ゼロトラスト認証認可連携におけるユーザ同意付きコンテキスト共有

摘要

ネットワーク上のリソースのアクセス制御モデルとして境界型モデルが知られている。しかし、このモデルはアクセス元のネットワークによりアクセス制御を行うため、一旦侵入されてしまうと攻撃者にリソースへのアクセス権を与えてしまうなど問題がある。そこで、境界型モデルに代わる新しいセキュリティモデルとしてゼロトラストネットワーク(ZTN) が提案されている。このモデルでは、コンテキストと呼ばれるユーザやデバイスに関する様々な情報を用いてアクセス要求者を認証しアクセス要求を認可する(ゼロトラスト認証認可) ことでアクセス制御を行う。従って、このモデルでは正しいアクセス制御のために十分な量のコンテキストが必要となるが、Identity Federation により様々な組織が提供する多くのサービスを利用している場合には、コンテキストは組織のシステムに分散され管理されてしまうことが多い。そこで本研究では、Identity Federation 下でZTN の概念を適用するゼロトラスト認証認可連携(ZeroTrust Federation; ZTF) という考え方を提唱し、組織を超えてコンテキストを共有する手法について提案する。加えて、コンテキストはユーザのプライバシー情報を多く含むため、この共有をユーザの制御下におけるような仕組み、ユーザの同意を伴う仕組みを提案する。さらに、本研究ではZTF のプロトタイプを実装し、その動作確認を行なった。