OpenID Summit Tokyo 2020が2020年1月24日に開催された。私は残念ながら参加できなかったが、公開された資料の中から興味のあるものを読み込んで、簡単に要点を整理した。

The Future of Identity

• パスワード認証（エンタープライズ環境）
  • エンタープライズSSOが主流となり、Password Vault（パスワード管理システム）はPrivileged Account Managerを除いて不要となるだろう。
• パスワード認証（コンシューマ環境）
  • パスワードマネージャーにはユーザビリティの課題があり、Social Sign-Onにはプライバシーの課題があるため、OSが提供するSoftware Tokenを利用したWeb Authnが主流となるだろう。
• ID連携プロトコル
  • SAMLはレガシーなシステムで使われ続けるであろうが、OpenID ConnectとSCIMが標準となり、インフラの一部となるだろう。
• アクティブクライアント
  • モバイルOSがログイン・決済の管理やパーソナルアシスタントとしてユーザーに代行して動くアクティブクライアントになるだろう。将来的にはユーザー間の繋がりの提案やユーザー行動の監視による異常検知、ユーザー行動の助言も行うようになるかもしれない。
• その他
  • 量子コンピュータの登場によりPKIでは新しい鍵交換メカニズムが必要となる。
  • インターネットのバルカニゼーションによりIDが分断され、デジタル国家の境界となる。

Personal Digital Transformation and Holistic Digital Identity

• Identityの専門家はPersonal Digital Transformation (PDT) による新しい要求を認識できていなかった。
  • デジタルサービスの種類やユーザーのサービス利用時間の増加、様々なデバイスの登場
  • プライバシー保護に関する要求高まり
  • デバイスやサービスプロバイダの変更、年齢を重ねることによる記憶力の低下、デジタル資産の相続といった、長期間の利用によって生じる問題
• これらの変化はゆっくりと進んだために、変化を感じ取ることができなかった。
• PDTにより物理世界でできているIdentityの扱いがデジタル世界でも求められるようになる。
  • ユーザーが記憶したパスワードを入力して行うアクセス制御は最も原始的な方法である。
• IdentityはSelfness（自己の同一性、独立性）とWhoness（他と区別する特徴）に分解できる。
• 従来のIDベースのサービスは基本的なWhonessの提供であり、それぞれには以下の技術が対応する。
  • Whoness：OIDC Aggregated and Distributed Claims、DIDs、OpenID SIOP
  • Selfness：認証器・ウォレットアプリ、IDF Hub、Hyperledger Ariesエージェント

Enabling Large-Scale Multi-Party Federations with OpenID Connect

• 研究・教育分野では多くの大規模なIDフェデレーションが行われているが、ほとんどはShibbolethで構築したSAML2で行われている。
• OpenID Research and Education Working Groupでは研究・教育分野での利用を検討していて、Shibbolethプラグインも一部の機関で登場してきている。
• SAMLの反省点を踏まえ、スケーラブルなフェデレーションを実現するため、OpenID Connect Federationの策定が進んでいる。
  • SAMLではフェデレーション運用者が全ての参加組織のメタデータを管理する必要があるが、OIDCFでは階層的なTrust Chain構築によりこれを不要としている。

次世代 IDaaS のポイントは本人確認

• Identity is the new perimeter
  • サイバー攻撃やデータの不正利用・窃盗リスクの影響が大きくなっている。一方で クラウドサービスやBYODなどIT環境の激しい変化もある。
  • これに対応するにはゼロトラストモデルに従い、従来のネットワーク型セキュリティをアイデンティティ型セキュリティに変えていく必要がある。
• Idenrity Management for Enterprise
  • 社員の入社・異動・退職に対して迅速なID・アクセス権管理が求められる。
  • IDaaS選定にあたっては、SaaS連携機能（プロビジョニング・フェデレーション）、ID管理機能（オンプレ連携）、セキュリティ監視サービスがポイントとなる。
• 新たな要件の発生
  • 米国国防省は取引先企業に下請け企業含めたサプライチェーン全体においてNIST SP800-171（IDにかかわる要件が33件含まれる）への準拠を求めた。
  • 各組織で身元保証してフェデレーション連携するにも、管理・身元保証する組織がないみなしごIDが発生するため、これらを管理する機能が必要となる。
    • 例えば、中小企業ではフェデレーションに対応した認証基盤を持っていないことがある。
  • Proofing（本人確認）、Provisioning、Federation、FIDOが次世代IDaaSの要素技術となる。

OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装

• bitkey社のプラットフォームのアーキテクチャについて解説されている。
• 各社のサービスや製品をつなげるために3層構造のシステムアーキテクチャとしている。
  • データ保持層：ヒストリカルデータ保持（ブロックチェーンを活用）、大容量データ・個人情報保持
  • トランザクション層：ID、権利、取引、実行鍵の管理を自立分散システムで実現
  • サービス層：自社・他社のサービス・製品
• 4つのKey Technology
  • ID Access Controller：アクションごとに必要な認証強度の管理
  • ID Converter：IDaaSとして各サービスのID連携を行う
  • Personal Data Protector：個人情報保護とユーザーへの同意確認
  • Rights Deal & Key Gen：ID間での権利の認可と鍵生成

OpenID Connectとネイティブアプリを取り巻く仕様と動向

• Yahoo! JAPANのネイティブアプリでのシングルサインオン（SSO）
  • ネイティブアプリのログインをシステムブラウザを利用してOpenID Connectで行う場合、ユーザーが普段プライベートモードや別のブラウザアプリを使っていると、ブラウザのログインセッションを活用したSSOができない。
  • これを解決するため、Yahoo! JAPANでは同一ベンダーのアプリのみからアクセスできる共有ストレージを利用して、アプリ間でログインセッションを共有する仕組みを実装している。
    • この仕組みは1タップログイン（2013年～、月間431万回）もしくは0タップログイン（2014年～、月間909万回）として提供している。
• Open ID Connect Native SSO for Mobile Apps
  • Open ID Connect Native SSO for Mobile Apps（2019年7月にdraft 03公開）の策定が進められている。
  • 仕組みはYahoo! JAPANの1タップ・0タップログインと基本的には同じ。
    • 同一ベンダーのアプリのみアクセス可能な共有ストレージにIDトークンとデバイスに対して発行されたクレデンシャルであるdevice_secretを保存して、アプリ間で共有する。
  • SSOの概フローは以下の通り。
    • アプリ1はAuthorization Endpointへのリクエストで、scopeパラメータにdevice_ssoを指定する。
    • アプリ1へのToken Endpoitのレスポンスで、IDトークンと一緒にdevice_token (device_secret) が返却される。
      • IDトークンのds_hashクレームにdevice_secretの紐づけ情報（ハッシュ値など）が格納される。
      • IDトークンのsidクレームにSSOセッションIDが格納される。
    • アプリ2は共有ストレージから取得したIDトークンとdevice_secretをToken Exchange RequestとしてToken Endpointに渡す。
    • アプリ2へのToken Endpointのレスポンスで、アクセストークン、リフレッシュトークン、IDトークンが返却される。
      • リフレッシュトークンはSSOセッションが無効になったタイミングで無効になる。

B2C企業向けクラウドID基盤「 SELMID 」のご紹介

• パスワード利用の限界や顧客属性の保証（本人確認による情報の正確性担保など）ニーズの高まりを受けて、IDaaS製品であるSELMIDの提供と導入支援をしている。

  • SELMIDはMicrosoft Azure AD B2Cを基盤として追加機能を自社開発しているとのこと。

• 主な提供機能

  • SNSログイン（LINEなどの国内SNSにも対応）
  • 既存の組織ID基盤との連携
  • キャリアAPIや公的証明書での本人確認
  • Capy（リスクベース認証サービス）と連携したリスク判定
  • LINE、FacebookなどのSNSへのプッシュ通知
  • メールシステムとの連携
  • チャットボットとの連携（LINE経由での問い合わせへの自動応答）

OpenID Connectを活用したgBizID（法人共通認証基盤）の現状と今後の展望

• 経済産業省では行政手続きのデジタル化とデータ活用のためのプラットフォーム構築を進めている。
  • 法人版マイナンバーである法人番号を活用し、1つのIDで複数の行政サービスにアクセスするための認証基盤「GビズID（法人認証基盤）」を2019年2月にリリースした。（個人事業主も利用可能）
• GビスIDは「NIST SP 800-63-3」や「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」との整合をとり、以下の2系統で提供される。
  • gBizIDエントリー：オンラインで発行可能。ID・パスワードによる単要素認証。
  • gBizIDプライム：発行には印鑑証明証などの法人確認手続きが必要。所有物による二要素認証。従業員用のgBizメンバーIDを発行可能。
• GビズIDの認証機能
  • OpenID Connect Authorization Code Flowに準拠する。
  • パスワードポリシーは8文字以上（NGワードあり）とシンプルで、複数文字種や定期的な変更は求めない。
  • パスワードロック、Cookieベースの端末管理によるログインアラートにも対応
  • 所有物認証にはスマホアプリ（ボタン押下・指紋認証・顔認証）もしくはSMSで送信するワンタイムパスワード入力のいずれかを利用する。