■﨑村夏彦氏(OpenID Foundation)
「情報セキュリティとIAM(IDとアクセス管理)コミュニティが分断されている、交わる必要がある」
「当人認証:登録された人がサイトに来た際に、正しく登録された人である事を確認するのが当人認証」
※例:PW、OTP、パスキー、ICカード
「IAMの4大認証
①身元確認:登録ユーザーが誰であるか(例:マイナカードで確認)
②当人認証:今来ているユーザーがどの登録されたユーザーなのかを確認(例:OTPで確認)
③アイデンティティ連携:当人認証されたユーザの属性と認証された条件などの情報を連携(例:OIDCで認証情報と属性を連携)
④アクセス管理:属性に応じて、リソースへのアクセスの許可・不許可を決定・実施(例:人事課長かつ社内ならば参照許可」
「身元確認はアイデンティティライフサイクルの「登録」と「再開」のときに利用される」
※「登録」と「再開」はID管理で危ないプロセス
※積水ハウスの55.5億円被害は身元確認の失敗(偽造パスポートにおけるICチップ情報の確認を行わなかった)
「アクセス制御の失敗例:1人の出向者が全顧客データをダウンロード(→Need To Know原則の違反)」
「NIST SP800-63 第4版が策定中。デジ庁の本人確認ガイドラインも改訂中」
「デジ庁の身元確認保証レベルの対策基準(案)では、券面偽造部分のレベルが変わる可能性あり」
「SP800-63に合せて、デジ庁のガイドライン(リスク評価プロセス)も改訂される可能性あり」
「脅威が減らない原因
【外部要因】
・攻撃のビジネス化と高度化
・サプライチェーン
【技術的要因】
・ID管理の複雑化
・レガシーインフラ
・業務プロセス改善
・ログ収集と分析
【人的要因】
・セキュリティ意識の欠如
・知識・スキルの欠如
・既存の業務フローを変えることへの抵抗
・内部不正のリスク
【組織的要因】
・トップマネジメントの意識
・不十分なリスク管理
・不適切なアクセス権管理
・対策投資の不足
・不十分な教育プログラム
・セキュリティチームと運用チームの連携」
【キタきつねコメント】
講演の最後「火傷ドリブン」という言葉が印象的でした。
※火傷するまで熱さが分からず、火傷してから対策するのではいけない(茹で蛙と同じですね)。
ではいつやるのか?(林先生の有名なアノ台詞は自主規制)
|