Upgrade to Pro — share decks privately, control downloads, hide ads and more …

欧州データ連携基盤におけるKeycloakの事例

Takashi Sato
May 17, 2024
120

 欧州データ連携基盤におけるKeycloakの事例

Takashi Sato

May 17, 2024
Tweet

Transcript

  1. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼欧州では「データ主権」を保証したデータ連携基盤の構築が進んでいます ◼この流れの中でのKeycloak活用事例をご紹介します ◼特に、以下を取り上げます ⚫ 企業の秘密鍵を保護するWalletの認証 ⚫ VC(Verifiable Credentials)発行のカスタマイズ 本日の講演
  2. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼株式会社野村総合研究所 プラットフォームサービス開発二部所属 ◼入社以来、OSS関連の導入支援・サポートに従事 ◼近年は特に、OSSを活用した認証・IGA(ID管理)の領域を専門 ◼昨年より、企業間データ連携・データ主権の調査も担当 ◼Apache HTTP Serverコミッター ◼鉄道好きです 参考: Qiita「新幹線でもQUICで快適にSSHする」 https://qiita.com/tksst/items/68e8f802822913025286 自己紹介 – 佐藤 高志 (さとう たかし)
  3. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Apache Tomcat, JBoss AS/Wildfly, JBoss EAP, JBoss EWS, Apache Struts,Spring Framework, Spring Boot, Spring Batch, Spring Security, Hibernate, MyBatis(iBATIS), Apache Axis, Apahce Solr, Apache ManifoldCF, Elasticsearch, JBoss BRMS, Log4j, Jackson, Keycloak, Red Hat SSO, OpenAM, midPoint, OpenIDM, Jaspersoft, Pentaho, Kubernetes, Docker Heartbeat, Corosync, Pacemaker, DRBD MySQL, MySQL Cluster, MariaDB, PostgreSQL, MongoDB, Redis, Apache httpd, Nginx, OpenResty, Squid, OpenIG, Postfix, sendmail, Mailman, Dovecot, Courier-IMAP, BIND, PowerDNS, unbound, Samba, OpenLDAP, OpenDJ, Apache Kafka, Apache Hadoop, Apache Spark, Apache Subversion, Git, Redmine, Zabbix, Fluentd, RedHat Enterprise Linux OpenStandiaとは: オープンソースソフトウェア(OSS)に対するエンタープライズ向けのサポート&サービスの総称 ビジネスにおけるOSS採用時の課題 NRI OpenStandia 事業紹介 サポートがない・短い 有識者がいない セキュリティ面が不安 ご提供します 有識者多数 ご安心ください それが です 顧客 130社超
  4. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    データ連携基盤とは? 企業間データ連携基盤について ◼近年、特に欧州にてデータ保護に関する整備が急速進んでいる ◼対象は個人データと産業系データの2つに大きく分けられる ◼個人データ ⚫ GDPRが2016年制定、2018年施行されるなど、既に保護が実施されている ◼産業系データ ⚫ 企業が保有する様々なデータについて、利用のされ方を自己決定できるべきという「データ主権」が提唱された ⚫ データ主権を守りながら多数の企業間で産業系データを連携・活用することで、欧州経済を発展させたい ⚫ IDSA、GAIA-Xといったイニシアティブに多くの組織・企業が賛同 ⚫ 活発な議論と具体案の公開が始まっている 本日はこちら
  5. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    欧州中心の動き: IDSA/GAIA-X 企業間データ連携基盤について ◼ IDSA(International Data Space Association )とは、データ主権を担保したデータ共有※の標準・ルールの策定を目的として設立された組織 (※データ共有のための場はデータスペースと呼ばれる) ◼ IDSAは、2014年にドイツのフラウンフォーファー研究機構(後述)を中心とした産学官連携のプロジェクトとして開始し 2016年に「Industrial Data Space(IDS)」という名称で設立され、その後、IDSAに改称された ◼ IDSAが重視するデータ主権(Data Sovereignty)はリファレンスアーキテクチャモデルとして公開(最新は4.0) ◼ その後、GAIA-Xが設立(2019年) IDSAのアーキテクチャをもとに、ソフトウェア、クラウドサービス、ビジネス開発を推進 (出典)https://www.dataspaces.fraunhofer.de/en/press/publikationen.html
  6. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    IDSAの示すデータ主権に基づく、企業間データ連携のデザイン 企業間データ連携基盤について 「データスペース」:「データが入っている場所」 と誤解してしまうことが多い。欧州のそれは 「データ活用するため のコミュニティや場」 であり、利用者のデータは格納されていない。「スペース」の中で、取引先を確認したり、取引の 信頼性を確保したり、どこにデータがあるか探したりできる、という機能を提供することを目指している。データフォー マットは各データスペースごとに策定されており、たとえばCatena-Xにおけるカーボンフットプリント情報はPathfinder Networkのデータフォーマットが設定されている 「コネクタ」:データ主権を確保しつつ データスペースを利用するためのツール。 データスペースにはログやメタ情報の送信の みを行い、データ本体はデータ主権の考え 方に基づき、企業と企業の間のみで連携さ せるような動作を実現している。
  7. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Catena-X:自動車業界におけるデータスペース 企業間データ連携基盤について ◼ 自動車業界におけるデータスペース、IDSA/GAIA-Xを参考に策定 ◼ 安全なデータ交換、透明性担保によるコラボ促進、イノベーション創出、サプライチェーン最適化による 環境対策強化等が目的 ◼ BMW、メルセデスベンツ、VW、BOSCH、SAP、デンソー、旭化成等が参加 ◼ 2023/10/16に本稼働を開始した ※1 車両のリサイクルに関するユースケース ①ユーザがリサイクル対象の車両を特定 ②Catena-Xから該当車両の情報が 提供される画面を示している。 右上の画面は、壊れたパーツ・売却できない パーツを赤く表示、 リサイクル可能なパーツを緑で表示する 画面である。 ③その後、左下の画面でリサイクルされる 原材料(金属、銅、金等)の情報が Catena-Xからフィードバックされている ④最後に右下の画面で実際のリサイクル価格 の計算結果が表示される 出典: Radical collaboration is working! – Catena-X NEWS https://catena-x.net/en/news-dates/artikel/go-live
  8. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    日本での動向 企業間データ連携基盤について ◼欧州の動向に触発され、日本でも活動が行われている ◼IDSA/GAIA-Xのデータスペースとの接続を模索する動き ◼経済産業省やNEDO主導で、日本独自データスペースを構築する動き 「Ouranos Ecosystem(ウラノス・エコシステム)」 ◼2024年4月23日、IPAとCatena-Xは相互運用を目指し、検証(PoC)の覚書を締結 出典: プレス発表 IPAとCatena-X、自動車業界向けデータの相互運用を目指し覚書を締結 https://www.ipa.go.jp/pressrelease/2024/press20240423.html
  9. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Catena-Xのアーキテクチャデザインの外観 企業間データ連携基盤について (出典) https://catena-x.net/fileadmin/user_upload/04_Einfuehren_und_umsetzen/Onboarding/DataIntegrationPatterns_Guide_Final_V1.pdf ◼データ交換は企業間で実施 (Catena-Xにデータが共有されるわけではない)
  10. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Catena-Xの認証(VC/VP) Catena-XでのKeycloak事例 ◼Catena-Xではデータ利用企業の認証にVC/VPを使用しています ◼全体図のうち、右下のA社・B社のデータ交換を例に説明します A社(データ提供者) B社(データ消費者)
  11. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    VC/VPとは Catena-XでのKeycloak事例 ◼VC(Verifiable Credentials):「検証可能な資格情報」 つまり電子署名された証明書 ◼VP(Verifiable Presentation): 保有者がVCを集約・加工し、電子署名したもの VC/VPは、電子署名を用いた証明書とその第三者への提示方法を規格化したもの 証明書なので、いわゆる「認証」にも使用可能である Issuer 発行者 Holder 保有者 Verifier 検証者 警察 利用者 レンタカー屋 レンタカーに必要な情報 のみ提示することも可能 (例:性別、生年月日は レンタカーに必要か?) ウォレット 秘密鍵や受領したVCを 管理する「ウォレット」 以下を検証する (1) 警察が発行したこと(偽造ではない) (2) 提示した人の免許であること(他人の免許ではない) (3) 免許の内容(原付免許ではなく車の免許) 警察の秘密鍵でVC(免 許証)に署名 証明書( VC)の発行 運転免許証 証明書( VP)の提示 運転免許証(の一部) 運転免許証をVC/VPで実現した場合の例
  12. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    VC/VPとは Catena-Xの場合 Catena-XでのKeycloak事例 ◼VC(Verifiable Credentials):「検証可能な資格情報」 つまり電子署名された証明書 ◼VP(Verifiable Presentation): 保有者がVCを集約・加工し、電子署名したもの Issuer 発行者 Holder 保有者 Verifier 検証者 Catena-X 証明書( VC)の発行 証明書( VP)の提示 データ消費者 B社 以下を検証する (1) Catena-Xが発行したこと (2) B社のVPであること (3) VPの内容(Catena-X参加者であること) Catena-Xの秘密鍵で VCに署名 データ提供者 A社 ウォレット VC/VPを用いることで、Catena-X参加者の誰であるか、を認証できる
  13. 13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Catena-Xの認証(VC/VP) Catena-XでのKeycloak事例 ◼ VC/VPのもとになる秘密鍵は、各社のウォレットにて管理すべき ◼ 現在は過渡期であり、Catena-Xでウォレット(MIW: Managed Identity Wallet)を提供 ◼ MIWのAPI認証にKeycloakを使用している(クライアントクレデンシャルズグラントによるトークン発行) VP提示 MIW Keycloak OAuth2.0クライアント クレデンシャルズグラント によるアクセストークン取得 アクセストークンを用いた VP取得 A社(データ提供者) B社(データ消費者)
  14. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Catena-Xの認証について (その他) Catena-XでのKeycloak事例 ◼他に、以下の用途でKeycloakが使用されている ⚫ Catena-X Portal管理用 (Central-IdP) ⚫ 共用外部IdP (Shared-IdP) ※自社IdPを自前で建てられない参加会社が、Central-IdPへフェデレーションするためのもの このIAMを自前で持てない 会社は、Catena-Xの Shared-IdPを使用する
  15. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    FIWAREとは FIWAREのKeycloak事例 ◼欧州の官民連携プロジェクトで開発・実装された、スマートソリューションの開発向けの オープンソース基盤ソフトウェア・プラットフォーム ◼公共サービスを提供する自治体や民間企業の業種を超えたデータ連携基盤も含まれる ◼スマートシティの実現への活用が期待されている
  16. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    バッテリーパスポートとは FIWAREのKeycloak事例 ◼電池のトレーサビリティを実現するデータスペース ◼各電池にユニークなIDを振ってトレーサビリティを提供 ◼含まれる情報は、有害物質、リサイクル可能物、カーボンフットプリント、 デューデリジェンス(児童労働・搾取など行なっていないか)など ◼原料採掘業者から廃棄業者までが各情報を交換・リンクし、トレーサビリティを実現 バッテリーセル 証明書 原材料証明書 監査証明書 (デューデリジェンス) 製造 証明書 廃棄 証明書 原材料 採掘業者 セル 製造業者 バッテリー 製造業者 廃棄業者 監査法人 証明書の参照 証明書の発行 バッテリーパスポートの実装イメージ
  17. 17 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    バッテリーパスポートとは FIWAREのKeycloak事例 ◼電池のトレーサビリティを実現するデータスペース ◼各電池にユニークなIDを振ってトレーサビリティを提供 ◼含まれる情報は、有害物質、リサイクル可能物、カーボンフットプリント、 デューデリジェンス(児童労働・搾取など行なっていないか)など ◼原料採掘業者から廃棄業者までが各情報を交換・リンクし、トレーサビリティを実現 バッテリーセル 証明書 原材料証明書 監査証明書 (デューデリジェンス) 製造 証明書 廃棄 証明書 原材料 採掘業者 セル 製造業者 バッテリー 製造業者 廃棄業者 監査法人 証明書の参照 証明書の発行 バッテリーパスポートの実装イメージ この証明書にはVCが使われるようですが、 今日の話はここでKeycloakが使われるという話ではあ りません(残念)
  18. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    OID4VCIとは FIWAREのKeycloak事例 ◼そこで、OAuthのフローを利用し、IssuerがウォレットにVCをセキュアに発行する、OID4VCIが OpenID Foundationで策定中 Issuer 発行者 Holder 保有者 警察 利用者 クライアント 証明書( VC)の発行 運転免許証 リソースオーナー ウォレット リソースサーバー(Issuer) 認可サーバ ◼概念的に「VCの発行」「ウォレットへ格納」という説明をしたが、VCの規格上は具体的な手順や 方式は規定されていない ◼KeycloakはIssuer兼認可サーバとして機能するように開発中(詳細次ページ) 参考: OpenID for Verifiable Credential Issuance - draft 13 https://openid.net/specs/openid-4-verifiable-credential-issuance-1_0.html Keycloak + 新プラグイン (開発中) ブラウザでログイン VC アクセストークン
  19. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    FIWAREのバッテリーパスポートのKeycloak活用事例 FIWAREのKeycloak事例 ◼各業者は自社従業員にVCを発行してWalletに格納し、データスペース内の他企業のシステムに ログインできるようにしている ◼FIWAREプロジェクトでは、KeycloakをVC Issuerとするプラグインを開発 ◼さらにプラグイン作者がKeycloak本体にVC-Issuer機能をコントリビュート中 v25で実験的機能として利用可能予定 参考: Demo Environment for Batterypass https://github.com/FIWARE-Ops/batterypass-demonstrator Keycloak VC-Issuer https://github.com/FIWARE/keycloak-vc-issuer Support OpenID for Verifiable Credentials(OID4VC) https://github.com/keycloak/keycloak/issues/25936 VC発行 ログイン VC発行依頼 VC提示による ログイン 他社システム 従業員
  20. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    本日のまとめ ◼企業間データ連携基盤の推進が活発である ◼VC/VPやOID4VCIのような新しい規格が認証に使用されている ◼Keycloakはこれらを支える重要な製品として位置づけられている