ICT用語ガイド

GUIDE 030 OpenID

～サイトを越えて使用できる「認証システム」～

2008年08月25日公開

パート2　【インタビュー】OpenIDが目指す未来

「OpenID」の普及に向けた取り組み

野村総合研究所　上級研究員崎村夏彦氏

日本国内におけるOpenID技術の普及促進を目指し設立された「OpenIDファウンデーション・ジャパン」の発起人代表・野村総研の崎村氏にお話を伺ってみました。

「OpenIDファウンデーション・ジャパン」（以下OIDFジャパン）は、普及のための国内団体とのことですが、具体的にはどのような活動をされているのでしょうか？

崎村　シックス・アパート、日本ベリサイン、そして野村総合研究所の3社が準備事務局となり、団体設立に向けて'08年2月から米OpenID Foundationとの調整を行っています。日本でもここ数ヶ月で、様々なサイトやサービスでOpenIDへの対応が進んできていますが、OpenID普及をより強力にサポートしていく団体になれればと思っています。

今後、普及のためのアクションとしては、どのようなことを考えていますか？

崎村　OIDFジャパンには、大きく分けて3つの使命があると考えています。 1つは、OpenIDを日本で普及させるために、正しい情報や知識をリアルタイムで提供していくこと。 2つめは、重要なドキュメンテーションを日本語化していくこと。 3つめが米国での利用をベースに捉えて構築されてきたOpenIDを、日本のルールや風土、ニーズに合う形にしていくことです。

現状、日本では「OpenID」を正しく理解されていない面があるとお考えなのでしょうか？

崎村　日本国内に普及団体がない状態では、やはり断片的な情報しか出てこなかった面がありました。また、多くの情報ソースは英語ですから、きちんと日本語化された情報が少なかったり、あっても内容が古いものだったりしました。例えば「OpenIDにはこういう技術的問題点、セキュリティホールがある」という指摘がWeb上でされていたりするのですが、それらの多くは「OpenID 1.1」のころのものであり、「OpenID 2.0」では解決済みであったりもしました。誤解や理解不足を埋めていく作業は、普及のためにやはり必要ですね。

平均20個のIDを持つ日本人だが、覚えられるのは2 3個のみという現実

とはいえ、ID管理の場合、どうしてもセキュリティの問題が気にかかります。

崎村　野村総合研究所が2007年9月に調査した結果では、日本人は今、平均20個のアクセスアカウント、いわゆるIDを持っていると言われています。けれども、同調査でもう1つ明らかになったのは、本人が記憶しておけるアカウントは2つか、せいぜい3つということ。私自身もそうですが、記号とアルファベットと数字の組み合わせを、人間そうそうたくさん記憶できるものではありませんよね。そこで気になるのが、同じようなIDやパスワードを複数のサービスで使っている実態もあるということ。これは危険です。

覚えきれないから、同じ、あるいは似たようなIDをあちこちで使う。これはたしかに危険ですね。

崎村　シングル・サインオンでも、OpenIDでも、必ず指摘されるのが「1つのIDでいろいろ利用できるのは便利でいいが、それを第三者に知られたら……」という問題。ところが、セキュリティは一番弱いところから破られるということと、防御しなければならないポイントが多くなるということを鑑みると、同じユーザ名／パスワードをあちこちに入力している現状の方が危険なんですね。それくらいだったら、しっかりとしたプロバイダに任せてIDの安全性を確保させるほうがまだ安心だろうというわけです。

IDは“水”。付き合い方をユーザーも考えてほしい

サービス提供側がよりセキュアな技術を取り入れていくにしても、一方でユーザーが判断すべき事柄もある、と？

崎村　私たちは実際にオンラインサービスを提供している皆さんとともに、技術や仕組みの進化を考え、推し進めています。同時に、日本の法制に合う形でのOpenIDのあり方も検討しています。とはいえ、まだパーフェクトとはいえません。私はIDとは“水”なんだと思うんです。常になくてはならないし、見違えるほど美味しくなくても、より安心なものが求められる。 IDについても適切なレベルのプラグマティズム（実際主義）によって、利用を考えるべき面も出てくると思います。皆さんに伝えたいのは、まだ日本では本格的にOpenIDのフルサービスを提供しているプロバイダはない、ということ。現状は、水をそのまま出しているのに近いので、ありがたみも少ないかもしれません。しかし、水を使って新たな製品なりサービスなりをつくると、ぐっとありがたみが増します。 OpenIDも、近々登場してくる「OpenIDを使った」サービスのラインナップを見て、判断をしてもらえると嬉しいですね。

今後の展望を教えてください。

崎村　先に申し上げた日本版フルサービスの内容面の進化によって、OpenIDを使ったサービスはまだまだ発展する可能性を持っているということ。さらにはSAML（※1）やInformation Card（※2）など、他の認証関連技術とのハーモナイズなどにより、今以上に便利で安全で安心できる形が見えてきそうだということ。これを理解していただき、期待してほしいと思います。

※1：IDやパスワードなどの認証情報を安全に交換するためのXML仕様。: SAMLを用いることで、一度の認証で複数のWebサイトやサービスが利用できるシングルサインオンを実現できる。 WebサイトがSAMLに対応していれば、別のサイトへ移動したときに、移動元のサイトと移動先のサイトがSAMLプロトコルで通信し、自動的に認証情報が引き継がれる。
※2：マイクロソフトが構築するWindows CardSpaceで使われるユーザー認証情報を指す。 Windows CardSpaceとは、Web サイトや Web サービスで利用できる新しいユーザー認証の仕組み。この仕組みを利用することで、ユーザーID とパスワードを入力する代わりに、インフォメーションカードを選ぶだけで安全にWebサイトにアクセスできる。