コラム

第4回
クラウド認証の魅力とその未来
自己紹介
村松 真

株式会社ソフトクリエイト 技術本部
ネットワークソリューション部 技師長 村松 真

■主な経歴
マイクロソフト社で現在のベースとなる技術を身につけた後、当社で 10年以上、技術本部の Microsoft 技術者の中心的人物として活躍し、特にVBScript技術を利用した Active Directory 関連の移行ソリューションは数多くの納入実績を誇り、お客様からの信頼も厚い。 2015年度からは技師長としてソフトクリエイトの技術部門を牽引している。

2016年4月20日

 村松です。 第4回目は、クラウド対応のクレームベース認証についてご案内します。
2016年2月末に開催いたしました自社イベント「SC Relationship 2016」にて講演させていただいた内容になりますが、クラウドファーストが浸透した今、企業のITシステムとクラウドを連携する上でも認証は不可欠なものとなっておりますので、クラウド認証についてご案内して参ります。

クラウドサービスの時代に認証が課題に

クラウドサービスがもはや一般的な時代になってきました。
そこで課題となってくるのが、認証の問題です。
AmazonやGoogle、マイクロソフトなどがそれぞれクラウドサービスを提供し、利用している企業も大幅に増えていますが、各クラウドシステムの間で都度、認証をしなくてはならないというのがこれまでの問題でした。

クラウド認証が必要な背景

それを解決しようという試みが、クラウド認証です。
クラウド認証に今、力を入れているのがマイクロソフト社です。
マイクロソフトは「Windows Azure」のサービスを提供しており、これまでもActive Directoryなどとの認証の統合に関する実績を持っています。
マイクロソフトは既存の認証技術をクラウド間連携として拡張を進めており、この動きは注目に値するものです。
なぜなら、これまで各クラウドサービスごとにログインし管理していたIDを、一元管理できるようになるからです。

また同時に、クラウドは利用者のIDごとの課金をするといった形式のサービス提供事業者も多く、退職者などのIDを放置していてはそのまま不要なコストが増大してしまいます。この意味でも適切なID管理は重要だといえるわけです。

しかし問題はクラウドサービスの多くがインターネット上に構築されている技術であり、そのインターネットは、悪意ある第三者が盗み見ることが、技術的には可能なのです。ということは、平文で送ることはもちろん、パスワードのやり取り自体がリスクと伴うものと言えます。クラウド認証は、そういったインターネットで行われる認証を解決するものでなければなりません。

クラウド認証でできること

クラウド認証の一つであるクレームベース認証(SAML等)は、証明書による信頼を基礎として、クレームとよぶ情報をやり取りして認証・認可を行います。そのため認証のためのパスワードがインターネット上を行きかうことがありません。また、ユーザーはサービスごとに個別に認証する必要はなく、IDの使いまわしといった問題も発生しませんし、アカウントの管理コスト等も大幅に削減されます。

クレームベース認証の簡単な仕組み

クレームベース認証は、証明書を使った信頼ベースの認証です。あらかじめ双方で証明書ベースの信頼関係を結び、ユーザーはイントラ内のサーバーへの認証のみですみます。さらにクライアントとの間もクレームベースにする場合は、クライアントデバイスに格納された証明書を取り出すための認証(Pinコードや多要素認証)のみとなります。サービスとのやり取りは、事前の証明書により、署名・暗号化されたクレームをやりとりすることで行われます。クレームとは、認証に必要な、IDにまつわる個人情報である部署や名前等のことです。

認証側は、クレーム情報をまとめて、デジタル署名を行い、認証トークンを発行します。許可側は、もらった認証トークンをベースに、許可の有無を判定します。そしてOKがでると、認可トークンを発行します。認証側と許可側は通信せず、証明書を交わすこともありません。これによって、盗み見ることが可能なインターネット上でも、認証を行うことができるのです。
これならパスワードもインターネット上に流れません。イントラ内部でのパスワード交換になります。また、お互いに証明書ベースの信頼を保つことができ、クラウド間の認証が可能になるのです。

クレームベース認証

マイクロソフトの挑戦

マイクロソフトは既存のActive Directory認証(ケルベロス認証)からクレームベース認証への移行をすすめています。 マイクロソフトはAzureというクラウドサービスを展開していますが、多様な認証方式をサポートすることにより、Google Appsや Sales Forceといったその他のクラウドとの信頼関係を結び、同時にクライアントとの信頼関係を構築して、SSOを実現しようとしています。日々認証の拡張と進化を続けながら、クラウド認証のハブを目指しています。
マイクロソフトは、Windowsサーバーで培った認証の技術をクラウドに応用し、クラウド認証技術を実現しようとしています。

Azure ADとの連携

アメリカの動向は?

IT先進国のアメリカでは、IDの統合を外部委託する形式も登場しています。
ID as a Service、通称 IDaaS というのがそれで、認証・許可・アカウントの管理・監査の部分をサービスとして提供するものです。ID管理を海外に委託するということはおどろきですが、これもサービスのクラウド化の一環と考えれば、自然な流れではないでしょうか。

総括

クラウドサービスを利用するにあたって、成りすましや不正アクセスによる情報漏えいは、最も利用者が避けたいところでしょう。インターネットを介して業務を行うにあたって、どうしてもその問題は避けられません。とくに、認証の部分は、攻撃をしてくるクラッカーに狙われやすい部分です。クラウド認証を使えば、旧来のパスワード管理方式に依存しない認証技術の組み合わせによって、安全性を高めることが可能になります。
複数のクラウドサービスを含んだシステム間で、SSOを実現すれば、認証の手間も軽減することができます。

  
TOP