TOP /  セキュリティ/認証 /  NTT研究所出身の細田氏による認証技術の最新動向(RSA Conference、マイナンバー、パスワード不要の認証技術など)と、外出先からSalesforceや社内システムを利用する場合のリスクと対策

NTT研究所出身の細田氏による認証技術の最新動向(RSA Conference、マイナンバー、パスワード不要の認証技術など)と、外出先からSalesforceや社内システムを利用する場合のリスクと対策 | セキュリティ/認証

講演資料を見るには、プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

認証技術の現状と今後 認証技術の現状と今後 技術の現状と ~利便性と安全性の両立に向けて~ NTTエレクトロニクス株式会社 細田 泰弘 2015年3月18日 1 認証とは(はじめに) IT分野における認証(authentication)とは以下の対象が正しい(偽りを名乗って いない)かつ正当性(ある認められた基準に合致する)を有することを確認すること。 人 機器などのモノ ドメイン・時刻等の情報 識別(Identification)、認証、認可(authorization)の段階あり。(参考2 ① NTT技術ジャーナルの記事) 参考2-① 参考2 技術ジャーナルの記事 人についての認証は以下の3つの組み合わせに帰着。 ①知識認証(Something You Know, パスワードなど) ②所有物認証(Something You Have, ICカードなど) ③特徴認証(Something You Are、バイオメトリックスなど) 他に認証強化の手段としてユーザの挙動をチェックするリスクベース認証がある。 モノや情報の認証は何らかの特徴量に基づく。 例 スパムメール対策の送信ドメイン認証ではIPアドレスや付与した電子署名を利用。 認証技術が注目されている理由としては日々起きている多数のパスワード流出事故 に代表されるセキュリティインシデントがある。 不正アクセス事件 アクセス事件一覧 参考2-② 不正アクセス事件一覧 2-③ ベネッセ情報流出事件から学ぶ 日々使用される技術で、長年研究されており、ブレークスルーが起きにくいと思われて いたが、変革への兆しは出ている。 2 2要素(多要素)認証 ID/パスワードのみに頼らず、もう1つ以上の因子を加えた2要素(場合により3要素以上 の多要素)認証は様々な規格で使用が推奨されている。下表に主要なものを示す。 参考3 医療情報システムの安全管理に関するガイドライン 4.2版 参考3-① 医療情報システムの安全管理に関するガイドライン 第4.2版 No ID・PWに加える2要素認証方法 効果や課題等 ID・PWに加える2要素認証方法 (1) 秘密の質問を組み合わせる。 コストは安いが、推測されるリスクあり、セキュリティは高くない。 秘密の質問を組み合わせる。 (2) 端末の固有情報(アドレス、固有ID コストは安いが、改ざんのリスクあり、ものにもよるが、セキュリティ 等)による認証を組み合わせる。 は高くない。 等)による認証を組み合わせる。 (3) 複数のパスワード(第2パスワード) コストは安いが、ユーザの負担大、盗まれたり推測されるリスク 複数のパスワード(第2パスワード) あり、セキュリティはそれほど高くない。 を入力させる。 (4) 電子証明書(クライアント証明書)に セキュリティ強度は上がるが、コストがかかる。 よる認証を組み合わせる。 特に配布や管理、ユーザのインストール、システム変更などの手間 よる認証を組み合わせる。 がかかるが、ICカードほどではない。 (5) ICカードやUSBトークンによる認証 セキュリティ強度は上がるが、コストがかかる。 ICカードやUSBトークンによる認証 リーダ・カードの配布や管理、インストール、システム変更などの手 USB 間がかかる。 ※(4)の電子証明書との連携が一般的。 を組み合わせる。 (6) ワンタイムパスワード(OTP)/ セキュリティ強度は上がるが、コストがかかる。 ワンタイムパスワード(OTP)/パス 専用トークンの配布や管理・運用、システム変更などの手間がかか OTP) る。 最近はトークンを使用せず、メールで通知する方式もあり。 ワードトークンなど使い捨てパスワ ワードトークンなど使い捨てパスワ ードを組み合わせる。 (7) 指紋等の生体情報( セキュリティ強度は上がるが、コストが掛り、情報流出への対応困 指紋等の生体情報(バイオメトリック 難、個人差で認証され難いなどの問題あり、十分な検討が必要。 生体情報 ス)による認証を組み合わせる。 ス)による認証を組み合わせる。 本プレゼンでは上記の(4)~(7)および最近の新たな方式の提案についてお話します。 3 電子証明書による認証(1) メリット 十数年の使用実績のある確立した技術で、強度の高い暗号で守られており、 多くのOS、NW機器、アプリが対応済。 サーバのなりすましを防ぐSSLサーバ証明書は広く普及しており、ほぼ唯一の 広く認められた方法。 パブリックサーバ証明書を検証に必要なルートCA証明書はOS/ブラウザに登録済。 ※ 機器にインストールするクライアント証明書(と秘密鍵)の使用はまだ一部に限定。 紛失時など、無効化が必要な場合に、証明書を失効させることで、即時にアク セス禁止にすることが可能。 電子データのみなので、特別なデバイスを接続するなどの手間が不要。 ICカードに証明書と秘密鍵を格納することはセキュリティ向上のため推奨される。 サーバー 証明書交換による相互認証 証明書交換による相互認証 サーバ証明書 クライアント証明書送信要求 クライアント証明書をチェック クライアント証明書をチェック 証明書の公開鍵で検証 (CA証明書の公開鍵で検証) OK 証明書の公開鍵で検証) クライアント機器 (PC、スマートフォン) 、 通信開始 OK サーバ証明書をチェック 証明書の公開鍵で検証) (CA証明書の公開鍵で検証) 証明書の公開鍵で検証 クライアント証明書 4 電子証明書による認証(2) 課題 ユーザ機器へのクライアント証明書のインストールが時として面倒でユーザの 負担になる。 分かりやすいUIや適切なサポートが重要。 不正に発行されたサーバ証明書が使われた例があり、どの認証局も安全性 を絶対視はできない。 参考 5-① SSL証明書は安全なのか? 証明書は安全なのか?Comodo/DigiNotar事件を振り返って 事件を振り返って。 証明書は安全なのか? 事件を振り返って ② 勝手にルート証明書をインストールするソフト、続々見つかる。 勝手にルート証明書をインストールするソフト、続々見つかる。 にルート証明書をインストールするソフト、続々見つかる 対策 問題の発覚した認証局のルート証明書は速やかに失効させる。 ・通常はOSのパッチ・ アップデートでルート証明書の失効も配布される ・Heartbleed(参考5-③)やSuperfish (参考5-④)などの証明書にも関連する 脆弱性情報にも注意が必要。 クライアント証明書を盗む※攻撃が存在する。 参考 5-⑤ 法人ネットバンキングを狙う電子証明書窃取攻撃 法人ネットバンキングを狙う電子証明書窃取 ネットバンキングを狙う電子証明書窃取攻撃 対策 証明書インストール時の設定や機器上のウイルス(特に証明書の再発行を 促すような偽メッセージ)に注意。 ※設定によっては鍵をexportして盗む、いったん消して再発行させるなど。 5 ICカードによる認証(1) メリット 耐タンパ性※をもっており、暗号鍵・パスワードなどの認証に使用する機密情報 を様々な攻撃から保護可能 カードはコンパクトでポータブル、名刺サイズ以外 にUSB筐体に入れるなど、様々な形状の実装が可能。 Trusted Platform Module(TPM)など機器組み込みタイプも使われている。 Near Field Communication(NFC)の普及などでICカード(非接触)を読み書き できる機器が増えつつある。 単なる所有物認証だけでなく、ユーザの動作による明確な意思表示を伴う。 [カード利用] • カード発行時に確実な本人確認を行なうことで、 カード発行時に確実な本人確認を行なうことで、 に確実な本人確認 利用時にも確実な認証が可能 可能。 利用時にも確実な認証が可能。 【利用者】 2015-0318-1949399 忍性 次郎 [耐タンパ] Inputs ICカードチップ Outputs(正規の出力) ( 暗号解析⇒ 暗号解析⇒十分な暗号強度 (SideChannel 電力、電磁波、タイミング等) 破壊攻撃⇒ サイドチャネル攻撃⇒情報隠ぺい、ダミー挿入 破壊攻撃⇒破壊しようとすると壊れる サイドチャネル攻撃⇒ 6 ICカードによる認証(2) 課題 ICカードのインタフェース(物理信号、コマンド、データ形式)は多種多様な規格 や実装が存在する。 同一種類のカードでも他社のものは読み書き時にエラーになるなど互換が 取れていないケースが多くみられる。(徐々に改善) ICカードの多目的化は10年以上前から進んできているが、実際には発行者に より用途を制限されている状況。 認証に使うカードは多くの場合、新たに発行することになり、コストがかかる。 2016.1より発行開始予定のマイナンバーカードは使えるか? 参考(総務省の情報) 7-① マイナンバーカードの構成 7-② マイナンバーカードの多目的利用を意識した実証事業 7-①によると標準搭載の4アプリのほか、多目的利用のための条例利用エリアと 将来利用エリアが設けられることになっているが、今後の状況を見る必要がある。 リーダライタをつなぐ、ドライバをインストールする等々の手間が発生したり、サ ポートが必要になることがある。 7 バイオメトリックスによる認証(1) メリット 人の記憶によらず、体の一部もしくは何等かの動作から情報を取り出すことで 認証ができるので忘却の問題に強く、利便性が高い。 生涯(ほぼ)同一不変であることが生物学上の知見から保証でき、信頼性が ある。 実用化状況 以下のようなものから抽出した特徴を用いた認証が実用化。(一部は研究中) 指紋、掌形、網膜、虹彩、顔、血管、耳介、音声、筆跡、キーストローク、歩行、 心電位 ※DNAはいまのところ犯罪捜査や医療分野のみ。 8 バイオメトリックスによる認証(2) 課題 抽出する特徴量はアナログ情報(例外 DNA)で再現性がない。 何かの閾値論理によりマッチングを行うので、本人拒否率:False Rejection Rate(FRR)と他人受入率:False Acceptance Rate(FAR)が必ず存在する。 ⇒ 閾値の変更等の運用上の調整が必要。 一種類の特徴量だけだと認証できないケースがどうしても存在する。 複数の方式の組み合わせ(マルチモーダル)、パスワードとの組み合わせなどが必要 特徴量は個人情報で不変なため、流出し悪用されると重大な結果をもたらす。 ICカードのような耐タンパデバイスのみに格納する、もしくは Cancellable Biometrics(特徴量そのものではなく、何らかの鍵で変換した値のみ 保持し、問題起きれば鍵を廃棄)を使うなど。 参考 9-① 生体認証の原理と課題 生体認証の原理と課題 9-② A survey on biometric cryptosystems and cancelable biometrics 偽造した指(指紋の場合)などの模造品を使ったなりすまし攻撃が存在する。 9-③ 写真から指紋の複製だと・・・!? 写真から指紋の複製だと・・・! から指紋の複製だと・・・!? 対策:生体反応の検出。 9 ワンタイムパスワード(OTP)認証 メリット パスワードの流出や推測・総当たりなどの攻撃への防御ができる。 HWベース(ワンタイムパスワードトークン、ICカード)、メール(SMS)での通知、 マトリックス認証など多様な方式が選択可能。 普段使わない端末を利用した場合のみOTPの入力を要求するなどセキュリティ 上の必要性を考慮した多様な運用が可能。 課題 ユーザの手間や運用コストの増加。 Man In The Middle (MITM,中間者攻撃)、Man In The Browser (MITB)など の攻撃が存在。 MITMは通信路上での情報のすりかえ、窃取⇒SSLを張った上で認証を行う。 メールのドメイン認証などのメールセキュリティ強化。 MITBは端末機器での情報のすりかえ、窃取 ⇒ウイルス対策、OSやブラウザの設定に注意 トランザクション署名(10-①)の使用 トランザクション署名 ワンタイムパスワードトークンも攻撃されており、脆弱性情報に注意必要。 」の内部情報を悪用した攻撃が発生(10-② ) 「RSA SecurID」の内部情報を悪用した攻撃が発生 」の内部情報を悪用した攻撃が発生 SMSを使ったOTPの通知はセキュアでない セキュアでない(10-③)という意見もあり。 セキュアでない 10 Kill Password ?? Password is Dead?? パスワードはコンピュータの黎明期(1960年ごろ)から使われているが、 もうダメダメ、使えない技術だと、10年以上前から多くの有識者が言っている。 参考 11-① 2004年のビルゲーツの講演 年のビルゲーツの講演 ところが、パスワードは現在もなかなか主流の座を降りない現実がある。 認証強化の手段もパスワードとの組み合わせが多い。 ICカード、電子証明書については紛失・盗難対策として、有効化するために パスワードを要求する設定が広く使われている。 バイオメトリックスについても認証がうまくいかない時に備えて非常用のパス ワードを設けるケースが多くみられる。 せめて、パスワードのサーバ保存をなくせば、現在起きている問題はかなり緩和 されるだろう。 一方、パスワードを代替するために、10年前と比べるといろいろな手段が使える ようになっている。 次項以降でRSA Conference2014やその他で発表されているいくつかの新たな取り 組みについてお話しします。 11 バイオやデバイスを用いた認証の大規模展開 – FIDO Alliance パスワードレス(指紋等)で認証できるUniversal Authentication Framework(UAF) 、もしくは押せば認証するUniversal Second Factor(U2F) というデバイスを配り、接続して認証する。 パスワードやバイオ情報などのセンシティブ情報はネットワーク上を流さず、認 証用の鍵を使用。 Google, Microsoft, Amazonをはじめとする有力企業が 参加しており、大きく広がる可能性はあるが、 現時点ではまだ判断困難。 UAF,U2Fのイメージ (16-②より) 参考 12-① RSA Conference2014における発表 における発表 12-② パスワードの要らない世界~ パスワードの要らない世界~ の要らない世界~FIDOが標準化を目指す が標準化を目指す が標準化を 12-③ パスワード認証キラープロトコル、 仕様公開 パスワード認証キラープロトコル、FIDO 1.0仕様公開 認証キラープロトコル、 仕様 12 携帯を認証プラットフォームとして使う - GSMA MOBILE CONNECT キャリア網における発番号認証や回線認証は以前から使われていた。 携帯は誰もが持ち、かつセキュアなインフラであるので、より幅広くサービスの 認証に使うのは自然な考え。 GSMアソシエーション(GSMA)は世界中の携帯キャリア(もちろん日本も)を中心と する関係者が参加している業界団体。 GSMA MOBILE CONNECTは携帯インフラによる認証基盤を提供するイニシア チブとして2014.2に発足。 参考 13- 認証をめぐる主導権争い(1)モバイルオペレータ12社が 社がMobile Connectイニシアティブを発足 イニシアティブを発足 13-① 認証をめぐる主導権争い(1)モバイルオペレータ 社が イニシアティブを 13- のプレゼンテーション 13-② GMSAのプレゼンテーション 現在は実証実験レベル、キャリアの参加も一部で、本格的に広がるかどうかまだ 不明。 13 GSMA MOBILE CONNECTの流れ の流れ サービスプロバイダはユーザの認証を、携帯オペレータ(NMO)の認証基盤に 問い合わせ、 (図1の1,2)NMOはユーザに携帯画面から認証情報を入力す ることで認証する。(図2) 図1 認証のフロー 図2 携帯の画面(同) (13-②より) 14 Cloud を認証プラットフォームとして使う – CAAS Cryptography As A Service(CAAS)はクラウドで暗号・認証サービスを提供する。 Cryptographic Service Provider(CSP)はクラウド上のサービスプロバイダ(SP) 参考 15-① Applying Cryptography as a Service to Mobile Applications, RSA Conference2014 ① 普通の方式では認証や暗号化に必要となる秘密鍵は端末で管理するが、CAASでは CSPに秘密鍵を預け、その鍵を使って認証する。 15- 15-①によるフロー ①アリスとボブはそれぞれ 鍵をCSPに登録。 ②アリスはメッセージCSP に送り署名・ に送り署名・暗号化。 ③そのメッセージをクラウ ③そのメッセージをクラウ ドを経由してボブに共有。 ドを経由してボブに共有。 ④ボブはCSPにそのメッ セージの署名検証と復号 を依頼し、結果を受け取る。 端末認証が必須、パスワード、バイオ、OTP、リスクベースなどを組み合わせる。 クラウドに預ける秘密鍵の保護を強力に行う必要があるが、通常のサーバのセキュリ ティ強化だけでなく、Hardware Security Module(HSM )を使うことも有力な手段。 参考15-② AmazonのCloudHSM この発表はまだ研究レベルだが、クラウドを認証PF化する動きは出てきそう。 15 SNSを認証に使う Facebookなどのソーシャルメディア(SNS )の不正ログインの問題は起きているが、 社会インフラの1つになってきていることを鑑みると、アクセス認証を強化することを前 提に、認証プラットフォームとしても活用できるのではないか。 16-① It’s Time to Offer Facebook Logon to Your Customers . RSA Conference2014 ① Customers 16-② Social Media Single Sign-On: Could You Be Sharing More Than Your Password, id. Singl Sign-On: Th Password id. ② Social ①はFacebookのようなサイトで安全にログインすることができれば、その認証を OAuth※のような認証連携技術でECサイトに引き継ぐことで安全なログインを提供し ようとする試みである。 ②はFacebookで管理している情報をユーザの同意のもとに他のサイトに安全に送る ことで、認証強化の1要素として使えるのではないかといっている。 ※ Open Authorization(OAUTH)はWEBの世界における認証と認可を提供するメカニズムである。あるシステム のユーザが許可したそのシステムの一部の機能(API)に対する外部システムからのアクセスを認可する機能 を提供する。 16 SNSを使った認証イメージ 16- 16-①より Oauth uthによる認 Oauthによる認 証情報引継ぎ のイメージ Facebookで認 Facebookで認 証して OfficeDEPOTに OfficeDEPOTに ログインする。 16- 16-②より toCにおけるソ BtoCにおけるソ ーシャルログイ ンの例 同意した情報のみ他 サイトに送付する。 17 パスワードを使い続けるための研究 Augmented Password-Authenticated Key Exchange (AugPAKE) 2012年に産総研(AIST)より発表されたこの方式では(参考 18-①産総研の発表) パスワード(短くてもOK)から派生するある情報のみ保存し、照合を行う。 仮にパスワードを含む情報が漏えいしたり、全数攻撃を受けてもそれだけでは不正アクセ スが起きないようにした。 方式の安全性を数学的方法で証明可能で、証明書より少ない計算量で実装可能。 現状は 2014年にインターネットのRFC(参考18-② RFC6628 )に採用されている。 まだ提案されて期間が立っておらず、さらなる評価も必要であり、本格的に使われるのは もう少し時間がかかりそう。 オンラインでのパスワード認証を使い続ける場合は必要になってくる技術だろう。 AugPAKEの発表(18-①)より 18 認証の今後 認証はあくまでもあるサービスを受けたり、機器を使うためのプロセスの一部である。 利便性やコストを無視した方式の導入はNG。 。 利便性やコストを無視した方式の導入は ただ、利便性を重視しすぎるあまり、既存の方式を変えない傾向が強すぎるのは? ただ、利便性を重視しすぎるあまり、既存の方式を変えない傾向が強すぎるのは? 最近の傾向として認証を外部のプラットフォーム(ケイタイ、クラウドサービス、SNS)に に 最近の傾向として認証を外部のプラットフォーム(ケイタイ、クラウドサービス、 アウトソースしようという動きがあるが、まだ全体としてその方向に動くかは不明。 アウトソースしようという動きがあるが、まだ全体としてその方向に動くかは不明。 認証もネットワーク外部性(Network externality)※が強く、勝ち馬が見えればみんな 認証もネットワーク外部性 が強く、勝ち馬が見えればみんな でそれに乗る動きが考えられる。 でそれに乗る動きが ※ネットワークサービスでユーザ数が増えればユーザごとの便益もどんどん拡大すること。 しかしながら、これだけいろいろな方式があり、対象ごとに必要なセキュリティレベル も異なることから ことから、複数方式の使い分けは将来とも必要であろう。 も異なることから、複数方式の使い分けは将来とも必要であろう。 レベル分けの例 認証無し レベル0 認証無し 簡易な認証、特 な認証、特定 登録者のみに せる情報サイトなど、ID/PWもしくはクッキー認証など のみに見 レベル1 簡易な認証、特定の登録者のみに見せる情報サイトなど、 も 本人の確実な認証、検診情報の閲覧 閲覧、 レベル2 本人の確実な認証、検診情報の閲覧、ID/PW+本人の対面確認や カードによる確認など +本人の対面確認やICカードによる確認など 本人のより信頼性のある認証、オンラインバンキングにおける振込、 のより信頼性のある認証、オンラインバンキングにおける振込 レベル3 本人のより信頼性のある認証、オンラインバンキングにおける振込、ID/PW+第二PW+端末認 第 端末認 証など えうる最高度の認証、会社の機密情報や個人の機微情報へのアクセス、ID/PW+バイオ+ 機微情報へのアクセス、 レベル4 考えうる最高度の認証、会社の機密情報や個人の機微情報へのアクセス、 +バイオ+ 証明書など 19 認証技術の今後について - まとめ セキュリティを考える上で、認証は全てではないが、極めて重要な要素といえる。 セキュリティを考える上で、認証は全てではないが、極めて重要な要素といえる。 パスワードを直ちに止めるわけにはいかないが、いつまでもそのままの状態で使 パスワードを直ちに止めるわけにはいかないが、いつまでもそのままの状態で使 に止めるわけに い続けられるものではない。 複雑なパスワードを使え、サイトごとにパスワードを変え、定期的に変更し・・・ これ以上ユーザに負担をかけるべきではない。パスワードマネージャ? 認証強化には運用の改善(例 パスワード管理サーバのセキュリティ強化)は必 要であるが、それだけですべてが解決するわけではない。 ある程度技術は成熟はしてきており、そろそろ一歩踏み出す時 ある程度技術は成熟はしてきており、そろそろ一歩踏み出す時 20 参考(リンク集1) 2-① http://www.ntt.co.jp/journal/0801/files/jn200801071.pdf ① 2-② http://www.security-next.com/category/cat191/cat27 ② 2-③ http://www.itmedia.co.jp/enterprise/articles/1411/18/news044.html ③ 3-① http://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000053340.pdf ① #page=54 5-① http://cloud.watch.impress.co.jp/docs/news/20120209_510490.html ① 5- ② http://security.slashdot.jp/story/15/02/24/0230220/ 5- ③ https://www.jpcert.or.jp/at/2014/at140013.html 5- ④ http://www.atmarkit.co.jp/ait/articles/1503/10/news012.html 5- ⑤ http://blog.trendmicro.co.jp/archives/9417 7- ① http://www.soumu.go.jp/main_content/000324412.pdf#page=25 7- ② http://www.soumu.go.jp/main_content/000309702.pdf 9- ① http://www.mims.meiji.ac.jp/education/project/suuriB/2014.files/amsB20140802Ohki.pd f#page=31 9- ② http://jis.eurasipjournals.com/content/pdf/1687-417X-2011-3.pdf 9 - ③ http://matome.naver.jp/odai/2142052266470544901 10- ① http://www.jnsa.org/seminar/pki-day/2014/data/PM02-2_kameda.pdf#page=16 10- ② http://internet.watch.impress.co.jp/docs/news/20110609_451637.html 10- ③ http://www.paymentssource.com/news/interchange/retiring-one-time-passwords-for- good-3018573-1.html 21 参考(リンク集2) 11- 11 ① http://news.cnet.com/2100-1029-5164733.html 12-① 12 ① http://www.rsaconference.com/writable/presentations/file_upload/spo1-t09-mind-over- matter-the-pragmatic-strong-and-smart-approach-to-security.pdf 12-② 12 ② http://app-review.jp/news/230600 12-③ 12 ③ http://www.itmedia.co.jp/enterprise/articles/1411/18/news044.htm 13-① http://blog.livedoor.jp/cartan0216/archives/54753912.html ① 13- ② https://www.idecosystem.org/filedepot_download/172/1650 15- ① http://www.rsaconference.com/writable/presentations/file_upload/csv-f02-applying- cryptography-as-a-service-to-mobile-applications_final.pdf 15- ② http://aws.amazon.com/jp/cloudhsm/l 16- ① http://www.rsaconference.com/writable/presentations/file_upload/hum-w03a-its-time-to- offer-facebook-logon_v2.pdf 16- ② http://www.rsaconference.com/writable/presentations/file_upload/hum-w03b-social-media- single-sign-on_v2.pdf 18- ① http://www.aist.go.jp/aist_j/new_research/nr20120904/nr20120904.html 18- ② https://tools.ietf.org/html/rfc6628 22

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.6 でした!(5点満点中)
セミナー名 NTT研究所出身の細田氏による認証技術の最新動向(RSA Conference、マイナンバー、パスワード不要の認証技術など)と、外出先からSalesforceや社内システムを利用する場合のリスクと対策
講演企業 NTTエレクトロニクス株式会社 、株式会社オージス総研 、株式会社ジェーエムエーシステムズ
開催日 2015年03月18日
IT関連製品販売業・リセラー 60代以上 男性 の参加者
KAITO(が良かった)
出版・放送・その他メディア 50代 男性 の参加者
「認証技術の現状と動向」のテーマに期待をして来ましたが、特に今後についてもう少し詳しい情報が欲しかったと思います。残念です。
SI(システムインテグレータ) 50代 男性 の参加者
商材の紹介セミナーは仕方ないとして,パスワード・生体認証等の多要素認証については,もう少し深堀りした内容にしていただきたい. 生体認証が100%の識別率を実現できないことは事実であり,その場合には必ずパスワードが必要になる. ただ,そういった場合のために複雑で長い,すなわち安全なパスワードを設定し,通常は指紋などの生体認証(それもできるだけ厳し目の判定)で入力の負担を軽減するという,目的や効果の前提を適切に設定した使い方を想定すべきものと考えている. さらに,認証系では他サービスとの連携もあるが,パスワード方式,ワンタイムパスワード,生体認証など様々な認証機能の標準化などがどの程度進められているのか,今後どの程度期待できるのかなどについても触れていただきたかった. 「Salesforceのモバイル…」に関しては,登壇者が資料を理解していないと思われる点が多く,練習・リハーサルをしておいていただきたいと感じた.具体的には,資料に記載された用語に合わない言葉での説明が多々あり,資料を見ながら話を聞いていても流れが出来ない状態であった.おそらく話しては自身の頭の中では理解しているのだろうが,聞く側としては話と資料を繋ぐ必要があり,良い評価は出せないと判断した.
IT関連ソフトウェア製造業 40代 男性 の参加者
最新動向といった内容が少なかった印象です。
SI(システムインテグレータ) 40代 男性 の参加者
事例紹介については参考になりました。 基調講演は専門的で難しかった。
製造業 40代 男性 の参加者
分かりやすい説明で良かったと思います。
SI(システムインテグレータ) 60代以上 男性 の参加者
(なし)
IT関連ハードウェア製造業 40代 男性 の参加者
(なし)
日興美術株式会社 杉本誠さん
認証技術全般について、知る事ができた。 時間的に無理かと思うが、具体的な面に触れて欲しかった。
IT関連ソフトウェア製造業 30代 男性 の参加者
途中からだったので、あまり参考にならなかった。
IT関連ソフトウェア製造業 40代 男性 の参加者
直近すぐに必要という訳ではないのですが、素人だったので今後勉強するキーワードを頂けたのがよかったです。
IT関連ソフトウェア製造業 30代 男性 の参加者
抑えるべき認証要素のポイントをピックアップできたのは良かった。 また、これまでの認証要素について疑問に思ったことがなかった点について気付きを得られたのは良いきっかけになった。
SI(システムインテグレータ) 40代 男性 の参加者
oss色が少ない印象です。
スリーハンズ 松井信也さん
最近の動向がよく理解できました。
通信サービス業・ISP 40代 男性 の参加者
企業が実施する無料セミナーなので売り込みがあるのは否めない。 もう少し最新の動向が詳しく知りたかった。
アクティス 佐野 利弘さん
認証技術の方向性がわかった。
製造業 40代 女性 の参加者
認証の技術の現状と今後の内容が今まで知らなかった内容でよかった。セミナーの一つ一つ自体の時間が短いのが少々残念だった。
インテック 横山和広さん
さQAの時間が十分設けられていてよかった
SI(システムインテグレータ) 40代 男性 の参加者
名刺はりつけの方が良かった。開いて後悔
IT関連ソフトウェア製造業 20代 男性 の参加者
想定していたよりも技術的な話が少なかった点が残念だった。
SI(システムインテグレータ) 20代 男性 の参加者
最初の細田さん以外は製品紹介であったので、もう少し最新動向の話の割合が多いとよかった。
その他のIT関連業 40代 男性 の参加者
細田先生の認証を巡る最近の動向は、知らない事が多く刺激になりました。
SI(システムインテグレータ) 30代 男性 の参加者
認証について幅広い知識を得られたので良かった。 逆にもう少し技術的な話を聞きたかったので若干物足りなかった。
IT関連ソフトウェア製造業 40代 男性 の参加者
最初のセッションがあまり有意義でなかった。 あとは参考になりました。
SI(システムインテグレータ) 30代 男性 の参加者
クラウド型の認証サービスについて
ソフトウェア受託開発業・情報処理 40代 男性 の参加者
大変参考になりました。
製造業 30代 男性 の参加者
認証について体系的に整理されてて理解しやすかった
製造業 60代以上 男性 の参加者
難しかった。例による説明が多いとありがたい。
IT関連製品販売業・リセラー 40代 男性 の参加者
個々のセッションで、もう少し深い内容を聞けると良かった。
SI(システムインテグレータ) 50代 男性 の参加者
頭の整理になりました。

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
アクティブ認証/パッシブ認証という考え方と、パスワードレス認証の実現 ~直近インシデントから学ぶ、ウェブアプリ・スマホアプリ認証強化~ GMOのシングルサインオンサービス「トラスト・ログイン」販売/OEMパートナー募集説明会 ~GMOグループとの協業でビジネスを加速させる~ FIDO2対応の指紋認証デバイスでパスワード不要のシングルサインオンを実現する 不正アクセスや内部不正から徹底的に社内文書を守る、情報漏洩対策 DLP、DRM、CDMなどの方式比較 現場SEが語る!特権ID管理実装の際に押さえるべき、見落としがちな3つの課題と解決方法 【ユーザー企業優先】IDaaSで AD や社内システムと連携する方法 ヤマハ発動機の事例に見る、クラウドにおける特権ID管理の課題とセキュリティ・コンプライアンスへの準拠 複数の方式が選べる多要素認証で、利便性を損なわず、クラウド上の情報資産や機密情報を保護する方法 (Amazon WorkSpacesやOffice365、BOXなどの、パスワード認証の脆弱性を回避) IDaaS+統合ID管理で実現する最新のハイブリッド認証基盤、選定のポイントはこれだ!! ~導入まで3か月、20製品から選び抜き、30アプリの入口が1つに~ 【エンドユーザー優先】クラウド時代の統合ログ管理とは~広く分散するログを一元管理する方法~