Shibboleth IdPのためのプラガブル多要素認証システムの提案

抄録

Shibboleth IdPなどのIdentity Providerを用いた情報システムの認証において，認証方法の基本はユーザIDおよびユーザIDに紐付く固定パスワードによる認証である．利用者にとって簡易で身近な方法ではあるが，フィッシングなどによりこれらの情報が漏洩した場合には不正にアクセスされる危険性が高い．この対策として，固定パスワード以外の要素による追加の認証も併せて要求する多要素認証がある．本稿では，Shibboleth IdPにおいて，追加の認証や，要求する追加の認証の方法や数を制御する認証ポリシーを柔軟に設定でき，必要に応じて着脱することが可能な，多要素認証を実現するシステムの提案および実装について示す．本システムでは，Shibboleth IdP自体の多要素認証機能に依存しないため，バージョンアップなどによる実装の変更により影響を受ける可能性が減り，保守性を確保した上で認証を強化できる．また，追加の認証や認証ポリシーを柔軟に定義可能とすることで，セキュリティを確保しながらも利便性の向上やセキュリティポリシーの柔軟な運用を図ることができる．