セキュリティ ウォッチ ユーザーの第 2 部で考え
Jesper M. Johansson
内容
プラットフォーム不問をします。
ユーザーの認識のフレームワークでの作業の泉
保証双方向の識別
提供されるサービスに適切な保証レベルは、クレームを提供することを許可します。
焦点を既定のユーザーに対し、クレームの整合性
セキュリティ レベルを混在しません。
に関するまたは規則に違反しない (または予測
変更または削除するへのすべてのユーザーに直接接続している属性を許可します。
結果
ID システムを記述する少し面倒なタスクに馬鹿げたが先月、し、具体的には、まだ理由 don’t が、業界標準の 1 つ。 最初、する defi ned どのような身元は本当が、および理由お気の ID でデジタル システム。 識別情報と共に、問題を説明する [— いる私たちは皆あるだけでなくファクト (特に、ID が多くします。 指摘を十分を取得したと思われるしない場合、常に作成、したり購入、いくつかの詳細。
説明したように、問題に作成されます認証 ID ontological の ID としての通常思いますので (実際、物理人的に表現します。 ほとんどのシステムでそのリレーションシップ不要な複雑にわかりました。 ほとんどの ID しない識別またはでも、現実のエンティティをまったく識別が現実のエンティティの担当者をしなければならない、実際には、多くのようにするために望ましくない場合、します。
認証のしくみを説明する最後に、(具体的には、非常に面白く部分をいくつかのサービスのコンシューマーは身元の証明を提供する場所、socio 技術システムで発生することです。 メモ成功デジタル アイデンティティ システムする必要があります特定の条件を満たすし、一連の基本的な原則に従っていること。 パーツ部で、最初の 2 つような原則を説明する:「、ID プロバイダーは少なくとも依存元の最も重要な相手として、重要な"と」、その顧客間関係の保護を所有し、? それともと判断することしたビジネスとして機密情報の管理を企業を許可する:" ここでは、プロセスで II, する最後の系列に関する追加の原則を成功のデジタル ID システムを満たす必要があります。
プラットフォーム不問をします。
お金をビジネスで行えませんため、企業は、顧客として扱います。 「摩擦」、達成額のハード ドルで手に顧客の必要量を減らすにいくらがあります。 スマートなビジネスは顧客の維持の顧客の可能性を減らすその顧客の要件も、顧客ベースを削減するすべての要件を作成しないでください。 つまりメインストリーム ビジネスが使用するなし、1、ビジネスに資金を支払うことを防止の一部の顧客数を含まない ID ソリューションです。 同様に、有理数ビジネスされるなし、使用するために新しいソフトウェアまたはコンポーネントをインストールする余分な長さに移動する、顧客が必要な ID ソリューションを実装します。
同様の実装に関する意思決定が顧客のサブセットだけを動作する身元ソリューションの行われます。 たとえば、このようなソリューション コスト万ドルを実装することとします。 考えます空き現金フロー、ビジネスのことなど、現在の開発プロジェクトの earmarked がないこと、収益の割合-、総収益の 7% です。 この場合、会社は実装のコストをカバーするだけで、ソリューションから収益で、追加 71.5 万ドルを生成する必要があります。 顧客のサブセットを段階的向上ソリューションのみを提供する場合は特に重要な番号、です。 その正当化する顧客のセキュリティに影響を measureable する必要があります。 ID ソリューションのいくつかある場合は、これら要件を満たしては。
ユーザーの認識のフレームワークでの作業の泉
最終的には、この人が使用する識別情報システムは必要があります、人間の知覚フレームワーク内でできます。 surprising かもしれません、デジタル ID のシステムに対処する人間 beings しなかった進化します。 表面上ように見えがインテリジェントに特に作らこれを行うにはれています。 食料 (および mates)、foraging と saber toothed 猫で攻撃を持ちこたえるしようとしています認知科学で多くの scholars 主張人間 beings の基本的な配線は、洞窟でライフに対処する設計されています。 mankind がはず、ブースでより洞窟で生活をずっと長いおよび electrons よりスモーク信号とはるかに長い通信に費やした。 洞窟ライフ、デジタル ID は、ほとんど使用お必要があり、具体的にはそれらを理解する利用配線と進化しなかったその結果、します。
したがって、世界の精神的我々 モデルは数百の電子商取引を保護するデジタル ID を管理するを含めます。 ただし、完全洞窟で生活の中にコードの単語を使用する人必要があることを想定する妥当なは。 可能性がある特定の単語特別な意味と特別な結果を受け取りました。 " ください"なんらかの forerunner で caveman 話す、いずれかを説明するだけではおそらくがありました。
していないというを使用してコード単語、または現在と同じ-パスワード-はデジタル ID を認証するだけの妥当な方法は。 こと場合、大多数のユーザーは、デジタル アイデンティティ システムを受け入れるには、その必要があります必要ありません世界の認知、モデルを変更することを示しています。 認知モデルは大きくよう設定します。 お認知モデルに収まらないシステムで処理できる確か-実行のでが、コストが: 負荷、ストレス anger。 このようなシステムを使用してをこれらの要因のコストを上回る利点を含める必要は。 対照的に、直感的にわかりやすい、システムは少ない他の利点を提供いる場合でも採用の大きいレベルを受信するがします。
保証双方向の識別
デジタル アイデンティティ システムの最も重要な部分の間で-残念ながら、このようなシステムのユーザーがいない理解もその 1 -は、依存元の相手とエンドユーザーに ID プロバイダーの ID。 依存元の相手 — またはより一般的に、サービス プロバイダー (エンドユーザーによって暗黙的に多くの場合、信頼されています。 理由ですフィッシング攻撃-は、ID を盗むことによって、信頼されたパーティとして亡 — はので非常に成功します。 騙してその機密情報を表示するユーザー数が十分に多くがかかるしません。
成功のデジタル ID システム、システム ユーザーの認知モデルに適合する方法で認証にすべての当事者を許可する必要があります。 残念ながら、この重要な側面のシステムは、多くの場合、サービス プロバイダーによって無視されます。 マイ「セキュリティがについてパスワードとクレジット_カード」系列の方法、人気のあるクレジット_カード会社積極的に拒否に認証を行う前に識別するを示しました。 現時点で提供私なし遊覧探索がまだ、ユーザー認証を要求する前に、ユーザー、デジタル ID を表示する拒否をレポートにします。 検出カード Web サイトにする場合、説明はリダイレクトしてユーザー名およびパスワードされず、フィッシング サイトにユーザーの資格情報を送信していないいるを確認する機会をします。 1 できますだけだろう cardholders にあるため、検出アカウントの数が侵害されて、ユーザー名とパスワードを求める人にプロバイダーに conditioned。
その一方で、SSL が、成功したデジタル ID システムのコンポーネントをしたことを証明すること不可能です。 ユーザー認証を実行できますが、という事実は事実上不明少なくともユーザーにします。 サーバーの身元証明する機能を主に設計されているという事実は、多くのサービス プロバイダーによって無視されます。 代わりに、SSL は高価なキー交換メカニズムとしておよびを検査する bothers 誰も証明書を発行する企業の収益のプライマリ ソースとして使用されます。 現在実装されているデジタル ID システムでのコンポーネントとして SSL が失敗します。 ユーザーの認知モデルを使用しないし、サービス プロバイダーを識別することができます、中にこの ID が表示をエンドユーザーにため不適切ほとんど使用方法を理解しないこと。
成功のエンド ツー エンド デジタル ID システム行う必要があります当事者の双方の ID トランザクションに、認証のワークフローの一環。 ただし、デジタル アイデンティティ システムする必要がありますまず、デジタル アイデンティティ問題が解決します。 独自に十分な困難ですがすべての問題を送信クレーム デジタル ID を証明する、デジタル ID を確認するデジタル ID を適切なアクセス許可、デジタル ID を格納する、デジタル ID の更新のデジタル ID を管理します。 他の問題を解決するため、デジタル アイデンティティ システムに使えます場合、ボーナスの — 間、システムの設計目標ではありませんが。
完璧な例ですフィッシング フィッシング詐欺は、人間の問題、いないデジタル-ID を 1 つです。 フィッシング攻撃人間 beings、テクノロジではありません。 最終的には、フィッシング詐欺にだけ、ソリューションがよりインテリジェントのセキュリティ決定を行う人になります。 ID システムできる確か、作業しますが、ヘルプのユーザーとサービスには、このようなシステムの主要な目的の犠牲にないプロバイダー識別互いに。
提供されるサービスに適切な保証レベルは、クレームを提供することを許可します。
ほとんどのユーザーは多くの異なる情報サービスを使用します。 一部のサービスは、銀行口座または退職預金アカウントなどの機密性の高い情報を提供します。 電子メールなどのいくつかの場合は、機密性の高い可能性のある情報を提供一部とします。 ソーシャル ネットワーク サイトなど、ユーザーの評価する値の情報を提供ものとします。 まだないソフトウェア仕入先の技術サポート サイトなど、まったく重要な情報を提供他のユーザーとします。
まだ、これらのサービスに関連する秘密度のレベル、にもかかわらず多く使用してください、同じ ID。 たとえば、毎回マイ ソフトウェア サプライヤーから製品情報を取得しようとしたを使用して電子メールにアクセスするには、同じ ID が要求される。 これを行うには選択した場合は同じ ID の自分の銀行情報を管理する可能性があります。 電子メールが大きな値であると思われる。 自分の銀行情報が確実には。 ソフトウェア製品の情報ですか。 いない大量です。 簡単に、営業担当者に印刷するフォームともドライブ 30 マイルすべて配信を取得するでした、ため、値を持たない実質的にまったく情報を考慮します。
この種類の資格情報のオーバーロードの使用は、アイデンティティ システムに endemic です。 [シングル サインオン"と呼びます いくつかの方法でシングル サインオンでは、魅力的な概念です。 エンタープライズ環境では、優れたビジネス価値がされ、利用可能ないない場合必要がありますに追加、議題今。 非常に異なる値は、の情報を扱うことを企業の外部でシングル サインオンは危険です。 newsstand を参照されたいて、販売員依頼 ID の 2 つのフォームの朝用紙を購入が許可された前を間違いなくオブジェクトしますが、銀行口座や新しい車ですぐドライブから 200, 000 円を撤回することができます前に行われた同じ要求、eyebrows を上げることはありません。
クレームの同じ分離する必要があります、成功のデジタル アイデンティティ システムでサポートされます。 ユーザーが一連のデータで表されるリスクのレベルに適した資格情報を提示すべきではまたは arerequesting がサービスします。
シングル サインオンは広く使用されるデジタル アイデンティティのシステムで不適切です。 もちろん許容をシングル サインオンを使用して、システム自体にアクセスする方しますが、実際の資格情報が、依存元の相手に提示-、サービス プロバイダーなど、ユーザーが受信サービスとつりあうことがあります。 高度は、成功のデジタル ID システムをフォームでもは、2 層 ID システムをサポートこと、可能性があるため、: 1 つのレイヤーを自体と実際には、依存元の相手にユーザーを識別するには、デジタル ID システムにサインインします。 この機能を適切に提供するシステムは、マイクロソフトの InfoCard システムです。
向上を適切なデジタル アイデンティティ システムする必要があります簡単に、ユーザー、サービスをそのサービスに対して定義されたクレームのセットの送信がそれらを別のサービスに送信するときに、ユーザーを警告します。 言い換えるのデジタル ID システムをユーザーにアクセスしようとするサービス プロバイダーを識別するのに役立ちます。
焦点を既定のユーザーに対し、クレームの整合性
成功のデジタル ID システム、個人のプライバシーの権利を反映する必要があります。 プライバシーの正確な前提がカルチャと大幅に異なるプライバシー保護の全体的な人間、願望は、定義されたただしは indisputable です。 プライバシー、innate の人間の必要性を呼び出すもします。 これは、できる簡単に見なさ 図 1 のニーズの西 Maslow の階層の下、安全性が必要な。 Maslow、pre-Internet の場合、書き込み可能性がありますだけが除外、プライバシーできなかったので、問題の多くで 1943年。
図 1 のニーズの Maslow の階層
人間必要がある、または、少なくとも願望としてプライバシーを受け入れるお場合、デジタル アイデンティティ システムのコンテキストでその必要性について説明できます。 たとえば、好きな趣味に関するディスカッション掲示板などシステムを考えてみましょう。 ほとんどようなディスカッション掲示板の認証。 デジタル アイデンティティ システムを実装、つまり。 どのような識別情報を使用してその掲示板のいますか。 「深いダイバー 13」など、モニカーを移動する操作を行いますまたは、実際の名前を使用する操作を行いますか。 のほとんどはある種のニックネームを使用している可能性がありますします。 我々 のような目的、有効な電話番号と自宅の住所を登録する必要とする可能性があります考えられますプライバシー違反。 デジタル ID、物理的な人に対応して、稼働状態のレコードにもマップを使用する必要はプライバシー違反と見なすにほぼ間違いなくなります。
した多くの場合、言った必要、ほとんどのため、デジタル ID システムがあるユーザーできます一貫してからなければかどうかと心配はだけです。 物理的な ID をまたは別のシステムで使用するデジタル ID にも自分のデジタル ID を特定のシステムをバインドする、ユーザーはありません。 ユーザーは、該当の身元を非表示を同じ秘密度レベル、または別のデジタル ID を使用して、他のものでかどうか、他のシステムへのリンクを非表示できる必要があります。
つまり、システム、標準、ontological は、通常、ユーザーにこれらのクレームのバインドではなく、ユーザーによって提示される身元証明データの整合性に集中する必要があります。 同一クレームのセットが表示されたら、限り、ユーザーが許可、ほとんどには、システムに必要なすべてします。 たとえば、製品 Web サイトを実行します。 実際、小売業者を気人ユーザー実際には、トランザクションに適用される法律必要としない限り必要はありません。 販売店必要ユーザーは同じ配置今日と自分のアカウントをセットアップするとき、支払のメソッドがまだ動作するかどうかを表示できるかどうかについてのみ処理があります。 ほとんどの場合では、成功したトランザクションを作成するのに十分です。 多くの ID システムでは"ID"部分を overdo ID としてユーザーにではなく、人間を結び付けるしようとします。
自分の身元を ontological は、ユーザーを保護する機能を提供するよりもさらに重要の ID を製造しやすく機能です。 デジタル アイデンティティ システムは、結局のところ、単なるソフトウェアです。 ユーザーのプライバシーを最大化の ID を管理するユーザーをお勧めでした非常に簡単にします。 この機能を実装するデジタル アイデンティティ システムは、程度向上の確率成功複数それを無視する意味します。
セキュリティ レベルを混在しません。
デジタル アイデンティティ システムの 1 つの興味深い機能は、サービス プロバイダーとは異なります ID プロバイダーの使用を多くの場合、必要なことです。 サービス プロバイダーでユーザーを置いた信頼は、ID プロバイダー内に配置する信頼のレベルと一致しないの明白な discord があります。 ユーザーは、サービス プロバイダーが、サービス プロバイダーを使用する ID プロバイダーいないを信頼、する場合、ユーザーは非常にそのため、サービス プロバイダーを使用たがらないもいます。 これが発生興味深い例が Expedia.com です。 以前、Microsoft の子会社、Expedia Microsoft Passport、今すぐ Windows Live ID、認証を使用、 図 2 に示すようにします。
図 2 Expedia サポート サインイン Windows Live ID です。
今すぐ Expedia がマイクロソフトではないユーザーを信頼することを考えます。 Expedia (する) は、Windows Live ID の使用に必要な場合は、そのユーザーなります Expedia をまったく使用できるか。 可能性があります。 いない可能性があります。 どちらか新しい場合あります、ユーザーが 1 つは、Windows Live ID に対し Expedia 上 Expedia ID を使用できますでありを一部のユーザーがしやすい。
もちろん、信頼と同じ問題が、他の方法です。 ユーザー、ユーザーは、マイクロソフトではない Expedia を信頼する場合の Windows Live ID です。 その場合は、Expedia を使用して実行しようあります。 おそらく、ユーザーは MSN マネーを通じて銀行口座の情報を保護するなどの機密性の高いために、Windows Live ID を使用します。 その場合は、一部のユーザーは、同じ Windows Live ID 使用帳旅行予約するには、銀行口座情報を保護するたがらないもいます。
システムには、このプロパティは非常に多く点についてそれらを保護する情報の秘密度に合わせてクレームを要求する前の項目になります。 簡単に言うと、ユーザーは、任意のトランザクション内の特定の当事者を信頼する必要がありますがそれらの関係者が信頼する程度が異なります。 信頼レベルは、システムを信頼する理由にユーザーを提供する可能性がありますをミキシングします。
に関するまたは規則に違反しない (または予測
今日情報セキュリティ管理におけるいくつかの問題は法的および規制上の対応として、vexing、です。 多くのセキュリティ専門家可能性がありますが最適なフレンドとして弁護士と考えるをしないながら弁護士は、原因をどうしても必要なしつつあります。 プライバシーに関する法律および規制の問題でありさまざまな管轄これらの法律や規制によって異なります。
これが、興味深い問題を発生します。 たとえば、特定のデジタル アイデンティティ システムが関係者を採用して積極的にするとします。 ID クレーム取得いないディスカッション フォーラムへのアクセスなど、非常に重要な情報を提供する証明書利用者パーティによって捕捉します。 依存元の相手のサービスを提供する ID クレームの情報の機密性とつりあうのセキュリティのレベルを提供 (言い換えると、ごくわずかで済みます。 これで、ID プロバイダー、信用報告機関との契約の署名とその結果、要求パケットは、国番号または一部表したを変更します。 この新しいクレームは、ディスカッション掲示板に送信される突然。 ディスカッション掲示板のセキュリティ プロトコルは、さまざまな法律や規制に違反がようになどについては、必要なセキュリティ レベルを提供しないです。
こうしたエラーは通常、単純な発生を回避するためと、残りの原則に従えば、その可能性があるこのいずれかが違反することをまだが重要な考慮事項です。 同様に、国境にわたって使用されるデジタル ID システムを機密性の高い別の規則にあります。 1 管轄内完全に正当なあります特定の識別情報を要求します。 同じ要求情報をどこする可能性があります違法または規制の対象に。
たとえば、デジタル アイデンティティ システムの一部としての有効期間を要求するが子供のオンライン プライバシーの保護機能の対象に、ID プロバイダー他管轄内と同様の法律、アメリカ合衆国。 ID プロバイダーでその情報が要求したすべての依存元当事者にで使用できる場合、情報にしない場合でもその依存元のパーティには準拠の要件が移ります。 言うまでもなく、デジタル アイデンティティ システムがこれら 2 種類の法律や規制の respecting できるとだれでも違反に含めないことは重要です。
変更または削除するへのすべてのユーザーに直接接続している属性を許可します。
最後に、デジタル アイデンティティ システムは独自のデータの制御にユーザーを配置する必要があります。 これはすべて、原則の中で最も議論です。 ID プロバイダーは、ビジネス データとして収集される情報を多くの場合、表示します。 ユーザー、対照的に、その名前、アドレスおよび考慮その他の情報収まる「」を参照してください] を使用する、個人用のプロパティを適切なユーザーの失効をが含まれます。
明らかに、現在のプラクティス既に拒否へのアクセス、情報を完全に制御するユーザーの権限はすべてのユーザーは、次の 3 つの米国のいずれかを取得しよう 個人情報を削除する政府のクレジット レポートに証明できます。 でもその情報が不適切なとして文書化、信用報告機関は、販売を保持するには、通常は満足です。 精度とサブジェクトによりデータの承認は無関係です。 この記事の範囲外は、倫理、識別情報、ユーザーの同意を得ずから利益を許可されて他のユーザーをシステムの説明がシステムのユーザーによって広く受け入れられるには、デジタル アイデンティティ システムする必要があります、コントロールを超えるユーザーの情報を挿入できません。
つまりすべての情報を変更可能なユーザー名などの側面を含むもする必要があること。 非常に一般的なユーザー名の種類は、電子メール アドレスです。 前述の分離の原則の一部が違反に、識別子として電子メール アドレスを使用するという事実のにもかかわらず、一意である保証だため電子メール アドレスを識別子として使用する意味も。 ただしは、変更可能なエンティティもと他の人が以前使用した電子メール アドレスを与えられていることがよくあります。 こと ID システムする必要がありますのみ許可されないユーザー方が、電子メール アドレスもある場合は、その人のユーザー ID を変更する方法、システムする必要があります対処新しいユーザーが古いアドレスを拾うときに発生する問題。 新しいユーザーを忘れてしまったパスワード機能を試してし、別のユーザーのアカウント情報にアクセスを受信したでしょうか。 最適のない可能性があります。 電子メール アドレスを非コミッションには、有効な完全の使用-ケースです。 名などの情報、その他の変更でなくこの緊急時対応策を対処する、デジタル ID のシステム必要があります。
結果
明らかに、デジタル ID システムはかなり複雑になります。 構築する複雑な既に知っていますが広範囲にわたって成功する準拠に必要な原則も複雑にするだけでなく。 ここから 2 つの結論を描画できます。 まず、デジタル ID システムを単純化する必要があります。 お費やしました複数年のユーザーではなく、ユーザーを回避するシステムをデザインしようとしています。 デジタル ID システムはそれらの過度の要求を加えずに、情報のコントロールにユーザーを提供する必要があります。 極端な最後には匿名にするユーザーをサポートが必要があります。 同様が必要があります不要システムが価値よりも、システムの実装に関するより費やす企業です。
第 2 のデジタル アイデンティティのシステムはこれらの使用方法に適した識別サービスを提供する必要があります。 複数のレベルの保証レベルをサポートするクレームの必須システムのそれらの要求を認証に使用されることを提供する必要があります。 言い換えると、全体として、インターネット上シングル サインオンおそらくされる ID を管理するため、システムにのみ該当する — ID 自体ができません。
これまで、1 つわかりますが、かどうか非常に成功したシステムすべてこれらの原則を満たすを表示するのには残ります。 ほとんどの人について合意しているおはまだあります。
Jesper 海 Johansson リスク ベースのセキュリティのビジョンおよびセキュリティ戦略で作業して、既知の Fortune 200 会社、プリンシパルのセキュリティ設計者です。 彼はも TechNet Magazine に貢献元のエディターです。 自分の仕事の世界で、最大、ほとんどの分散システムの一部のセキュリティを確保から成ります。 彼を Ph.D. を保持します。 情報システムの管理] でセキュリティでの経験 20 年以上おり、Microsoft 最も有益担当者エンタープライズ環境のセキュリティでは。 彼の最新の本は、Windows Server 2008 Security Resource Kit (マイクロソフト プレス、2008年) です。