インタビュー:OpenID提唱者に聞く、OpenIDの今後

「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者

2007/07/19

 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。

openid01.png OpenIDに対応するWebサイトの数。MyOpenID.comによる概算(クリックで拡大)

 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント(URI)を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付けるサイト(「利用サイト」(Relying Party)または「消費者」(Comsumer)と呼ぶが、以降この記事では利用サイトと呼ぶ)の数も、正確なところは分からないながらも、4000に届くかという勢いだ。

 OpenIDの提唱者の1人として知られ、現在は米ベリサインに籍を置くデビッド・リコードン(David Recordon)氏に話を聞いた。

OpenIDが受け入れられた理由

openid02.jpg デビッド・リコードン氏。LiveJournal創設者のブラッド・フィッツパトリック氏と、2005年前半からシックス・アパートでOpenIDに関する活動を始める。現在はOpenIDファウンデーションの副会長。2006年5月に米ベリサインに入社し、イノベーショングループ プロダクトマネージャーを務める。新技術による新規事業の研究・開発をするかたわら、OpenIDの開発者コミュニティにも深く関わるなどオープンソース関連の活動を続ける。1986年生まれの20才。プログラミングは独学。趣味はスキューバダイビング。

――これほどの普及を予想していましたか?

リコードン氏 いえいえ、まったく想像していませんでした(笑)。1年前ですら、ここまで普及すると思っていませんでした。その浸透度や速度、大企業による相次ぐサポート表明などに、関係者一同、驚いているのではないかと思います。

――これまでにもOpenIDのようなシングルサインオンの仕組みは、いくつもありました。なぜOpenIDだけが急速に受け入れられているのですか?

リコードン氏 大きなものとしては、サン・マイクロシステムズが主導する「リバティ・アライアンス」による各種仕様があります。これはエンタープライズ用途を想定したもので、インターネット向けではありませんでした。マイクロソフトの「パスポート」も、シングルサインオンの仕組みを提供します。しかし、どこかの企業がパスポートを使おうと思っても、マイクロソフトに実装の許可を求めなければなりませんし、ユーザーもID情報の管理すべてをマイクロソフトに任せるほか選択肢がないということで、受け入れられなかったのだと思います。

――OpenIDはID管理の「民主化」で、そうした面を人々が歓迎して普及しているという指摘もあります(参考記事:OpenIDが熱狂的に受け入れられる理由

リコードン氏 それも普及の大きな理由の1つだと思います。OpenIDでは誰かがIDを管理するのではなく、さまざまなOpenIDプロバイダによる分散された環境で認証の仕組みを提供します。

 過去数年を振り返ると、ネットの世界は、人もサービスも協調型になってきています。こうした分散化された環境で使えるIDを、みんな待ち望んでいたのだと思います。

 企業内の業務システムで起こっていることとも関係してくると思います。企業内ではブログやSNSなどWeb2.0サービスがいろいろ立ち上がってきているわけですが、こうしたサービスが導入されるたびに既存のディレクトリサービスと紐付けて管理するのは非常に手間がかかります。こうした環境にOpenIDサーバを追加すれば、IT部門の負担も軽くなります。

 OpenIDが広く受け入れられている理由としては、ほかにもOpenIDのサポートが簡単ということもあると思います。非常にシンプルなので、既存サービスやWebアプリケーションをOpenIDに対応させるのは1日でできることです。Ruby、Java、PHP、Pythonなど主要な言語にはOpenIDライブラリがあります。

OpenIDプロバイダは多様なレベルでサービス提供する

――誰でもOpenIDプロバイダになれるということで、セキュリティ面の不安はないのですか?

リコードン氏 まず、自社が提供してくれるIDは問題ありませんよね。次に、AOLやlivedoorといった大企業であれば、ID管理で事故や事件があるとブランドに傷が付きますから、すでにブランドを確立したサイトは信用できるでしょう。

 一般的に利用サイトの信頼性を測るには、正しくSSLが使われているか、EV(Extended Validation)が使われているかということで判断することになると思います。

 よくIDを1カ所にまとめると、そこがクラックされれば、すべてのサービスで悪用されるのではないかという不安も聞きますが、現状でも、ほとんどの人はパスワードを1種類しか使っていません。また、パスワードを忘れるとメール送信してくれるサイトが多いですが、これはメールアカウントを用いた事実上のシングルサインオンと考えられます。

――すでに多数のIDとパスワードを管理するというモデルは運用として破綻しているということですね。

リコードン氏 ええ、そうです。OpenIDを使ってID情報を集中管理できるようになると、ユーザーは、自分で状況をよりよく把握できるというメリットがあります。どういうID情報がどのサービスで共有されていて、いま自分は、どんなサービスにログインしているのか、コラボツールで誰が何をやろうとしているのか、といったことが一目で分かりますから。

 認証ベンダが提供するワンタイムパスワードなどの、より高度な認証技術と組み合わせることで、利用中のすべてのサービスで高いセキュリティが得られることになります。

――すると、OpenIDを複数持つメリットがないとすれば、今後、OpenIDプロバイダは、ID管理を専門に行うような企業に集約されていくということでしょうか?

リコードン氏 OpenIDではIDを1つにまとめなければいけないということはありません。ちょうどメールアドレスのようなものです。メールアドレスは、個人のアドレス、組織のアドレス、ケータイのアドレスなどとありますよね。

 OpenIDプロバイダは3種類ぐらいになると思います。1つはリッチな個人情報まで含めて管理する高度なサービスです。現在、OpenIDでは、住所や氏名、連絡先といったコンタクト情報をユーザーの意思に基づいて、OpenIDプロバイダから利用サイトに受け渡すプロトコル「Simple Registration Extension 1.0」が規定されていますが、こうした機能を使うには高度なOpenIDプロバイダのサービスを選択することになるでしょう。

 高度なOpenIDプロバイダサービスは、ECサイトの利用などに使われるものになると思います。

 2つ目は、ブログやコミュニティサイトが発行するIDです。こうしたサイトでは、あまりリッチな個人情報を登録する必要はありません。個人的な活動のためのアイデンティティを使い分けたいというニーズもあるかもしれません。

 3つ目は、Twitterに代表されるような、よりライトなサービスです。認証に求められるのは、「この人はTwitterのアカウントを所有している」という情報だけです。

――有償サービスと無償サービスに分かれていく?

リコードン氏 電子メールが使われ出した当初、誰もメールがビジネスになるとは思っていませんでしたよね。OpenIDも似ていると思います。

 メールサービスに、さまざまな種類や使われ方があるように、OpenIDにも、使う人によってさまざまな使われ方が出てくると思います。メールは、機能やプロトコルは同一ですが国や企業によって運用方法が違います。OpenIDも国によって受容の仕方が異なってくるでしょう。

 先ほどOpenIDプロバイダの信頼性という話がありましたが、メールのスパム同様に、ブラックリスト/ホワイトリストのようなものを作っていくことになるのではないかと思います。

OpenIDをベースに評判システムを構築するのは容易

――今後のOpenIDの機能拡張について教えてください。

リコードン氏 次期バージョンのOpenID 2.0は、現在開発者向けドラフトの段階で、すでに盛り込まれる機能はフィックスされています。2.0ではURIのほかに拡張されたURIである「XRI」も使えます。

 OpenIDはシンプルな認証機能だけを提供します。OpenIDは、それを使うことによって多様なアプリケーションが実現できるという「イネーブリング・テクノロジー」です。例えばアクセスコントロールのような機能はOpenIDを拡張して実現するものではなく、OpenIDの利用サイト側で容易に実現できる“アプリケーション”です。

 個人的にあるといいなと思っているアプリケーションがいくつかあります。

 1つは新規にSNSに登録した際に、つながりのある友人を、そのまま引き入れられる、あるいは招待状を送れるような仕組みです。

 もう1つは固有のOpenIDごとに評価が与えられるような評判システムです。今のOpenIDだけでも過去の履歴がついて回ります。例えば、「自分はWikipediaでこれだけの編集実績がある」ということも、ほかのサイトに新規登録した場合でも同一人物ということで分かります。こうした過去の行動や周囲からの評価といったものを数値化することができるでしょう。

――Slashdot.orgのようなサイトでは「カルマ」という評判システムがありますね。おかしなコメントを書くと評価が下がります。それと似たようなものですか?

リコードン氏 具体的なアプリケーションを考えるのは私の役目ではありません(笑)。スマートな人たちが解決策を考えてビジネスに結び付けてもらえればなと思います。Slashdotでは閉じたシステムですが、OpenIDを使ったものはサイト横断的に使えるようなものになるでしょうね。

 評判システムや、友人や知人といった関係性を機械的に判定できる仕組みがあれば、ブログのコメントスパムや、アクセスコントロールといった面で、絶大な効果が得られると思います。それは、OpenIDを使って容易に実現できます。

 友人関係の判定であれば、異なるサービスのユーザーであっても、「友だちの友だち」はOpenIDの仕組みを使って判定できるのではないかと思います。

――日本では、匿名の陰に隠れて極端に人を貶めるユーザーの存在が問題となっています。こうした評判システムは、うまく動けば、不当な誹謗に対する抑止力になるのではないかと期待します。

リコードン氏 ええ、私もそうなるといいと思います。



(@IT 西村賢)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -