【3/18〜】Amazon、VMwareが語る『クラウドの未来』        

Analysis

OpenIDが熱狂的に受け入れられる理由

2007/04/23

　3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。

　OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ（OpenIDによる認証に対応したサービスプロバイダのこと）でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス（コンシューマ）へログインできるようになる。つまり、ユーザーはOpenIDによってWebアプリケーションで利用するIDの一元管理とシングルサインオンが行えるようになる。

1200サイトが対応、7500万人が利用

　先のUSA Todayの記事の中ではOpenIDの普及状況も示され、現時点で約1200ほどのOpenIDによる認証が可能なサービスサイトが存在し（参考リンク：サービスサイトのリスト）、それらのサイトでOpenIDを利用しているユーザー数は世界で約7500万人になると書かれている（参考リンク：統計の情報元）。いかなる技術にとっても、全国紙で紹介されることは名誉なことだ。それだけ、昨年に起こった消費者向けアプリケーションへのOpenIDの普及はすごかった。Six Apart社が提供するLiveJournalやVoxなどのブログサービスを筆頭に、ブログ検索のTechnorati、ソーシャルブックマークのMa.gnoria、写真共有コミュニティのZoomrなど、いわゆる「Web2.0」と呼ばれているアプリケーションでの認証方法としての採用が進んだ。ほかにも、Windows向けのアイデンティティ管理技術「CardSpace」を推進するマイクロソフトがOpenIDとの相互運用を発表したことや、大手ISPのAOLによるOpenIDの正式採用など、枚挙にいとまがない。

OpenID小史と技術的特徴

　OpenID自体は2005年の秋にInternet Identity Workshop（IIW）というアイデンティティ系ギークの意見交換の場で紹介された技術である。発明したのはSix Apart社チーフ・アーキテクトのBrad Fitzpatrick氏。IIWで発表されてから、VeriSign、JanRain、Sxip Identity、NetMesh、Cordance Corporationなどの技術者たちが技術やアイデアを持ち寄り、OpenIDの名のもと、「URL」をIDとして利用する認証プロトコル仕様の標準化を進めた（現行バージョンは1.1。参考リンク：仕様書）。現在では、先の企業の技術者達がテクニカル・コミッティを形成し、メーリングリストを通じて幅広い層と意見を交換しながら、次期バージョンのOpenID2.0の策定や各種拡張機能（Extension）の仕様策定が進められている。

　OpenIDの仕様が実現する認証の仕組みを簡単に述べると、(1)ユーザーにIDとして付与したURLを利用した認証サーバの発見、(2)URLとリダイレクトの仕組みを用いた認証要求と認証アサーション応答、(3)URLパラメータによる属性情報の要求と応答、となる。ユーザーから受け取ったパスワードをデータベースへ照会するなどの狭義の「認証」部分の仕様はOpenIDの仕様には含まれていない。認証メッセージのやり取りを行うプロトコル仕様だけを定めているところはSAML（Security Assertion Markup Language）と同じである（参考リンク：強力なSSOを実現するXML認証・認可サービス（SAML））

OpenIDによる認証の流れ

URLがIDと認証サーバのロケーターの役割を果たす

　認証プロトコルとしてOpenIDがSAMLと決定的に違う点は、(1)のID（URL）を用いた認証サーバの発見だろう。SAMLでは、認証サーバと認証をリクエストするコンシューマの間には何らかの信頼関係が必要で、その信頼関係の構築はたいてい証明書を交換することで行われる。この際、お互いを発見するためのアドレスも交換しておく。従って、SAMLを使ったシングルサインオンでは誰がサーバにリクエストできて、誰にアサーションを返せるのかが事前に決められてしまう。反対に、OpenIDでは認証サーバとコンシューマの事前の関係定義が不要である。OpenIDではユーザーのIDでもあるURLが「認証サーバのロケーター」の役割を果たし、ユーザー自身が利用したい認証サーバの場所をIDを通じてコンシューマに示すことで、お互いの信頼関係がアドホック且つ動的に構築される。すなわち、認証サーバとコンシューマの信頼関係のよりどころは「ユーザーの意思」であり、ユーザーが指示する以上、両者は互いに信用しなければならない。この特徴が、これまでシングルサインオン技術を色々見てきた人たちに違和感を感じさせつつも、新たな可能性をも感じさせる部分である。

デジタル・アイデンティティのデモクラシーを実現するOpenID

　しかし、なぜOpenIDがここまで注目を浴びるに至ったのだろうか？ 単にWebアプリケーションのシングルサインオンを実現するのであれば、Liberty AllianceやSAMLでも可能であったし、マイクロソフトもPassportという共通認証サービスの提供を試みたことがあった。しかし、周知の通り、これらの技術やサービスは消費者アプリケーションでの認証スタンダードの地位を獲得できずにいる。OpenIDはたった1年ちょっとの間に、その座に近づいた。おそらくOpenIDに掛けられたコストやリソースはLibertyのそれに比べれば微々たるものだっただろう。つまり、消費者アプリの認証スタンダードの座争いにおいてダビデがゴリアテを打ち負かしたようなものである。

　これは大変インパクトのある出来事だった。OpenIDをこの名誉ある地位に至らしめた大きな要因は何だったのか？ それはOpenIDが、インターネット上で私たち自身を表す個人情報（すなわちデジタルアイデンティティ）を、さまざまなサイトによって支配されている状況から開放する可能性を感じさせたからだ。

　私たちが普段利用しているサービスでは、アイデンティティはサービス提供者の手によって管理されている。例えば、アマゾンのようなコマースサイトを利用する場合、メールアドレス以外にも、商品を発送するための住所や電話番号も登録しておかなければならない。これらの情報はサービスを受けるのに必要であるから登録しているわけだ。しかし、ニュースサイトでは商品を発送するわけでもないのに、住所の登録を求められたりする。ニュースを見るのに必要なIDを得るために渡した情報は、その後どのように利用されるのか、ユーザー側で知る由もない。この場合、コンテンツを見る代わりに、個人情報が質に取られるということになる。いったんサイト側に渡った情報は、ユーザーがそのサイトにログインして、アカウントを削除でもしない限り、回収することはできない。

　このように私たちのデジタルアイデンティティは、サービスを受ける代償に、あちこちのサイトでばらばらに管理された状態にある。しかも、それらの情報がどのように管理されどのように使われるのかを決める権利はサイト側にあり、アイデンティティのオーナーである私たちにはない。言うなれば、私たちのアイデンティティは複数のサイトの「君主制体制」の下で管理されているのである。サイト側の数々の不祥事により、個人情報の管理のあり方自体が法律によって厳しく規制されるようになった昨今、利用目的のよく分からない個人情報の提供をなるべく避け、自分の情報は自分で管理したくなるのが消費者の心情でもあろう。

　OpenIDを提供する多くの認証サービスでは、ユーザー自身によってメールアドレスや住所などの属性情報の登録、管理が行えるほか、コンシューマから属性情報が要求された際、その内容の確認とリクエストに応じるか否かの判断もユーザー自身が行えるようになっている。また、先に説明したように、IDがURLであるため、ユーザー自身がアイデンティティの管理場所として選んだ認証サイトを、アマゾンのようなサービスプロバイダに認証先として示すことができる。こうして見ると、アイデンティティ管理をユーザー自身の手に委ねるOpenIDは、デジタル・アイデンティティのデモクラシー（民主化）を実現する技術のようにも思えてくる。歴史上、理不尽な君主の支配下にあった人々が民主制に熱狂してきたように、人々のOpenIDに対する熱狂ぶりは、同じく「デジタル・アイデンティティの民主化」にあるような気がしてならない。

（NRIパシフィック 作島立樹）

情報をお寄せください：