O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

日立PBI技術を用いた「デバイスフリーリモートワーク」構想

750 visualizações

Publicada em

第2回 Around the Auth ライトニングトークセッション
株式会社 日立製作所 高橋 健太

Publicada em: Software
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

日立PBI技術を用いた「デバイスフリーリモートワーク」構想

  1. 1. © Hitachi, Ltd. 2020. All rights reserved. 日立PBI技術を用いた 「デバイスフリーリモートワーク」構想 2020/05/26 FJWG Spin-off event 「第2回 Around the Auth」 (株)日立製作所 研究開発グループ 高橋 健太 PBI: Public Biometric Infrastructure
  2. 2. © Hitachi, Ltd. 2020. All rights reserved. 自己紹介 1 ◆高橋 健太 / Kenta Takahashi ➢ Ph.D (Computer Science) ➢ ㈱日立製作所 研究開発グループ セキュリティ研究部 主管研究員 / Chief Researcher ➢ 東京大学 客員准教授 [2015-2020] ➢ ISO/IEC SC37 (Biometrics) Expert [2013-] ◆専門 ➢ 生体認証 / Biometrics ➢ 暗号 / Cryptography ➢ (情報セキュリティ / Information Security) PBI (Public Biometric Infrastructure)
  3. 3. © Hitachi, Ltd. 2020. All rights reserved. コロナショック ~ リモートワークへの期待と失望 2 ◼2月中旬~ コロナ拡大により、在宅勤務の推奨開始  率先して在宅勤務開始。ワークライフバランスに意欲。 ◼3月末~ 緊急事態宣言を受け、出社制限開始  全社的に在宅勤務が急増  ネットワーク/サーバ負荷が日に日に逼迫 ◼GW明け~  毎朝 8-9時 はリモートデスクトップへのログイン困難  9-15時はオンライン会議(Skype/Teams)がままならず.  O365は遅すぎて使い物にならず どうしてこうなった?
  4. 4. © Hitachi, Ltd. 2020. All rights reserved. 会社ITインフラはボトルネックだらけ 3 Remote workers Proxy VPN Intranet Bottleneck Bottleneck 社用端末 → VPN → イントラ → Proxy → Web/クラウド
  5. 5. © Hitachi, Ltd. 2020. All rights reserved. ゼロトラスト ~ 全ての他人はコロナと思え 4 Remote workers Proxy VPN Intranet Bottleneck Bottleneck ✓ Verify ✓ Verify ✓ Verify ✓ Verify これまでのセキュリティ (境界防御モデル: 入口だけ認証) これからのセキュリティ (ゼロトラスト: 全て認証) Remote workers
  6. 6. © Hitachi, Ltd. 2020. All rights reserved. ゼロトラストの悩み? FIDOで安全・便利にしたいけど登録が大変 (ユーザxデバイスの組合せ毎に生体・鍵の登録が必要) ユーザ, デバイス, 資産の認可マトリクス (管理が複雑) 会社PC BYOD 共用モバイル 認証サーバ ユーザ x デバイス の組合せ増加 ⇒ 認証・認可が大変
  7. 7. © Hitachi, Ltd. 2020. All rights reserved. デバイスフリー ゼロトラスト by FIDOxPBI 6 1回の登録で任意デバイスからユーザ認証ユーザ認証とデバイス認証を分離 会社PC BYOD 共用モバイル 生成 生成生成 任意のデバイスからセキュアで便利なFIDO認証を ユーザ鍵をデバイスで管理せず、生体から動的に生成(PBI) ⇒ 任意のデバイスからFIDO認証 認証サーバ
  8. 8. © Hitachi, Ltd. 2020. All rights reserved. Public Biometric Infrastructure ~概要~ 7 ◆ ICカードや暗証番号を使わず、便利で安全な公開鍵認証を実現 -「忘れない」「無くさない」「手ぶら」で認証・署名が可能 - 生体認証による厳格な本人確認と、公開鍵認証の高セキュリティを両立 ◆ 機微情報にあたる生体情報の管理が不要 - 生体情報を直接利用せず、公開鍵や署名に「一方向性変換」して利用 - プライバシを高度に保護。破棄更新も可能。 PBIの 特長 PBI=生体情報を「秘密鍵」とする公開鍵暗号、電子署名 PBI 【技術要素】 生体署名 生体暗号 生体認証 【技術要素】 パターン認識、センサ、画像処理 * 日立が世界初の実用化 PKI 【技術要素】 電子署名, 公開鍵暗号 PBI: Public Biometric Infrastructure
  9. 9. © Hitachi, Ltd. 2020. All rights reserved. 日立PBI技術とは ~仕組み~ 8 鍵生成& テンプレート作成 署名検証 OK/NG 生体情報は復元不可 (セキュリティ・プライバシ保護) 署名/認証処理 メッセージ 登録処理 攻撃者 検証者 検証処理 偽造・改ざん・ なりすまし不可能 公開DB 登録 PBI公開鍵 = (公開鍵, PBIテンプレート) 生体情報 特徴抽出 鍵生成 生体情報 署名生成 電子署名 ◼登録: 生体情報を復元不可能な形に「変換」したPBI公開鍵を生成。証明書を登録。 ◼認証: 生体情報とPBI公開鍵から生成した秘密鍵を用いて電子署名。公開鍵で検証。 ◼破棄更新: 乱数を変えることで同じ生体でも無数に異なる鍵ペアを生成可能 特徴抽出 秘密鍵 秘密鍵 × PBI公開鍵 作成後 破棄 ×使用後 破棄 ?× 乱数
  10. 10. © Hitachi, Ltd. 2020. All rights reserved. ◼FIDOとPBIの外部I/Fは同じ ◼PBIは生体データや秘密鍵を保存しない ⇒ 漏洩リスクを最小化  PBI Template(鍵生成に使用する一方向変換後の特徴データ)は漏洩しても脅威とはならない情報 FIDOとPBIは相性バツグン! FIDOとPBIとの関係 9 User Server 公開鍵認証 Public key 生体認証 【一般的なFIDO】 公開鍵認証 Public key 生体認証 【FIDOxPBI】 Secret Secret Server Client Client User PBI TemplateNon-secret 生成 (鍵生成に用いる情報)
  11. 11. © Hitachi, Ltd. 2020. All rights reserved. ◼端末内保存型 FIDO x PBI  鍵生成に必要な情報(PBIテンプレート)を端末内に保存 User Server 公開鍵認証 Public key 生体認証 【FIDOxPBI】 生成 「サーバ保存型 FIDOxPBI」 はデバイスフリーな認証を実現 FIDOxPBIの2つのモデル 10 PBI Template User Server 公開鍵認証 Public key 生体認証 【FIDOxPBI】 PBI Template 生成 ◼サーバ保存型 FIDO x PBI  鍵生成に必要な情報(PBIテンプレート)をサーバに保存しておき、認証時に端末へダウンロード Non-secret Non-secretPBI Template →どの端末からでも認証が可能に! Client Client
  12. 12. © Hitachi, Ltd. 2020. All rights reserved. デバイスフリーリモートワーク構想 11 FIDO x PBI(サーバ保存型)をPCにバンドルするだけで、 デバイスフリーな生体認証を実現することができます。 従来のWindowsHelloと同様、自身が日常的に 利用する端末で生体情報を登録。 登録 利用 一度の登録で、自身の端末だけでなく 様々なデバイスで生体認証が可能となる。 ・・・ 様々な端末 (自席、共用、サテライト、在宅、BYOD) オフィスエントランスや 手ぶらキャッシュレス決済にも ドメイン(AD) PBI認証サーバ ドメイン(AD) PBI認証サーバ
  13. 13. © Hitachi, Ltd. 2020. All rights reserved. デバイスフリーリモートワーク構想 ~ユースケース~ 12 # 機能 利用シーン 提供価値 1 PC/モバイルログオン 携帯ショップ、コールセンタ、役所、等 →端末が個人と1:1で紐づいていない場合 いつでも、どこでも、自分専 用の環境に生体認証という手 軽な認証手段でログインする ことができる 2 仮想PC/リモートデスク トップに対するログオン 携帯ショップ、コールセンタ、役所、等 →端末が個人と1:1で紐づいていない場合 仮想PCやリモートデスク トップの認証を、どこでも、 どの端末からも利用できる。 BYODの促進につなげること が可能 3 各種アプリに対するシン グルサインオン 保険の渉外員、不動産の渉外、小売店、銀 行、郵便局、空港等 PCアカウントは同一だが、ログイン後に 業務アプリへ認証が必要となる場合 PCログインから社内の業務 システムの利用まで、ワンス トップで利用できる。認証方 式を安全便利なPBI認証に統 一化が実現できる。 Windowsログオンをはじめとした、 PC/モバイルにおける様々な認証に「FIDO x PBI」の適用を想定

×