Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[OCI Technical Deep Dive] デモで解説!セキュリティと利便性を両立させ...

[OCI Technical Deep Dive] デモで解説!セキュリティと利便性を両立させる認証基盤の構成(2024年10月29日開催)

Oracle Cloud Infrastructure(OCI) Technical Deep Dive(2024年10月29日開催)
https://go.oracle.com/LP=144488
[動画] https://www.youtube.com/watch?v=G12VfpgJ3P4
-----
社内外の向けの認証サービスおける課題に対してどのように解決できるか、その機能についてデモを交えて解説させていただき、また実際にどのようなケースで利用されているか導入事例の紹介もさせていただきました。

oracle4engineer

November 10, 2024
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. Copyright © 2024, Oracle and/or its affiliates 2 Safe harbor

    statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.
  2. 1. セキュリティの脅威と求められる対策 2. ID・認証に関するセキュリティと利便性の課題とあるべき姿 3. セキュリティと利便性の両立を実現するIdentity Domainの機能紹介 3.1 IDの統合化による認証のセキュリティと利便性を提供するSSO環境の実現 3.2

    認可時のセキュリティを確保するサインイン・ポリシー 3.3 セルフサービスによる利便性の向上 3.4 現状の状況を把握する監査ログの活用 4. 導入事例の紹介 5. まとめ 参考資料 本日の内容 Copyright © 2024, Oracle and/or its affiliates 3
  3. 独立行政法人情報処理推進機構(IPA)様より、情報セキュリティにおける脅威のうち、2023年に社会的影響が 大きかったトピックを「情報セキュリティ10大脅威 2024」として公表 セキュリティの脅威と求められる対策 ~ 情報セキュリティ10大脅威 2024 [組織] ~ Copyright

    © 2024, Oracle and/or its affiliates 5 順 位 内 容 前年順位 1位 ランサムウェアによる被害 1位 2位 サプライチェーンの弱点を悪用した攻撃 2位 3位 内部不正による情報漏えい 4位 4位 標的型攻撃による機密情報の窃取 3位 5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6位 6位 不注意による情報漏えい等の被害 9位 7位 脆弱性対策の公開に伴う悪用増加 8位 8位 ビジネスメール詐欺による金銭被害 7位 9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位 10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位 情報セキュリティ10大脅威 2024より抜粋(情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構)
  4. 情報セキュリティにおける脅威への対策は、それぞれの項目毎に必要となるが、対策として共通している項目もあり、 複数の脅威に対して対応も可能 セキュリティの脅威と求められる対策 ~ 情報セキュリティ10大脅威 2024 [組織] ~ Copyright ©

    2024, Oracle and/or its affiliates 6 項番 共通対策の内容 1 パスワードを適切に運用する 2 情報リテラシー、モラルを向上させる 3 メールの添付ファイル開封や、 メールや SMS のリンク、URL のクリックを 安易にしない 4 適切な報告/連絡/相談を行う 5 インシデント対応体制を整備し対応する 6 サーバーやクライアント、ネットワークに 適切なセキュリティ対策を行う 7 適切なバックアップ運用を行う
  5. ⚫ 米国のセキュリティ企業Home Security Heroes社は、 AIを用いたパスワードのクラックにかかる時間に ついて調査結果を発表 ⚫ 実際に漏洩したパスワードリストを学習/解析させた うえで1,568万個のパスワードを評価した結果、 「一般的なパスワード」のうち51%を1分以内、

    65%を1時間以内、71%を1日以内、81%を1カ月 以内に推測 ⚫ 数字のみのパスワードは15桁でも5時間で解析 ⚫ アルファベットの大文字/小文字/数字/記号の組み 合わせでも8桁程度なら7時間で解析 AIを活用したパスワードクラックの評価レポート Copyright © 2024, Oracle and/or its affiliates 7 ID/パスワードだけでの運用では限界があり、多要素認証など 認証を強化を行う必要がある (https://www.securityhero.io/ai-password-cracking/)より抜粋
  6. セキュリティのみを考慮した対策を行う事でユーザーおよび管理者などへの利便性が低下する事に。。。 セキュアな認証環境でも課題がある環境 Copyright © 2024, Oracle and/or its affiliates 9

    外部向けWebアプリケーション Web業務アプリケーション クラウドサービス(SaaS) クラウドサービス(SaaS) へルプデスク マーケティング 管理者 社員 ユーザー 外部 ユーザー 複雑なパスワードと多要素 認証で各システムにアクセス ID:メールアドレス Pass:AzPQ15D!・・・ 各システムのパス ワードリセットを対応 各システム毎に顧客の 情報を分析 定期的に各システムの アクセスログの確認 各システムにID/パス ワードを入力しアクセス パスワードのリセット依頼 外部 ユーザー 社内向けシステム/サービス 社外向けシステム/サービス ①システムのパスワー ドが複雑な為、パス ワードリセットの依頼 が頻発 ③システムへのアクセ ス毎に多要素認証を 行う必要がありアクセ スが面倒 ④認証を強化したいが、 アプリケーションの改修 に多大なコストが発生 ②パスワードリセット作業 の為、他の作業に影響が 発生 ⑤ID情報がシステム毎に 異なる為、お客様への適 正なサービス提供が困難 ⑥各システムのログがバラ バラな為、アクセスログの 確認が困難
  7. セキュリティの強化と利便性を両立させた環境 Copyright © 2024, Oracle and/or its affiliates 10 外部向けWebアプリケーション

    Web業務アプリケーション クラウドサービス(SaaS) クラウドサービス(SaaS) へルプデスク マーケティング 統合化された顧客 情報から分析 社内向けシステム/サービス 社外向けシステム/サービス 社員 ユーザー 外部 ユーザー 管理者 悪意のある ユーザー サポート業務に 従事 統合認証基盤 (IDaaS) ①②③シングルサインオン により、1つのID/パス ワードでアクセスでき、パス ワードを忘れた場合でも ユーザー自身でリセットが 可能 ②パスワードリセットの 業務からの解放され、本 来の業務に従事が可能 ④クラウドサービスによる、 OOTBで容易な導入、 様々なシステムと容易な連携 ③④リスクベース認証や ポリシーベースの認証機能 による、よりセキュアな認証 環境を提供 ⑤統合されたIDにより 利用サービスの分析が 容易な環境を提供 ⑥アクセスログを集約 して管理 認証基盤を整備する事でセキュリティと利便性を両立したセキュアな環境の実現が可能 ③シングルサインオンによる 認証試行回数を削減
  8. セキュリティの強化と利便性を両立させた環境 Copyright © 2024, Oracle and/or its affiliates 11 ①システムのパスワードが複雑な為、パス

    ワードリセットの依頼が頻発 ②パスワードリセット作業の為、他の 作業に影響が発生 ③システムへのアクセス毎に多要素認証を 行う必要がありアクセスが面倒 ④認証を強化したいが、アプリケーションの 改修に多大なコストが発生 ⑤ID情報がシステム毎に異なる為、 お客様への適正なサービス提供が困難 ⑥各システムのログがバラバラな為、 アクセスログの確認が困難 ①②③シングルサインオンにより、1つのID/パス ワードでアクセスでき、パスワードを忘れた場合で もユーザー自身でリセットが可能 ②パスワードリセットの業務からの解放され、 本来の業務に従事が可能 ③④ポリシーベースの認証やリスクベース認証 などによる、よりセキュアな認証環境を提供 ④クラウドサービスによる、OOTBで容易な導入、 様々なシステムと容易な連携 ⑤統合されたIDにより利用サービスの分析が 容易な環境を提供 ⑥アクセスログを集約して管理 課題内容 改善できる内容 ③シングルサインオンによる認証試行回数を削減 利便性/ セキュリティ 利便性 利便性 セキュリティ 利便性 (コスト削減) 利便性 セキュリティ 主な改善項目
  9. OCI IAM Identity Domains Copyright © 2024, Oracle and/or its

    affiliates 12 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Entar ID(旧Azure AD)などの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発
  10. OCI IAM Identity Domains ユースケース Copyright © 2024, Oracle and/or

    its affiliates 13 OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 :取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション:Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 :会員(サイト利用者) 対象アプリケーション:ECサイト、モバイルアプリケーション 社 内 向 け 社 外 向 け
  11. 3. セキュリティと利便性の両立を実現するIdentity Domainの 機能紹介 3.1 IDの統合化による認証のセキュリティと利便性を提供するSSO環境の実現 3.2 認可時のセキュリティを確保するサインオン・ポリシー 3.3 セルフサービスによる利便性の向上

    3.4 現状の状況を把握する監査ログの活用 Copyright © 2024, Oracle and/or its affiliates 15 ◆ セキュリティと利便性の両立ポイント 一つのID/パスワードで様々なシステムにアクセスでき、複数のID/パスワードから解放され、 複雑なパスワードによるパスワード忘れを抑止
  12. ◆ 大きく3つのシナリオでデモを行います。 ✓ シングル・サインオンとIdPポリシーによる認証制御の実装 ✓ リスクベース認証とパスワードレス認証の実装 ✓ OCI監査ログでのIdentity Domainのログ管理とREST APIを利用した休止ユーザーの抽出

    本日のデモ環境 Copyright © 2024, Oracle and/or its affiliates 17 OCI コンソール IdPポリシー アプリケーションの認証連携 (OAuth) 外部IdP/SP連携 (SAML) 利用者 Entra ID IdPポリシーによる認証制御 Webアプリケーション ①シングル・サインオンとカスタムアプリからの認証 2要素認証によるアクセス (リスクベース認証) サインオン・ポリシーに よるアクセス制御 利用者 IdPポリシーによるパスワードレス認証 ②リスクベース認証とパスワードレス認証の実装 監査ログ 管理者 管理者によるログ/ ユーザー管理 ・OCI Auditからログの抽出 ③OCI監査ログでのIdentity Domainのログ管理 OCI IAM Identity Domains
  13. シングル・サインオンとIdPポリシーによる認証制御の実装 本日のデモ環境 Copyright © 2024, Oracle and/or its affiliates 18

    アプリケーションの認証連携 (OAuth) 外部IdP/SP連携 (SAML) 利用者 Entra ID OCI コンソール IdPポリシーによる認証制御 Webアプリケーション IdPポリシー ①シングル・サインオンとカスタムアプリからの認証 OCI IAM Identity Domains
  14. フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2024, Oracle and/or its

    affiliates 19 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 認証連携 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain
  15. OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Entra ID(旧Azure AD)など既存の認証基盤をマスターとする認証連携 Copyright ©

    2024, Oracle and/or its affiliates 20 認証連携 ◆ Entra ID、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Entra ID その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能 ※SCIMに対応しているシステム間ではユーザーのプロビジョニングにも対応
  16. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2024, Oracle and/or its affiliates 21

    認証連携 ◆ FacebookやX(旧Twitter)などのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1:Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID:Facebook ID パスワード:なし Bさん ログインID:ローカルのID パスワード:あり Facebook ID Twitter ID SNSアカウント
  17. IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 Copyright © 2024, Oracle and/or its affiliates 22

    認証連携 IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 ◆ IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(Entra ID等の他社認証基盤)を使うかを制御することが可能 ◆ 利用IdPを利用者自身が都度選択することが可能 ◆ 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 ◆ アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Entra ID 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Entra ID OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。
  18. 3. セキュリティと利便性の両立を実現するIdentity Domainの 機能紹介 3.1 IDの統合化による認証のセキュリティと利便性を提供するSSO環境の実現 3.2 認可時のセキュリティを確保するサインオン・ポリシー 3.3 セルフサービスによる利便性の向上

    3.4 現状の状況を把握する監査ログの活用 Copyright © 2024, Oracle and/or its affiliates 23 ◆ セキュリティと利便性の両立ポイント サインオンポリシーにより、および社内/社外やユーザーの状況によって2要素認証の利用可否の 指定ができ、さらにリスクベース認証によるユーザーの行動学習にもとづく認証制御を実現
  19. サインオン・ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2024, Oracle and/or its affiliates 24

    認証強化 サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/二要素認証の要求 のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
  20. 二要素認証 サインオン・ポリシーで指定可能な複数の認証手段を提供 Copyright © 2024, Oracle and/or its affiliates 25

    認証強化 ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーションはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証
  21. リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2024, Oracle and/or its affiliates 26

    認証強化 ◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離 ユーザー毎のリスク値の推移確認
  22. リスクベース認証とパスワードレス認証の実装 本日のデモ環境 Copyright © 2024, Oracle and/or its affiliates 28

    2要素認証によるアクセス (リスクベース認証) OCI コンソール サインオン・ポリシーに よるアクセス制御 利用者 IdPポリシーによるパスワードレス認証 IdPポリシー ②リスクベース認証とパスワードレス認証の実装 OCI IAM Identity Domains
  23. 3. セキュリティと利便性の両立を実現するIdentity Domainの 機能紹介 3.1 IDの統合化による認証のセキュリティと利便性を提供するSSO環境の実現 3.2 認可時のセキュリティを確保するサインオン・ポリシー 3.3 セルフサービスによる利便性の向上

    3.4 現状の状況を把握する監査ログの活用 Copyright © 2024, Oracle and/or its affiliates 29 ◆ セキュリティと利便性の両立ポイント パスワードセルフリセットにより、サポートデスクに問い合わせる必要なく、ユーザー自身で パスワードリセットが可能となり、サポートデスクの作業の効率化やユーザー自身の業務を 止める事なく遂行する事が可能。
  24. セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2024, Oracle and/or its affiliates 30

    管理 ◆ ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ✓ユーザーはログイン画面からパスワードのリセットを申請 ✓登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール
  25. メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2024, Oracle and/or its affiliates 31

    管理 ◆メールによるイベントの通知機能 ✓ 新規登録案内とアカウントの有効化 ✓ パスワードの自己リセット(失念時) ✓ アカウントのロック、ロック解除 ✓ アカウントの有効化、無効化 ✓ 管理者によるプロファイル変更 etc. ◆各イベントごとに、通知のON/OFFや メール内容のカスタマイズ(言語毎) が可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ
  26. 3. セキュリティと利便性の両立を実現するIdentity Domainの 機能紹介 3.1 IDの統合化による認証のセキュリティと利便性を提供するSSO環境の実現 3.2 認可時のセキュリティを確保するサインオン・ポリシー 3.3 セルフサービスによる利便性の向上

    3.4 現状の状況を把握する監査ログの活用 Copyright © 2024, Oracle and/or its affiliates 32 ◆ セキュリティと利便性の両立ポイント 監査ログによるテナンシ全体でのログの確認が行え、またフィルタリング機能により単サービスの ログを個別の確認する事も可能。 様々なサービスのログを集約させることで、様々な角度からのログ分析が行える環境を提供。
  27. OCI Auditによるアクセス証跡の管理 OCI Auditを活用した認証に関する操作ログの自動的収集・管理 Copyright © 2024, Oracle and/or its

    affiliates 33 管理 ◆ 認証に関するログを含め、OCIの全てのアクティビティログを自動的に収集・保持 ◆ OCIコンソール、APIから閲覧・検索可能 ◆ テナンシー単位で365日分保持 ◆ OCI標準で提供されているサービス ◆ ログ分析サービス「OCI Logging Analytics」へのログ連携が可能 ログインなど認証に関する オペレーション ユーザー OCI Audit 管理者による 監査ログの分析 管理者 OCI IAM Identity Domain 自 動 収 集 ・ 管 理 ログ分析サービス OCI Logging Analytics オプション
  28. ◆ Service Connector Hub を利用し、OCI AuditからLogging Analyticsに監査データの取り込み ✓ GUI ベースで簡単に

    Source/Target 間のデータ移動を定義 ✓ 指定したドメインのみのログかテナンシー全体のログか選択が可能 ◆ Logging Analyticsで取り込まれたログデータの解析および表示 ✓ パーサーによる取得したデータを指定のフォーマットに正規表現の指定 ✓ ログ・エクスプローラやダッシュボードにて分析しやすい形式でログを表示 ✓ OCI モニタリング・サービスと連携する事で、イベント検出の通知にも対応 OCI Logging Analytics を利用した Identity Domain のログ分析 Copyright © 2024, Oracle and/or its affiliates 34 Logging Analytics OCI IAM Identity Domain Service Connector Hub ユーザーによる認証など のオペレーション ユーザー 管理者 管理者による 監査ログの分析 Logging (OCI Audit) 管理
  29. OCI Logging AnalyticsとOCI Auditの特徴 ログ管理の選択 Copyright © 2024, Oracle and/or

    its affiliates 35 # 項目 OCI Logging Analytics Logging(OCI Audit) 1 分析データ Identity Domainの監査ログを含めた様々な ログを管理 Identity Domainを含めたOCI上のサービスから 出力された監査ログを管理 2 データの範囲 ・サブドメインを含めたIdentity Domainを指定す る事が可能 ・オブジェクト・ストレージにログ出力させることで他の テナンシのログ分析が可能 • Identity Domainを含めたテナンシおよび コンパートメントの監査ログが対象 • UIではデータ検出範囲は14日間 3 分析機能 ・クエリーの定義やグラフ化など多彩な分析機能を 提供 ・通知機能も提供 ・簡単なフィルタリングによる分析 ・ログ検索の構文作成が可能 4 データの保存期間 無期限 365 日間 5 拡張性 パーサーの定義やダッシュボードの実装など拡張性は 高く、アラート通知に対応 REST APIやService Connector Hubを介する 事でログの展開が可能 6 価格 ・10GB まで無償 ・以降、300GB 単位で 1Unit 換算 ・Active Storage (1 Unit) :¥57,660 /月 無償 (価格は2024年10月時点) 管理
  30. OCI監査ログでのIdentity Domainのログ管理とREST APIを利用した休止ユーザーの抽出 本日のデモ環境 Copyright © 2024, Oracle and/or its

    affiliates 37 OCI コンソール 監査ログ 管理者 管理者によるログ/ ユーザー管理 ・OCI Auditからログの抽出 ③OCI監査ログでのIdentity Domainのログ管理 OCI IAM Identity Domains
  31. Copyright © 2024, Oracle and/or its affiliates OCI IAM Identity

    Domains 機能一覧 38 IDaaSとして必要な機能を標準で用意 認 証 連 携 ( SSO) フェデレーション技術による連携 非フェデレーション技術による連携 ソーシャル連携 (Facebook、Twitter等) Entra ID等との外部IdP連携 +外部IdP利用ルール アプリ単位の認可管理 (アクセス可/非の制御) 認 証 強 化 パスワードポリシー 2要素認証 (SMS、Email、モバイルApp、生体、秘密QA) 2要素認証利用ルール (IPアドレスやグループ等を用いた認証ルール) アダプティブセキュリティ (リスクベース認証) ID 管 理 管理GUI(Web画面)によるID管理 CSVインポート/エクスポートによるID管理 SCIMインターフェースによるID管理 (取り込み/プロビジョニング) Active DirectoryとのID・グループ連携 LDAPとのID・グループ連携 カスタム属性の管理 管理権限の委譲 セ ル フ サ ー ビ ス プロファイル変更 パスワード変更 セルフパスワードリセット (パスワード忘れ時のリセット) 通 知 通知種類毎のON/OFF 通知内容のカスタマイズ 監 査 アクセス証跡の管理 アクセス証跡の出力・分析 開 発 REST APIによる操作 REST APIを使った各種画面のカスタマイズ
  32. OCI IAM Identity Domains(旧Oracle Identity Cloud Service) 国内事例(一部) Copyright ©

    2024, Oracle and/or its affiliates 40 お客様 業種 ユーザー数 用途 日本中央競馬会 様 サービス業 100万人 会員向けモバイルアプリケーションの認証基盤として利用 株式会社アウトソーシング 人材派遣 非公開 国内外のグループ企業向けクラウド共通のID・アクセス管理基盤 株式会社リコー様 製造業 非公開 ビジネスパートナーや社員が利用するIoTビジネスの 認証基盤として活用 非公開 公益 300万人 コンシューマー向けサイト(複数)の認証基盤として利用 非公開 ポイントカード事業 10万人 ポイントカード会員向けECサイトの認証基盤として利用 非公開 サービス業 8万人 国内グループ会社+フランチャイズ向けID・認証管理基盤 非公開 製造業 数千人 社員向けのSaaS認証強化(多要素認証等)として活用 非公開 金融業 数千人 社員向けデータ分析基盤の認証基盤・認証強化として活用 非公開 運輸業 数万人 ビジネスパートナー向けSaaS認証基盤として活用 非公開 公共 非公開 職員向けのWebアプリケーション群、SaaSへの認証基盤として活用 ※IDaaS(認証基盤)として利用している国内事例の一部
  33. システム構成イメージ 利用サービス • Oracle Cloud Infrastructure Identity and Access Management

    会員様向けスマートフォン用「JRAアプリ」の認証管理をOCI IAM Identity Domainsで構築 背景・要件 会員様の利便性とセキュリティ面の信頼性を同時に確保する コストを抑えた認証基盤が必要 • アプリとして組み込み可能なクラウド型の認証基盤 • なりすましを防ぐために本人証明を強化する多要素認証 • 短期間でブランドイメージに沿った開発の容易性 • レース開催時の数百万人のアクセス集中に耐えられる仕組み • 会員様データを保護する堅牢な基盤とデータ・レジデンシー 採用のポイント • 多要素認証やリスクベース認証などの豊富な標準機能 • REST APIを活用したアプリケーションに組み込みやすい認証機能 • ISMAPなどの各種コンプライアンス準拠し、国内リージョンで提供 • アクセス集中時に追加コストなく迅速にパフォーマンスを強化 • 同等機能の他社IDaaSと比較して、大幅なコスト削減が可能 • 製品機能を熟知したオラクル・コンサルティングによる開発・運用支援 導入スケジュール • テスト環境構築を含め約4カ月間で認証管理基盤の構築を完了 顧客事例:日本中央競馬会 様 Copyright © 2024, Oracle and/or its affiliates 41 多要素認証 OCI IAM Identity Domains クラウド型の認証基盤 (IDaaS) JRAアプリ
  34. Copyright © 2024, Oracle and/or its affiliates 42 国内外のグループ企業向けクラウド共通のID・アクセス管理基盤の運用を確立 株式会社アウトソーシング

    SSOによる利便性向上と運用管理の効率化  「Oracle Documents Cloud Service」の ID・アクセス管理用に「Oracle Identity Cloud Service」を採用  SAML認証連携のシングル・サインオンにより、 ユーザーの利便性を向上  エンドユーザーにセルフサービスでのパスワード・リ セットを提供することで、運用管理コストを削減  マルチ・クラウドやオンプレミスの認証統合も考 慮した、ID・アクセス管理の技術と運用の確立  将来グループ企業全体のID基盤として活用 クラウド •ユーザー登録管理 •ID・パスワードの管理 •セルフサービスでの パスワードリセット •認証機能 SAMLのIdP オンプレミス Oracle Directory Server EE Oracle Identity Cloud Service Oracle SaaS/PaaS Oracle Oracle Documents Cloud Service SaaS •ファイル共有 •コラボレーション •承認ワークフロー •アクセス履歴 カスタム アプリケーション 将来の拡張 将来の拡張 IdP SP •MS Office 365 •G Suite •kintone
  35. 公益系企業(1/2) Copyright © 2024 Oracle and/or its affiliates 43 ~複数サイトのアカウント共通化による効果的なデジタル・マーケティングの促進~

    • エネルギー自由化によるビジネス環境変化への迅速な対応 • サービス間連携やソーシャルの活用によるデジタル・マーケティングの強化 • 高度化するサイバー攻撃のへの対処(不正ログイン、ポイント不正換金) 導入の背景 • 利便性+セキュリティの両立が会員獲得に不可欠 • 多要素認証やリスクベース認証等の豊富なセキュリティ強化機能 • REST APIによる高いカスタマイズ性と既存からの容易な移行 • Oracle Cloudの活用による構築期間の大幅な短縮 • 価格優位性 Oracle IDaaS採用ポイント 利用サービス • Oracle Identity Cloud Service(OCI IAM) • Oracle Cloud Infrastructure (FastConnect、WAF、DNS等) • Oracle Autonomous Database/Database Cloud • Oracle Java Cloud Service、Oracle Management Cloud等 約300万アカウントを管理
  36. 公益系企業(2/2) Copyright © 2024 Oracle and/or its affiliates 44 ~複数サイトのアカウント共通化による効果的なデジタル・マーケティングの促進~

    • OpenID Connectによるシングル・サインオン • Eメール、SMSを使ったワンタイムパスワード(多要素認証) • Facebook、Twitter、Yahoo! Japan、LINEによるソーシャル・ログイン 要件 Oracle IDaaS対応方針 標準機能で提供 REST APIを活用した カスタムのログイン画面を構築 フルマネージドサービスとして提供 • 既存サイトのデザインに合わせたログイン画面 • 利用者がパスワードを変更することなく既存認証基盤から移行できること • オンプレミスのOracle Databaseとの連携性 • 24/365利用可能で、SaaSであること • 顧客データは日本国内で保持(国内データ・センター) 利用者 TOPページ カスタム ログイン画面 各種ECサイト Oracle IDaaS 認証API ソーシャルログイン 2要素認証 SSO
  37. まとめ Copyright © 2024, Oracle and/or its affiliates 46 OCI

    IAM Identity Domains マネージドサービスとして提供されているIdentity Domainを利用する事で、最新の認証機能を 備えた認証基盤を容易かつ、コストを抑えた導入が可能となります。 IDの統合化やセルフサービス機能を利用することで、管理者およびユーザーへの負担を抑え、また アプリケーションの管理コストの削減を実現します。 IDの統合化 SSO セルフメンテナンス ポリシーベースのルール 多要素認証 柔軟な拡張性 統合されたログ管理 社内外に対応する認証基盤 リスクベース認証 シングル・サインオン環境を構成する事でユーザーへの利便性を提供ができ、ポリシーベースの認証 およびアクセス制御を行う事で、利便性とセキュリティを両立した環境の実現ができます。
  38. # ログ・レポート名 クエリ 1 監査ログレポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’ |

    sort by datetime desc 2 通知配信ステータス・ レポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’| data.eventName=‘EmailNotificationDeliveryStatus'|sort by datetime desc 3 成功したログイン試行 レポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’| data.additionalDetails.eventId='sso.app.access.success'|sort by datetime desc 4 失敗したログイン試行 レポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’| data.additionalDetails.eventId='sso.authentication.failure'|sort by datetime desc 5 アプリケーション・ロール権限 レポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’| data.additionalDetails.eventId='admin.grant.create.success'or data.additionalDetails.eventId= 'admin.grant.delete.success'| sort by datetime desc 6 アプリケーションのアクセス・ レポート search “<対象のコンパートメント>" | data.additionalDetails.domainName=‘<対象のDomainName>’| data.additionalDetails.eventId='sso.session.create.success' or data.additionalDetails.eventId= 'sso.session.modify.success' or data.additionalDetails.eventId= 'sso.authentication.failure' | sort by datetime desc Identity Domainのレポート機能で提供されていたレポートの実装 Copyright © 2024, Oracle and/or its affiliates 49 Identity Domainのレポートで提供されていた各種レポートを監査での設定内容を示します。 ※ロギングー「検索」で設定するクエリにて記載しています。
  39. OCI IAM Identity Domainsの課金タイプ Copyright © 2024, Oracle and/or its

    affiliates 51 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定 タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメインとして作 成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセ ス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアク セス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーション のアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 Not[Employee/Contractor/Outsourcer] 価格 無償 ¥38.75 User Per Month ※登録ユーザーへの課金 ¥496 User Per Month ※登録ユーザーへの課金 ¥2.48 User Per Month ※登録ユーザーへの課金 注意事項 ーー • OCI IAM Identity Domainが必須となる 「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可 ーー • 従業員「2000人」まで登録可能 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可 ※2024年9月時点での価格
  40. Copyright © 2024, Oracle and/or its affiliates ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder

    Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。 タイプ毎の機能制限 (一部) 52 タイプ 機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー 動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP:5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用 ーー Oracle Applicationsのみに 制限 • • 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm
  41. Copyright © 2024, Oracle and/or its affiliates ※Oracle以外のアプリケーションまたはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder

    Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。 タイプ毎のオブジェクト制限 (一部) 53 タイプ オブジェクト Free Oracle Apps Premium Premium External User 管理ユーザー数 2,000 1,000,000 1,000,000 100,000,000 管理グループ数 250 100,000 100,000 100,000 グループ内のユーザー 2,000 100,000 100,000 100,000 Oracle Cloudアプリ 2,000 2,000 2,000 ーー Oracle以外のアプリケーション 2 10 5,000 5,000 サインイン・ポリシー 5 200 200 200 外部IdPsおよびソーシャル・ログイン 5 30 30 30 ユーザーあたりのAPIキー 3 3 3 ーー ユーザーあたりの認証トークン 2 2 2 ーー ユーザーあたりのOAuth2クライアント資格証明 10 10 10 ーー IAMポリシー 100 100 100 ーー 1つのIAMポリシー内のステートメント 50 50 50 ーー 動的グループ 50 50 50 ーー テナンシーでのネットワークソースグループ 10 10 10 ーー 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm