20141002 明日の認証会議資料（寺田）（配布用）

第３回「明日の認証会議」

製造業に見る、大規模Webサイトと認証・ID管理の事例

～付加価値の向上と、会員情報の統合によるCRMの強化のために～

株式会社オープンソース活用研究所

代表取締役所長

寺田雄一

ｔｅｒａ＠ｏｓｓｌａｂｏ．ｃｏｍ

Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

自己紹介

2 Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

寺田雄一(てらだゆういち/yuichi terada)

1969年8月21日生まれ 45才

・2003年、野村総合研究所に大手で日本初のOSS専門組織オープンソース・ソリューションセンターを設立。・2006年、オープンソース・ワンストップサービス「OpenStandia（オープンスタンディア）」事業を創業。・2013年まで野村総合研究所において、オープンソース事業の責任者を務める。・オープンソースビジネス推進協議会（OBCI）、OpenAMコンソーシアムの発起人。同会の理事、会長や、NPO法人日本ADempiereの会の理事などを歴任。・情報サービス産業白書2012年版～2014年版「オープンソースソフトウェアの動向」の執筆を担当。・「エンジニアの楽園」を目指し、「開発合宿（ハッカソン）」などをプロデュースする活動も行う。・2013年、IT業界の構造改革を実現するため、野村総合研究所を退社し、株式会社オープンソース活用研究所を設立。

オープンソース活用研究所のミッション


ＩＴ業界、このままで良いとお考えですか？

～ＩＴ業界の構造改革、より良い業界に！～

我々は、ユーザ企業と、「ＯＳＳ」や「アジャイル的開発」が得意な中小IT企業、地域のＩＴ企業、海外のＩＴ企業、とを直接結び、

「多段階の階層構造問題」や「スクラッチ開発偏重問題」を解決することで、

エンジニアが「誇り」と「喜び」をもって仕事ができる、ＩＴ業界を創ります。

「オープンソース×アジャイル的開発」を支援


iＤｅｍｐｉｅｒｅアイデンピエール

ＯＳＳのＥＲＰ。会計、販売、購買、在庫管理など。多言語、多通貨対応。

Ａｌｆｒｅｓｃｏアルフレスコ

ＯＳＳのドキュメント／コンテンツ管理。企業間情報共有、図面の管理など。

Ｌｉｆｅｒａｙライフレイ

ＯＳＳの企業情報ポータル、ＣＭＳツール。レスポンシブデザインに対応。

ＯＴＲＳオーティーアルエス

ＩＴＩＬに準拠した運用管理ツール。サービスデスクや構成管理、変更管理など。

ＯｐｅｎＡＭオープンエーエム

ＯＳＳのシングルサインオン。クラウドやSNSなどのWebシステムと認証連携。

その他vTigerCRM ： OSSのCRM/SFAPentaho ： OSSのBIツールAipo ： OSSのグループウェア

「明日の認証会議」

�「認証」について様々な環境の変化や課題があるなかで、本会議では、今はなく、遠い未来でもなく、「明日、何をするべきか」というテーマを選んで議論を進めて行きます。

�また、要素技術や仕様についての細かい議論ではなく、利用者の視点に立った議論を行っていきます。


「明日の認証会議」

�第１回

�スマートデバイス、BYOD、マイナンバー、大規模認証

�第２回

�スマートデバイス、BYOD

�第３回

�BtoC Webサイトの認証、ID管理

�第４回

�いまさら聞けない「シングルサインオン」の基本と事例（仮）


本日のアジェンダ

� 製造業に見る、大規模Webサイトと認証・ID管理の事例～付加価値の向上と、会員情報の統合によるCRMの強化のために～

（株）オープンソース活用研究所代表取締役所長寺田雄一

� 「社会インフラ的大規模サービスを支える今の認証技術／事例かもめエンジニアリング（株）代表取締役社長潮村剛


�製造業に見る、大規模Webサイトと認証・ID管理の事例

～付加価値の向上と、会員情報の統合によるCRMの強化のために～


企業における認証基盤へのニーズ


（出所）Tokyo, Japan - seen from the North Observatory 45th floor - Tokyo Metropolitan Government Building in Shinjuku. By UggBoy♥UggGirl [ PHOTO // WORLD // TRAVEL ]http://www.flickr.com/photos/uggboy/5181846719/in/photostream/

�ＩＤ管理の効率化

�内部統制、コンプライアンス強化、個人情報保護業務の自動化

�ＳａａＳ

�クラウド基盤

�モバイル端末、スマートフォン、タブレット

�グループ企業間、グローバル規模での情報システム共有

�企業合併、社内認証基盤統合、サービス統合

�インターネット・サービス事業の強化

ＩＴ環境の変化

事業環境の変化

商品・製品にサービスを付加して差別化

� ｉＴｕｎｅｓ（アップル）の例

�http://www.apple.com/jp/ipod/

�http://www.apple.com/jp/itunes/



�ＷｏｒｋｉｎｇＦｏｌｄｅｒ（富士ゼロックス）の例

�http://www.fujixerox.co.jp/product/

�http://www.fujixerox.co.jp/solution/workingfolder/



�ワタシプラス（資生堂）の例

�http://www.shiseido.co.jp/sw/products/SWFG070010.seam?online_shohin_ctlg_kbn=2

�http://www.shiseido.co.jp/sw/check/SWFG060510.seam


商品・製品だけでは差別化が難しい

�製品のライフサイクルがますます短くなっている。

�新商品を投入しても、すぐに同様の商品が市場に溢れる。

�国際的な競争が激しくなっている。

�過当な価格競争。

�「サービス」で付加価値＝インターネット・サービスの強化


�マーケティングの変化


顧客セグメント毎のマーケティングが主流に

�現在


携帯電話

営業マーケティング

本部

顧客企業

パソコン

顧客

テレビ

顧客


�しかし、Webサイトでは・・・


顧客

顧客

顧客

携帯電話

パソコン

テレビ

製品紹介サイト

コミュニティサイト（ファンサイト）

サポートサイト

直販サイト

製品紹介サイトサポートサイト

直販サイト

サポートサイト製品紹介サイト


�顧客情報を統合。シングルサインオンも。

�顧客に対して、「ライフスタイル」を提案。

�SNSなども活用して、CRMを強化。

�認証基盤の必要性。


�Facebookとの連携による、アクセスを増加


2,200万人のFacebookユーザを、貴社サイトに！

�2,200万人（2013/12時点）のFacebookユーザを貴社サイトに誘導することで、売上アップを図ります。


2012年9月 2013年12月

1,500万人

2,200万人

ECサイト

貴社のファンが新規の会員を呼びこむ「循環」を作ります


ショップへの訪問や購入

記事、写真投稿

FBいいね！シェア

Facebook購読者の

増加

Facebook広告

・貴社FBページへのいいね！やシェアを誘導・カスタマーレビューをFBに投稿

・貴社FBページへのいいね！数を増やし、定期的に貴社からの投稿を見ていただける状態に

・貴社商品を使った「ライフスタイル」を、大きな写真を使った記事にして、定期的に投稿・貴社商品紹介

・貴社商品へのリンク・ショップからFBページへの誘導・いいね！やシェアをした方へのポイント付与等キャンペーン

各種キャンペーン

「米肌」の事例

� Facebookページには、お客さまの役に立つような美容情報や効果的な商品の使用方法などを投稿。

� お客様の声も集まるように。� Facebookページのファンは非ファンに比べ1.6倍もリピート購入率が

高い。


Facebookとの認証連携

�ログインを簡略化（ID、パスワード不要）


サイトOpenAM

OAuth連携

Facebookアカウントでログインする

・ECサイトの認証を、独自の方式からOpenAMに切り替え。ECサイト側では、HTTPヘッダを参照し、ログイン済みかどうかを判断するよう改修。・「Facebookアカウントでログインする」ボタンを設置。ログイン処理はOpenAM側で行う。

ＯｐｅｎＡＭで解決

�ＯｐｅｎＡＭなら、

�ＯＡｕｔｈ

�ＯｐｅｎＩＤ

�ＳＡＭＬ

�ＦＩＤＯ（予想）

などの標準プロトコルで認証連携が可能。


�セキュリティ上の課題（リスク）と対策


大手航空会社における不正アクセス


ネットバンキングにおける不正アクセス


※http://www.jiji.com/ より引用

リスク


※http://www.ipa.go.jp/ より引用

リスク

�パスワードの漏洩

�生年月日などから類推される

�覗き見られる（ショルダーハック）

�総当り攻撃

�パスワードの使い回しにより、あるサイトで漏洩したパスワードで様々なサイトに不正にアクセス（パスワードリスト攻撃）


対策

�クライアント証明書（BtoCサイトでは非現実的）

�生体認証（デバイスの普及が鍵）

�マトリックス認証

�ワンタイムパスワード

�リスクベース認証


Copyright 2013 Use of open source laboratory, Inc. All right reserved.

ワンタイムパスワード

� オープンな認証仕様、OATH（Initiative for OpenAuTHentication）に準拠したワンタイムパスワード認証が可能。

30

ワンタイムパスワード生成

OTPの生成回数・時刻

秘密鍵

利用者

認証OK

ワンタイムパスワード生成

OTPの生成回数・時刻

秘密鍵一致

2種類のワンタイムパスワード方式

（１）HOTP（カウンタベース） OTPの生成回数(カウンタ)をもとにOTPを生成

（２）TOTP（時刻ベース）時刻をもとにOTPを生成

リスクベース認証

� 不正アクセスのリスクに配慮した認証方式。� ログイン時の地理的位置の評価、最終ログインからの経過時

間や認証失敗回数のチェック、IPアドレスの履歴チェックを元に、追加の認証（ワンタイムパスワードなど）を要求。

31

パスワード認証

リスクベース認証

ログイン完了

追加認証(OTPなど)

アクセス環境等を分析リスクを評価しスコア加算スコアの閾値で判断

Copyright 2014 Open Source Innovation Labs Ltd. All right reserved.

ＯｐｅｎＡＭで解決

�ＯｐｅｎＡＭを活用することで、

�ワンタイムパスワード

�リスクベース認証

による不正アクセスの防止が実現可能。


ＦＩＤＯアライアンス


※http://www.dds.co.jp/fido_tokyoseminar/ より引用

�商用製品の課題


なぜ、ＯｐｅｎＡＭなのか

�ＯｐｅｎＡＭのメリット

�ユーザー数無制限

�最新技術への対応

• SAML

• OpenID

• OAuth

：

�国内でも豊富な導入実績


なぜ、かもめ「KFEP」なのか


�認証DBとして、ほとんどのシステムで使われている「LDAP」は、性能面での限界がある。

�「１０万ユーザが限界」と一般的には言われている。

※※※※OpenLDAPパフォーマンスチューニング（日本パフォーマンスチューニング（日本パフォーマンスチューニング（日本パフォーマンスチューニング（日本LDAPユーザ会）のデータを元に、当社作成ユーザ会）のデータを元に、当社作成ユーザ会）のデータを元に、当社作成ユーザ会）のデータを元に、当社作成

0 2000 4000 6000 8000 10000 12000 14000 16000

OpenLDAP

OpenLDAP（チューニング）

KFEP

KFEPとLDAPとの性能比較

リクエスト/秒

なぜ、かもめ「KFEP」なのか


�OpenAM＋KFEPで、大規模認証基盤を実現

KFEP

エンジンエンジンエンジンエンジン

KFEP


KFEP


拡張可能

統合認証ソリューション

OpenAM

OpenAM

OpenAM

端末

端末

端末

どのサーバにアクセスしても、同一の処理が可能拡張可能

どのサーバにアクセスしても、同一の処理が可能

データ同期

宣伝

�かもめエンジニアリング（株）では、ＯｐｅｎＡＭを活用した、大規模認証システムの構築サービスを提供しています。

�以下までお問合せください。


かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社かもめエンジニアリング株式会社営業部営業部営業部営業部http://kfep.jp

[email protected]

03-6420-3177

こちらへお問い合わせくださいこちらへお問い合わせくださいこちらへお問い合わせくださいこちらへお問い合わせください

20141002 明日の認証会議資料（寺田）（配布用）

Software

Transcript of 20141002 明日の認証会議資料（寺田）（配布用）