社内認証システムの統合に関する問題
【H22秋SC午後2問2】
1.A社SSO(シングルサインオン)システムについて
A社はアカウント情報に関して、C-DIR用、LDAP用及びNIS用の3種類のデータ形式を用いている。LDAPのアカウント情報では、inetOrgPersonといったオブジェクトクラスによって組織の利用者の情報を管理する標準的なスキーマを用いている。例えば、製品開発部のスズキタロウ氏が社内で利用するLDAP用のアカウント情報をLDIFによってテキスト形式で示すと、図7となる。
<図7>略
SAMLとは、記述言語としてXMLを用いて、認証及び認可に関する情報を交換するための標準規格である。
2.C-DIR※で用いられている認証について
※C社製のディレクトリシステム。利用者、PC端末、プリンタ及びサーバから構成されるドメインという管理単位を定め、ドメインコントローラ(DC)によって管理する。DCでは、C-DIRのディレクトリに保持されるアカウント情報を用いて認証を行う。認証には、C社独自仕様のチャレンジレスポンス認証(C-CR認証)、又はKerberos認証を利用することができる。
C-CR認証では、DCが生成した擬似乱数をチャレンジとし、それを受信したクライアントで、利用者ID、パスワード及びチャレンジの連結をハッシュ化したレスポンスをDCに返信し、アクセス許可を受ける。
- 擬似乱数の生成方法に問題があり、同じ乱数が生成される場合、どのような脅威(攻撃の手順含む)が考えられるか。
⇒ チャレンジとレスポンスのペアを盗聴し、正規のレスポンスを用いてリプレイ攻撃によるなりすましをする。
- Kerberos認証において、有効期限切れのチケットが悪用されないように、DCとサーバをどうしているか
⇒ 時刻同期させている
3.シングルサインオンシステムについて
A社の社内向け情報システムは、基幹業務系、Webアプリケーション向けにA社が独自開発したシングルサインオンシステム、部署ごとの部署運用系システム(一部がSSOシステムを採用しているWebアプリ)である。
【A社の認証システムに関して指摘されていた課題】
- 情報システム全体では3種類の利用者IDが使用されている
- 情報システムごとにパスワードルールが異なるので、同じレベルのパスワードの強度が確保されていない。
- 認証システムを管理する部署が複数に分かれている。アカウントの運用及び認証システムの運用管理に関しても、同じレベルのセキュリティが確保されていない。
- アカウント情報を管理するディレクトリ間の反映が一部手動でおおなわれている。過去に誤って削除したことあり。
- セキュリティ管理の現状を踏まえると、A社SSOシステムには脆弱性がある。
【A社SSOシステムのプロトコルの動作概要】
(a)~(e)略
(f)A社Webアプリは、クッキーを検証し、有効ならば、サービスを提供する。ここで、A社SSO用のクッキーには、セッションIDやクッキーの発行日時などが設定されており、トリプルDESを用いて暗号化されている。また、すべてのA社Webアプリには、クッキーを復号するために暗号化鍵を配布している。ブラウザは、一度、クッキーの発行を受けると、有効期間内であれば、すべてのA社Webアプリにアクセスできる。
A社SSOシステムの脆弱性とは
⇒ 所管部門の異なるWebアプリのすべてに同一の暗号化鍵を配布していること
A社SSOシステムには、クッキーの利用が原因となり、SSOサーバとWebアプリが同じインターネットドメイン上にないとシングルサインオンを実現できないという技術的課題があった。
検討した結果、SAML型SSOシステムを採用することにした。
<図>略
(a)利用者のブラウザは、Webアプリにサービスを要求する際、SP用のクッキーがあれば、それを提示する。提示したクッキーが有効であることが検証された場合は(f)に進む。
(b)SPは、SAMLRequestメッセージをエンコーディングしたうえでURIに含め、サービス要求をIdPにリダイレクトする。
(c)利用者は、利用者IDとパスワードを入力し、認証を受ける。
(d)IdPは、利用者IDとパスワードを入力し、認証を受ける。
(e)SPは、SAMLResponseメッセージのディジタル署名などを検証し、有効であればSPようのクッキーを発行する。
(f)SPが稼動するWebアプリは、該当するサービスを提供する。
技術的課題に、SAML型SSOシステムではどのように対処しているか。
⇒ 暗号化及びディジタル署名したSAMLResponseメッセージを用いて、IdPからSPへ認証情報を転送している。
4.統合認証システムについて
統合認証システムではアカウント情報を一元的に管理することとした。
アカウント情報のシステム間の反映に関しては、人事マスタからID管理サーバ(IDM)にアカウント情報を日次で反映し、IDMのディレクトリ(IDMマスタ)で保持し、変換後、IDMからC-DIRのディレクトリ及びLDAPにアカウント情報を即時反映する方式を採用した。
統合認証システムにおいて、【A社の認証システムに関して指摘されていた課題】の2.の私的にどのように対処しているか。
⇒ 管理フォーマットを一つにし、IDMでパスワードを一元的に管理し、それを各情報システムが参照する仕組みを導入した。
【SaaS型サービス事業への展開】
A社のソフトウェアパッケージをSPと連携するように改修。WebアプリとしてA社データセンタに配備しサービスを提供する予定。
このサービスを導入する企業は、自社のイントラネットにIdPを用意すれば、導入する企業のイントラネットにあるPC端末からインターネット経由で、A社のデータセンタに配備されたSaaS型サービス事業のWebアプリを利用することが可能。運用はA社に委託できるため自社内での運用よりコストの削減が期待できる一方で、A社にとっても、IdPを顧客のイントラネットに構築することは運用管理上のメリットがある。
そのメリットとは何か。
⇒ SaaS型サービスのアカウント管理と運用を、必要に応じて、A社から切り分けることが可能となる。