Digital Identity Standards and their Goals

Nat Sakimura, Chairman, OpenID Foundation

@_nat | www.sakimura.org

Do we have a round wheel yet?

デジタル・アイデンティティの標準化動向とそのゴール米国 OpenID 財団理事長ナット・サキムラ@_nat | www.sakimura.org

車輪は丸くなったか？

なぜ人は車輪の再発明をするのか？

本日の登場人物Ian GlazerSenior Director, IdentitySalesforce Identity@iglazer今年の３月まで、ガートナーのアナリストだった。今日の話のあらすじを作った人。ラーメン LOVE 元米国大統領サイバーセキュリティ特別補佐官ハワード・ A.シュミットエクスジェン・ネットワークス 株式会社代表取締役　江川 淳一 氏

謎の外タレ？何億人もが使っている標準を色々書いているらしい。ラーメン LOVE

デジタル・アイデンティティの標準化分野

認証（ Authentication)

認可 (Authorization)

属性 (Attributes)

プロビジョニング (Provisioning)

Real Name

Professionalqualification

department

Geo-location

Employee number

Entity IdentityResource

Authentication PEP

PDP

PAP

Boss Metadata

Log Log

ApplicationAccounts

Account Provisioning

e.g., OpenID/SAML

e.g., SCIM / SPML

認証

認可

プロビジョニング

属性

© 2013 by Nat Sakimura. All rights reserved.

認証 (Authentication)

© 2013 by Nat Sakimura. All rights reserved.

Q認証の標準プロトコルは？

認証プロトコルは、十分成熟している。最近の Web サービスが要求する REST+Web API 環境では、 OpenID Connect を使うのが良い。OpenID Connect は、まだ、プロファイルなどを開発中だが、十分使える。もしそれでダメなら SAMLを使えば良い。

今すぐ使え。すぐ使え。日本じゃまさか、パスワード共有なんかしてないよね。

え、mjdsk ？

デファクト＝パスワード共有

じゃないんですか？

パスワード共有なんかしてない？！本当に？！

2 種類のパスワード共有

サイトA

サイトB

サイトC

alice@example.comp@$$w0Rd

alice@example.comp@$$w0Rd

alice@example.comp@$$w0Rd

サイトA

サイトB

サイトC

alice@example.comp@$$w0Rd

インターネット規模でこうなる？？？

2 種類のパスワード共有

サイトA

サイトB

サイトC

alice@example.comp@$$w0Rdalice@example.com

p@$$w0Rd

2 種類のパスワード共有

サイトA

サイトB

サイトC

alice@example.comp@$$w0Rdalice@example.com

p@$$w0Rd

だめじゃん

サイトごとに異なるパスワード？サイト

A

サイトB

サイトC

alice@example.comp@$$w0Rd1

alice@example.comp@$$w0Rd2

alice@example.comp@$$w0Rd3

人間は何個パスワードを覚えられるのか？

パスワード金庫で万事解決？！

サイトA

サイトB

サイトC

alice@example.comp@$$w0Rd1

alice@example.comp@$$w0Rd2

alice@example.comp@$$w0Rd3

パスワード変更とかどうするの？

サイトごとにトークン発行すれば、パスワード覚えなくて良いじゃん！

今現在、４００個以上パスワードあるんですけど…

TokenInside

いやいや、スマホアプリで OTP!

400 個アプリ入れるんすか？

無いわ～

© 2013 by Nat Sakimura. All rights reserved.

?どうしてみんな、そんなにユーザのことを無視するの？

© 2013 by Nat Sakimura. All rights reserved.

セキュリティの専門家って、人の能力の限界とか、行動特性を考えない人が多くて困る。

元米国大統領サイバーセキュリティ特別補佐官ハワード・ A. シュミット

© 2013 by Nat Sakimura. All rights reserved.

?どうして SSO しないの？

… だって、安いんだもの… だって、ニーズが無いんだもの

by サービス・プロバイダ

© 2013 by Nat Sakimura. All rights reserved.

パスワードベースのシステムを作るのは、公害垂れ流しの工場を作るのと一緒なん

だよね。安く作れるような気がするけど、それは他人にコストを押し

付けてるだけ。

© 2013 by Nat Sakimura. All rights reserved.

みんな自主的にやらないんだったら、パスワード税をかけるか、パスワード総量規制をかけるかが、外部性制御の定石だな。

© 2013 by Nat Sakimura. All rights reserved.

そんな規制が来る前に…

© 2013 by Nat Sakimura. All rights reserved.

みなで、サービス・プロバイダに要求し

よう！

© 2013 by Nat Sakimura. All rights reserved.

今すぐ使え。すぐ使え。

© 2013 by Nat Sakimura. All rights reserved.

認可 (Authorization)

© 2013 by Nat Sakimura. All rights reserved.

車輪に例えると、数度の再発明を経て、認証は十分丸い、よく転がる車輪になっ

たんだよね。

© 2013 by Nat Sakimura. All rights reserved.

これに対して、認可に使われる XACML は

…

© 2013 by Nat Sakimura. All rights reserved. 詰め込みすぎで、パンクした状態。

© 2013 by Nat Sakimura. All rights reserved.

単純化と、REST+JSON

化が必要だね。

© 2013 by Nat Sakimura. All rights reserved.

その意味で、OAuth は良いのだけどね。特に、認可決定の伝達という意味では。

© 2013 by Nat Sakimura. All rights reserved.

でも、その認可内容を表すScope は標準化されてない

しね。

© 2013 by Nat Sakimura. All rights reserved.

そこのところは UMA が役に立つんだろうけど、まだ標準化には時間がかかるよ

ね。

© 2013 by Nat Sakimura. All rights reserved.

属性 (Attributes)

© 2013 by Nat Sakimura. All rights reserved.

属性は、認可決定・アクセス許可のためのキーファ

クターだね。たとえば、どこからアクセスしてきているかとか、と

ても重要。おさらいすると…

© 2013 by Nat Sakimura. All rights reserved.

Real Nam

eProfessionalqualification

department

Geo-location

Employee number

Entity IdentityResource

Authentication PEP

PDP

PAP

Boss Metadata

Log Log

ApplicationAccounts

Account Provisioning

e.g., OpenID/SAML

e.g., SCIM / SPML

認証

認可

プロビジョニング

属性

© 2013 by Nat Sakimura. All rights reserved.

でも、その属性スキーマの決定版って、無いん

だよね。決まってるのは、“name”:”value” ペアをつか

うということくらい * 。

* Graph API も、 OpenID Connect UserInfo も、 SCIM もそうしている。

© 2013 by Nat Sakimura. All rights reserved.

SCIM は、エンタープライズでもコンシューマでも使えるから、これを中心に考えて行くんだろ

うね。

© 2013 by Nat Sakimura. All rights reserved.

OpenID Connect も、 SCIM が

キャッチアップしてくること前提で、あえて細かいスキーマは決めな

かったんだよね。

© 2013 by Nat Sakimura. All rights reserved.

プロビジョニング (Provisioning)

© 2013 by Nat Sakimura. All rights reserved.

　　　　 v.2は、

ちっとも丸くない車輪だね。

© 2013 by Nat Sakimura. All rights reserved.

DSML は丸かったけど、今更役に立た

ないね。

© 2013 by Nat Sakimura. All rights reserved.

やっぱ、デファクトは独自 CSV で

しょ。

© 2013 by Nat Sakimura. All rights reserved.

それじゃ、自動でつながらないでしょ！

© 2013 by Nat Sakimura. All rights reserved.

やっぱ、かね。 Salesforce も Oracle もサポートしてるしね。みんなサポートしようね！まだ、時間かかるけどね。

© 2013 by Nat Sakimura. All rights reserved.

みなで、 SCIM サポートを要求しないと、認証の二の舞いになるから、今から要求してい

こうね。

© 2013 by Nat Sakimura. All rights reserved.

将来に向けて…

© 2013 by Nat Sakimura. All rights reserved.

今、デジタル・アイデンティティを取り巻く環境は激変しているね。従来型のエンタープライズ ID 管理が

© 2013 by Nat Sakimura. All rights reserved.

だったのに対して、

© 2013 by Nat Sakimura. All rights reserved.

非常に多数の人が

© 2013 by Nat Sakimura. All rights reserved.

Reports to

Reports toReports to

Works with

お互いに関係性を持ち

© 2013 by Nat Sakimura. All rights reserved.

250 億とも( ガートナー推計）

© 2013 by Nat Sakimura. All rights reserved.

500 億ともいわれる

( シスコ推計）

© 2013 by Nat Sakimura. All rights reserved.

© 2013 by Nat Sakimura. All rights reserved.

非常にたくさんのモノとの

© 2013 by Nat Sakimura. All rights reserved.

Reports to

Reports toReports to

Owns

Owns

Owns

Sends data to

Gets data from

Owns

Paired with

Uses

Controls

Owns

Uses

UsesConstrains choice of

Sends data to

Ridden in

Ridden in

Works with

関係性を持っていく

© 2013 by Nat Sakimura. All rights reserved.

そういう時代がすぐそこまで来てるね。

エクスペリエンスの創生。

IRM* とも言うね。

*IRM – Identity Relationship Management

© 2013 by Nat Sakimura. All rights reserved.

だね。一方では、そうしたもののセキュリティとプライバシーをちゃんとやっていくことの重要性も訴えていかないとね。

© 2013 by Nat Sakimura. All rights reserved.

たとえば、電力供給が 99.5% なんて

ときに、「せーの」でインターネット家電をリ

モート ON にされたりしたら、一斉停電になる。

安全保証問題だね。

© 2013 by Nat Sakimura. All rights reserved.

IoT屋さんには、そのあたり気にしていない人が多くて、 National Critical Infrastructure の保護の観点からすごく気になってる。

元米国大統領サイバーセキュリティ特別補佐官ハワード・ A. シュミット

© 2013 by Nat Sakimura. All rights reserved.

組込み機器とかで使いやすい、省電力な認証・認可の開発は急務だね。あと、アップデートされないコンピュータ問題も大きいね。ハートブリードだって未だに…。これがIoT で拡大すると…。

© 2013 by Nat Sakimura. All rights reserved.

標準を作るだけで満足しちゃいけないね。それを使って、何をするかが問題だね。

今、われわれのレベルで出来るのは…

© 2013 by Nat Sakimura. All rights reserved.

1. 標準の採用

© 2013 by Nat Sakimura. All rights reserved.

標準を使わないということは、車輪の再発明をしてるはずだからね。もし、現在の標準が間尺に合わないなら、ユースケースを標準化団体に提出して「標準化」すれば良い。

© 2013 by Nat Sakimura. All rights reserved.

大阪では、来週も経産省主催の関連シンポジウムがあるね。

そういうところに行って勉強するところからスタートするのも良いね。

© 2013 by Nat Sakimura. All rights reserved.

詳細： http://www.jipdec.or.jp/event/20140926_trustframework.html

© 2013 by Nat Sakimura. All rights reserved.

2. 他の人が採用するのを助ける

© 2013 by Nat Sakimura. All rights reserved.

OpenID と SAMLを使う SDK つくって、 SCIM やOAuth のオープンソース実装作って、まず自社の開発者を助けなさい。そして、コミュニティを助けなさい。

© 2013 by Nat Sakimura. All rights reserved.

3. 標準の採用を要求する

© 2013 by Nat Sakimura. All rights reserved.

技術提供社にサービス・プロバイダに自社の開発者に

標準の採用を要求しなさい。

© 2013 by Nat Sakimura. All rights reserved.

丸い車輪≠

ゴール

© 2013 by Nat Sakimura. All rights reserved.

© 2013 by Nat Sakimura. All rights reserved.

Follow: @_nathttp://www.sakimura.org/

Thanks!