートデバイス、BYOD、マイナンバー、大規模認証

�第２回�スマートデバイス、BYOD

�第３回�BtoC Webサイトの認証、ID管理

�第４回�いまさら聞けない「シングルサインオン」の基本

4 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

セキュリティ管理、内部統制の根幹

�統合認証（シングルサインオン）は、セキュリティ管理や内部統制の根幹

�セキュリティ管理や内部統制は、�ユーザＩＤに基づき、アクセスできる（できない）データ

やアプリケーションを制御

�ユーザＩＤ＋日付＋操作などを記録し、監査

�もし、ユーザＩＤが「不正な値」だったら・・・

5 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

本日のアジェンダ

� なぜ、社員１万人の大企業は、アプリケーション基盤として

Liferay（ポータル）とOpenAM（シングルサインオン）を導入したの

か？

� SCSK株式会社 産業システム事業部門

製造・サービスシステム事業本部

サービスシステム部 WEBソリューション第二課 課長代理 石川 裕喜

（見どころ）

� OpenAMとセットで導入することも多いLiferay。

� 大企業で、オープンソースの採用を決めるまでのプロセスは、どのような

ものだったのか。

6 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

本日のアジェンダ

� いまさら聞けない「シングルサインオンの基本」と、社員１万人の

大企業におけるOpenAM導入事例紹介

～Webアプリケーションに手をいれることなく、認証連携を実現

する方法～

� 株式会社オージス総研 サービス事業本部

テミストラクトソリューション部

情報セキュリティスペシャリスト 諸橋 純也

（見どころ）

� Webアプリケーションに手が入れられない状況の中で、どのようにシン

グルサインオンを実現していったのか。

� 苦労した点など。

7 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

本日のアジェンダ

� スマートデバイスを企業で活用する際のセキュリティ対策とは

� 株式会社オープンソース活用研究所 代表取締役所長 寺田雄一

（見どころ）

� シングルサインオンや認証について、最近の動向。

8 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

�スマートデバイスを企業で活用する際のセキュリティ対策とは

9 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

自己紹介

10 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

寺田雄一

(てらだゆういち

/yuichi terada)

1969年8月21日

生まれ 45才

・2003年、野村総合研究所に大手で日本初のOSS専門組織オープンソース・ソリューションセンターを設立。

・2006年、オープンソース・ワンストップサービス「OpenStandia（オープンスタンディア）」事業を創業。

・2013年まで野村総合研究所において、オープンソース事業の責任者を務める。

・オープンソースビジネス推進協議会（OBCI）、OpenAMコンソーシアムの発起人。同会の理事、会長や、NPO

法人日本ADempiereの会の理事などを歴任。

・情報サービス産業白書2012年版～2014年版「オープンソースソフトウェアの動向」の執筆を担当。

・「エンジニアの楽園」を目指し、「開発合宿（ハッカソン）」などをプロデュースする活動も行う。

・2013年、IT業界の構造改革を実現するため、野村総合研究所を退社し、株式会社オープンソース活用研

究所を設立。

ＩＤ管理の効率化、内部統制の強化の事例

（大手不動産業）

11 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

• 人事異動時のユーザIDの更新業務を、全て

人手で行っており大きな負担となっている。

• 内部統制の面からも望ましくない。

• GoogleAppsの利用を開始するにあたり、さ

らなる負担増を避ける必要がある。

課題・要件

• ばらばらだったIDを統合管理し、人事システム

と連携。異動業務を自動化し大幅に効率化。

• 従来紙で行っていた各事業部との人事異動に

関するやりとりを、システム化、ワークフロー化。

ソリューション

社員

取引先

パートナー社員

管理

者

人事システム

統合ID管理

（プロビジョニング）

ID情報のデータ連携

シングルサインオン

認証情報の連携機

能

認証・権限情報の一

元管。ユーザID、組織、

ロール等の配信

認証ロ

グ

OpenLDAP

監査ログ

統合認証ポータル

各種システム

AD

パスワード変更

ID登録・変更・削除

ワークフロー監査認

証レポート

シングルサインオン機能

統合認証基盤の構成要素

ＬＩＳＭ

GoogleApps、

Notesクライアントも

Inter-net

外出先から

社内システム利用

不正アクセスの例

12 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

ネットバンキングにおける不正アクセス

13 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

※http://www.jiji.com/ より引用

リスク

14 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

※http://www.ipa.go.jp/ より引用

リスク

�パスワードの漏洩�生年月日などから類推される

�覗き見られる（ショルダーハック）

�総当り攻撃

�パスワードの使い回しにより、あるサイトで漏洩した

パスワードで様々なサイトに不正にアクセス

（パスワードリスト攻撃）

15 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

対策

�クライアント証明書（全端末に導入）�生体認証（デバイスの普及が鍵）�マトリックス認証

�ワンタイムパスワード�リスクベース認証

16 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

Copyright 2013 Use of open source laboratory, Inc. All right reserved.

ワンタイムパスワード

� オープンな認証仕様、OATH（Initiative for Open

AuTHentication）に準拠したワンタイムパスワード認証が可能。

17

ワンタイムパスワード生成

OTPの生成回数・時刻

秘密

鍵

利用者

認証OK

ワンタイムパスワード生成

OTPの生成回数・時刻

秘密

鍵一致

2種類のワンタイムパスワード方式

（１）HOTP（カウンタベース） OTPの生成回数(カウンタ)をもとにOTPを生成

（２）TOTP（時刻ベース） 時刻をもとにOTPを生成

リスクベース認証

� 不正アクセスのリスクに配慮した認証方式。

� ログイン時の地理的位置の評価、最終ログインからの経過時

間や認証失敗回数のチェック、IPアドレスの履歴チェックを元

に、追加の認証（ワンタイムパスワードなど）を要求。

18

パスワード

認証

リスクベース

認証

ログイン完了

追加認証

(OTPなど)

アクセス環境等を分析

リスクを評価しスコア加算

スコアの閾値で判断

Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

ＦＩＤＯアライアンス

19 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

※http://www.dds.co.jp/fido_tokyoseminar/ より引用

ＯｐｅｎＡＭで解決

�ＯｐｅｎＡＭを活用することで、�ワンタイムパスワード�リスクベース認証�（FIDO対応）による不正アクセスの防止が実現可能。

20 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

株式会社オープンソース活用研究所のご紹介

21 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

ユーザ

企業

オープンソース

活用研究所

（主な事業）

東南アジア ＩＴ事業

ＯＳＳ活用コンサルティング事業

ＩＴ企業

新規事業立上げ、投資事業

ＯＳＳエンジニア採用支援事業

営業・マーケティング支援事業

社名 株式会社オープンソース活用研究所 略称：ＯＳＳラボ（ＯＳＳＬａｂｏ）

所在地 〒160-0023 東京都新宿区西新宿6-12-7 ストーク新宿507号室

電話/メール 03-5990-5417 / info@osslabo.com

設立 ２０１３年１１月

代表 代表取締役所長 寺田雄一

「オープンソース×アジャイル的開発」を支援

22 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

iＤｅｍｐｉｅｒｅ

アイデンピエール

ＯＳＳのＥＲＰ。会計、販売、購買、在庫

管理など。多言語、多通貨対応。

Ａｌｆｒｅｓｃｏ

アルフレスコ

ＯＳＳのドキュメント／コンテンツ管理。

企業間情報共有、図面の管理など。

Ｌｉｆｅｒａｙ

ライフレイ

ＯＳＳの企業情報ポータル、ＣＭＳツー

ル。レスポンシブデザインに対応。

ＯＴＲＳ

オーティーアルエス

ＩＴＩＬに準拠した運用管理ツール。サービ

スデスクや構成管理、変更管理など。

ＯｐｅｎＡＭ

オープンエーエム

ＯＳＳのシングルサインオン。クラウドや

SNSなどのWebシステムと認証連携。

その他

vTigerCRM ： OSSのCRM/SFA

Pentaho ： OSSのBIツール

Aipo ： OSSのグループウェア

営業・マーケティング支援事業

23 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

貴社を

日本一有名にするための

プレミアム

総合マーケティングサービス

特定の分野で

サービスの内容

・Webページの作成、コンテンツ更新

・Facebookページの作成、

コンテンツ更新

・営業資料、事例紹介資料作成

・プレス・リリース作成、配信代行

・セミナー企画、集客、運営

・広告配信代行、・営業支援

マーケティングを御社に委託することで、

本業に集中できるようになりました。

Facebookマーケティングなど、未経験でし

たが、スムースに立ち上げられました。

成果報酬型で、同じゴールを目指せて

いるところがよいと感じました。

お問合せ

�オープンソースや、営業・マーケティング（オープンソース以外もＯＫ！）のことであれば、

なんでもご相談ください！

24 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

株式会社オープンソース活用研究所

info@osslabo.com

03-5990-5417

株式会社オープンソース活用研究所

info@osslabo.com

03-5990-5417