Liberty Alliance Day 2008レポート

ID管理は電話の歴史を繰り返さない、リバティ

2008/11/07

 「われわれは電話のときと同じ歴史を繰り返そうとしている」。アイデンティティ管理の現状を、こう例えるのは11月7日に開催した「Liberty Alliance Day 2008」で基調講演を行った業界団体リバティ・アライアンスのバイス・プレジデント、ロジャー・K・サリバン(Roger K. Sullivan)氏だ。業務システムやオンラインサービス提供のインフラであるアイデンティティ管理は、ネットワーク時代のITが提供する利便性の根幹にある。その一方で困難な課題が数多く出てきている。

 サリバン氏が電話の歴史を引き合いに出す理由は、相互接続(相互運用)の複雑化と、想定外の問題の顕在化が、電話の登場時と似ているからだという。

liberty01.jpg リバティ・アライアンスのバイス・プレジデント、ロジャー・K・サリバン氏

 サリバン氏は、電話が発明されたばかりのころ歴史を振り返ると、こんなことがあったのではないかと指摘する。「製造業を営むスミス氏は電話というのは素晴らしいアイデアだと思って導入する。工場に直接電話で指示できるからだ。ところが、ご存じのように電話は実は双方向。スミス氏は逆に工場のマネージャーたちから次々と問題の報告を受け、さらに顧客からも電話を受け、結局電話はありがたくないものになった」。

 社内外に向けてネットワークでサービスを行う企業は、社員に対してダイレクトに指示が出せる代わりに、社員たちは逆に多くの情報にアクセスできるようになる。それが情報漏えいの危険性を高めている。パートナー企業や顧客とのネット上のコンタクトや情報交換は容易になったが、オープンなネットワークの世界では、なりすましやプライバシーの問題、情報漏えいの問題が次々に起こっている。また、より使いやすいサービスを求める顧客やパートナーのニーズに応えるために、多くの技術的チャレンジが生まれている。ユーザー認証のフレームワークだけを見てもOpenID、SAML、CardSpaceと大きく3つの“標準”が存在し、相互運用や使い分けまで考えるときわめて状況が複雑になっているからだ。

“ハーモナイゼーション”が鍵

 こうした状況を改善する鍵としてサリバン氏をはじめとする関係者が異口同音に指摘するキーワードが、異なるフレームワーク同士の“ハーモナイゼーション”(調和)だ。

 OpenID、SAML、CardSpaceの3つは、「それぞれ異なる背景から登場している」(サリバン氏)。目指してきたものも異なる。OpenIDはブログやWebサービスでSSO(シングル・サイン・オン)環境を提供するとともに、分散アーキテクチャとすることでアイデンティティ管理の主導権をユーザーの手に戻すという消費者視点のニーズから出てきた。OASIS標準のSAMLは高度なセキュリティが要求される企業や政府関連の認証に使われる。CardSpaceはデスクトップ向けに扱いやすいアイデンティティ管理の概念モデルと仕組みを提供する。

 サリバン氏は、これらは相互補完の関係にあるという。「例えば政府や自治体のWebサイトで調べ物をしたいときには匿名性が高いままでログインして情報を引き出したいのでOpenIDがいいかもしれません。でも、OpenIDを使ってオンラインバンキングをしたいとは思いません」。

 「誰が」認証するかは重要だ。OpenIDは誰でも発行者になれるため、現状では1つのIDにひも付いたアイデンティティの一貫性が保証されるだけで、社会インフラとして使える信頼性はない。これに対して、リバティ・アライアンスはアイデンティティの信頼性を4段階に分けて保証するフレームワーク「Liberty Identity Assurance Framework」(IAF)を規定している。組織間やWebサイト間で認証のフレームワークを相互に利用する際に、要求する信頼度を指定できる。

 OpenID関係者とSAML(リバティ)関係者が協力し、両者の連携を強めていくことで、状況によってIDや認証フレームワークを使い分けられる仕組みを作っていけるだろうという。例えば医療情報を管理する事業者にOpenIDでログインし、その後に各病院にカルテなど個人情報を送るときにID-WSFを使うことで本人の同意を得る仕組みが実現できる。

 リバティ・アライアンスは、こうした連携を進めるために「コンコーディア・プロジェクト」を立ち上げている。具体的な連携のアイデアや話し合いはまだ始まったばかりだが、「目に見えるものではないが、関係者相互の信頼関係を築けたことは大きい」(サリバン氏)という。

 コンコーディアとは別に、「ID-TBD」(ID to be determined)という仮称が付けられたグループが立ち上がりつつあるという。金融、通信、ITの大手企業をはじめ、Data Portability ProjectやOpen ID JapanなどWeb関連のグループが初期メンバーとして参加するオープンな“フォーラム”だという。これまで個別に活動し、場合によっては仕様的にオーバーラップしたり、相容れない方向へ向かったりすることがあったものが合意に基づく話し合いの場が形成されつつあることで緩和されることになるのだという。

 サリバン氏は2年前のコンコーディアの初会合でボーイングの担当者を見つけて驚いたという。サリバン氏が「大型旅客機を設計・製造しようという巨大なチェーンの中で、いったいOpenIDがどう関係するのですか」と尋ねたところ、ボーイングの担当者はこう答えたという。「ボーイング777はインターネットを使って設計・製造した。世界中に散らばった人々が部品を作った。しかし、10年前に企業間をつなぐのにインターネットを使うなど、セキュリティ上あり得ない話だった。同様に、5年後、10年後にOpenIDを使って何ができるかを探っていかないといけない。顧客やパートナーがそれを求めている」。

(@IT 西村賢)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH