HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年下期)

6 Open Identity Solutions for Open Government

工藤 達雄

1. はじめに

  本報告では2009 年下半期のアイデンティティ管理技術に関する動向として、米国Open Identity Solutions for Open Government の動きを概観する。

2. Open Identity Solutions for Open Government とは

  米国ではとくにオバマ政権の発足以降、民間の事業者が提供するサービスを政府機関で活用する動きが加速しており、アイデンティティ管理の分野も例外ではない。
  2009 年 9 月、FCIOC(Federal CIO Council:連邦政府CIO 評議会)内のISIMC(Information Security and Identity Management Committee:情報セキュリティおよびアイデンティティ管理委員会)の分科委員会であるICAMSC(Identity, Credential and Access Management (ICAM) Subcommittee)は、新たなイニシアチブとして「OpenIdentity Solutions for Open Government」を発表した [1]
  本イニシアチブでは、市民に対する行政の透明性向上およびアクセスの容易化、そしてアプリケーションごとのクレデンシャル(いわゆるアカウント情報)発行の省力化を進めるために、民間のIdP (Identity Provider:たとえばポータル事業者や決済事業者など、市民に対してID を発行・運用する組織)の発行したクレデンシャルを、連邦政府機関の市民向けWeb サイト(以下、「行政Web サイト」)へのアクセスに活用することを目指している。
  民間のIdP は、RP(Relying Party)となる行政Web サイトに対してアサーション(ここでは、行政Web サイトにアクセスしようとする利用者に関する、認証結果や属性情報)を提供するにあたり、「TFP(Trust Framework Provider:オンライン・アイデンティティの信頼モデルを策定・認定する組織)」の信頼モデルに準拠しなくてはならない。このTFPも IdP と同様に民間の組織であり、ICAMSC がTFPAP(Trust Framework Provider Adoption Process)[2] に従って評価・認定する。
  つまり本イニシアチブでは、連邦政府が直接民間のIdP を評価・認定するのではなく、連邦政府の認定を受けた民間のTFP(実際には、TFP の基準に合致する監査人)がIdP の評価・認定を行う。ICAM ではこのように民間のリソースを活用することで、コストの削減と、本モデルの普及の迅速化を狙っている。
  TFPAP では、TFP 申請者の信頼モデルが行政Web サイトに適合するかどうかのチェックが、ふたつの観点から行われる。ひとつはTrust Criteria Assessment であり、NIST SP 800-63-1 に基づく技術的な評価項目との適合性と、プライバシ保護に関する適合性の確認からなる。もうひとつはAudit Criteria Assessment であり、IdP の監査を行う監査人に対してTFP 申請者が要求する、基準の適合性が確認される。

  現時点では、以下の組織がTFP の認定を受ける予定である。

  • OIX(Open Identity Exchange)(暫定的承認)
  • Kantara Initiative(暫定的承認)
  • InCommon Federation(申請審査中)

  一方のIdP は、以下の事業者がパイロットを実施中である。

  • Google: OIX の信頼モデルを採用し、NIH (アメリカ国立衛生研究所) とパイロット評価を実施中
  • Yahoo: OIX の信頼モデルを採用し、パイロット評価を実施中
  • PayPal: OIX の信頼モデルを採用し、パイロット評価を実施中
  • Wave
  • Equifax

  
ICAMSC は、民間の事業者(IdP) と政府機関(RP)との間で利用するアイデンティティ技術についての認定も行う。この認定プロセス(Identity Scheme Adoption Process)[3] において、ICAM は業界標準のアイデンティティ仕様を行政Web サイトに適用し利用するための取り決め(プロファイル)を作成する。プロファイルの作成においては、元となるアイデンティティ仕様の標準化団体などに仕様変更を要求することはない。

  現在認定済み、ならびに認定作業中のプロファイルは以下の通り。

  • ICAM OpenID 2.0 Profile (認定済み)
  • Kantara SAML 2.0 eGovernment Profile (認定済み)
  • ICAM IMI 1.0 Profile (認定済み)
  • ICAM WS-Federation (作業中)

  このうちICAM OpenID 2.0 Profile およびICAM IMI 1.0 Profile について、次節以降に述べる。

3. プロファイル

3.1. OpenID 2.0 Profile

  OpenID 2.0 Profile [4] は、OpenID Authentication 2.0 仕様を適用するためのプロファイルである。OMB M-04-04 が定める4 段階の保証レベル(LOA:Levels of Identity Assurance)のうち、レベル1 に対応している。
  本プロファイルの規定では、IdP がRP に提供するユーザ識別子としてPPID(Private Personal Identifier:IdP とRP の組ごとに異なる「仮名識別子」)の使用を必須とすることで、RP 間での識別子のコリレーション(名寄せ)を防止している。なお、このRP からIdP へのPPID の使用の指定は、OpenID 拡張仕様のひとつであるPAPE(Provider Authentication Policy Extension)の認証ポリシーによって定義される。
  また本プロファイルの規定では、RP は事前に認定されたIdP のリストを自身で管理し、ユーザにOpenID 識別子を直接入力させるかわりに、そのリストの中からユーザに選択させる方法のみが許可されている。これは、いわゆる「ディレクテッド・アイデンティティ」と「IdP ホワイトリスト」を組み合わせたパターンである。
  その他、OpenID 認証に関するすべての通信をSSL/TLS にすることや、「IdP ホワイトリスト」をICAM が管理し、RP がこのホワイトリストを適宜参照することなどが定められている。

3.2. IMI 1.0 Profile

  IMI 1.0 Profile [5] は、Identity Metasystem Interoperability 1.0 仕様を適用するためのプロファイルである。LOA レベル1 から3 に対応しており、RP はユーザのカード・セレクタに、LOA 1 / 2 / 3 のうち、いずれかのLOA を示すクレームを要求しなくてはならない。またOpenID 2.0 Profile プロファイルと同様に、本プロファイルにおいてもPPID の使用が必須とされている。
  Information Card はマネージド・カードのみが許可されており、かつ発行者は事前に認定されたIdP でなくてはならない。またInformation Card を要求するRP はカード・セレクタに対し自身のX.509 証明書を提示しなくてはならず、さらにカード・セレクタは、そのRP のX.509 証明書を、IdP にトークンをリクエストする際に提示する必要がある。この結果IdP は、トークンの提出先となる RPを認識することができるようになる。さらにIdP は同時に、返却するトークンをRPの X.509 証明書の公開鍵を用いて暗号化することで、指示されたRP のみに、そのトークンの内容を開示することが可能となる。
  なお、トークンの型式としてはSAML 1.1 アサーションのみが利用を許可されている。IdP は自身がそのトークンを発行したことをRP に示すために、そのSAML アサーションに自身のX.509 証明書を含め、かつ秘密鍵を用いて署名することが規定されている。RP が信頼するIdP は、OpenID 2.0 プロファイルと同様、ICAM が管理することになっている。

4. 現在の状況

  前述の通りNIH がOpenID RP となるパイロットを現在行っており、適用対象のアプリケーションは会議登録、Wiki への認証、ライブラリへのアクセス管理などとなっている。また、その他、食品医薬品局(FDA)、一般調達局(GSA) などのサイトが構築中である [6]
  一方TFP の動向としては、前述の通り、2010 年 3 月現在では OIX [7] と Kantara Initiative [8] が暫定的な承認を受けている。前者の OIX は OpenID Foundation と Information Card Foundation が共同参画するTFP であり、LOA レベル1 の IdP として Google (ICAM OpenID 2.0 Profile), Equifax (同 IMI 1.0), PayPal (同 OpenID 2.0 および IMI 1.0) を認定した。一方の Kantara Initiative は LOA レベル 1 から 3 までの IdP の認定に関してICAMSC から承認を受けており、現在パイロットを行っている。

5. まとめ

  米国政府のオープン・ガバメント戦略の中ではクラウド・コンピューティングの活用や行政データの公開などが注目を集めているが、IT サービスの根本であるID 情報の源泉を民間に委ねるという本イニシアチブもまた、非常に野心的な試みであると言える。実運用はまだ始まっていないが、今後同様の動きが連邦政府以外の州や市、米国以外の政府機関、そして行政サービス以外のドメインにどのように波及していくのかが注目される。

以上

参考文献

[1] Open Identity Solutions for Open Government
http://www.immagic.com/eLibrary/ARCHIVES/GENERAL/US_FDCIO/I110318O.pdf
[2] Federal Identity, Credentialing, and Access Management
Trust Framework Provider Adoption Process (TFPAP) For Levels of Assurance 1, 2, and Non-PKI 3
http://www.idmanagement.gov/documents/TrustFrameworkProviderAdoptionProcess.pdf
[3] Federal Identity, Credentialing, and Access Management
Identity Scheme Adoption Process
http://www.idmanagement.gov/documents/IdentitySchemeAdoptionProcess.pdf
[4] Federal Identity, Credential and Access Management
OpenID 2.0 Profile
http://www.idmanagement.gov/documents/ICAM_OpenID20Profile.pdf
[5] Federal Identity, Credentialing, and Access Management
Identity Metasystem Interoperability 1.0 Profile
http://www.idmanagement.gov/documents/ICAM_IMI_10_Profile.pdf
[6] OpenID pilot project for identity management starting up at NIH - IT Compliance Advisor
http://itknowledgeexchange.techtarget.com/it-compliance/openid-pilot-project-for-identity-management-starting-up-at-nih/
[7] Open Identity Exchange
http://openidentityexchange.org/
[8] Assurance Certification Application Overview - Certification Programs - Kantara Initiative
http://kantarainitiative.org/confluence/display/certification/Assurance+Certification+Application+Overview

 

目次へ 次へ