迷走ITProですわな~

ITPro駆け出しによるブログ。ゆるくいきます

JICS 2017 振り返り

予め記載させて頂くと、この記事はあまり技術的な話ではないです。

これですね。参加してきました。
※仕事の都合でAM中のセッションは聞けず

nosurrender.jp

AD FSを入り口として「Digital Identity」領域にハマって1年半ぐらい経ちますがこの領域の動向は非常に興味深いです。 改めての部分もありますが、面白かった内容を掻いつまんで記載していきたいと思います。

1. SNS IDを活用したB2C向けのID基盤

元々エンタープライズ領域ではMicrosoftのADが非常に高いシェアを誇っていましたが、クラウド・モバイル活用により社員のIDの在り方を改めて考え直す必要が出てきています。 また大学などの教育機関でも多くの場合、所属する学生に対してなんらかのIDを払い出してサービスを提供している形態になってきています。
しかし、普段の生活においてエンドユーザーはそれらのIDを必要としません。FacebookやLINE、インターネットショッピングに組織から払い出されたIDは使えません
利便性だけを考えるとFacebookやLINEに登録しているID(個人ID)と組織のIDを完全に同一のものにするのが理想的ですが、現在の状況を考えるとまだまだ難しいです。(プライバシー面(個人側)や、セキュリティ面(組織側)で)
そこで、一歩引いて組織から払い出されるIDと個人が利用しているIDを紐づけることで利便性を向上させる動きが出てきています。(Azure AD B2C + LINE ID等)
組織間コラボレーションを目的としたAzure AD B2Bというサービスもあるように、IDはもはや一つの組織の中で閉じるものでは無くなってきています。
将来的には個人IDで、自分に必要なすべてのサービスを利用できる日が来るかもしれませんね。

2. トラストフレームワークの基本と今後の適用分野

この業界でトラストフレームワークと聞くと真っ先に思いつくのがPKIでしょうか。これも基本的には考え方が同じです。
IdPとRP/SPが乱立する中、それぞれのID Federation確立時にIdPやSP/RPをセキュリティ面等でアセスメントするのは非常に非効率です。
そこでそれらのIdPやSP/RPが信頼に足るかを第3者機関によるトラストを付与しようという働きかけですね。
既に欧米では始まっている動き(TFPAP等)ですが、日本ではまだ大学のネットワークで発足しているGakuNinぐらいようです。
学術認証フェデレーション 学認 GakuNin
政府としてもトラストリポジトリの重要性を認知させるため、試作段階ものがあるようです。(XMLベースで作成されており、システムからの読み取りも容易な形式)
https://trustlist.openlabs.go.jp/
これらの目的はあくまでも組織間ID Federationの活性化なので、これ自体が営利目的に運営されるのは避けてもらいたいですが、仕組みとしては経済の活性化に繋がる取り組みかと思います。

3. 基礎から OAuth と OpenID Connect

OAuthとOIDCのプロトコルの詳細セッションなので内容は下記参照。
デジタルID最新動向(1):「OAuth 2.0」の基本動作を知る (1/4) - @IT

以前から広く言われていることですが、OAuthは認可のプロトコルであり、認証に使うのはセキュリティ上危険であることを改めて強調されていました。

4. Achieve Balance between Security, Usability and Privacy with Invisible Identity

企業側はセキュリティを中心にID基盤を構想しますが、過度なセキュリティのために利便性を欠いた環境になっているとエンドユーザーはそれを回避したがります。
例えば・・・

  • 多数のID・パスワードの設定 → 全て同一にする(個人で利用するサービスと同一Passを利用)
  • パスワードの定期的な変更の強制 → 覚えられないからメモに書いておく

など、これらは企業が過度なセキュリティを押し付けた結果、セキュリティホールが生まれていることになります。
結果として、セキュリティは強まるどころか弱まっている(目的と真逆の結果になっている)ことを認識すべきだと思います。
ユーザーエクスペリエンスの向上に関しても、ディズニーで利用されているバンドを例に挙げて解説されていました。
もしTDRに導入されたら “開園ダッシュ” がなくなる!?「ディズニー・ワールド」MyMagic+ 完全ガイド(1/5) - ディズニー特集 -ウレぴあ総研

5. Be Self Sovereign! Block Chain+Identityが目指す姿

Identityを自分で管理できない世界は非常に危険なのではないか。(Yourdentity
近年ID Federationの普及により、個人IDの世界でも利便性は向上しきていますが結局のところIdPに自分のIdentityを握られているのが現状です。(FacebookGoogle等)
仮にFacebookGoogleアカウントが停止してその復旧が困難な場合、SAML、OAuthやOIDCで繋いでいる全てのIdP、SP/RPも利用ができなくなります。(組織IDの場合、望ましい状態かと思いますが)
個人IDの最終コントロール権は手元に残さないと、IdPの一存で個人のIDが停止されてしまうことを認識しましょう。
そして、それを解決する光となるのがBlock Chainによる分散台帳技術かもしれません。(Mydentity

今後のDigital Identity領域が楽しみです。