久しぶりの渋谷へ、会員企業枠で拝聴しに行ってきた。
仕事では toB SaaS に携わっていますが、認証認可には主に認可の RP 側として toC な認可 IdP(LINE, Google, Yahoo! JAPAN, Facebook, Twitter, など)に接しています。それゆえに、普段はすでにスタンダードになった(IdP に実用されている)仕様に触れるばかりです。
聞いてきた話は、記事タイトルがすべてなんですが、第四次産業革命の現在進行系の "サイバースペース"(インターネット。我々の新たな生活空間)のなかで人やモノを認識するのが Degital Identity であり、サイバースペース上で「私は私である」という Identity をどう実現するかというノンフィクションの SF めいたお話なのでした。
前日に『ホンダ イノベーション魂!』を聞いた影響で「イノベーションの話だぁ」と思いながら聞いてました。
ディベロッパー*1二人で参加したため、午後に並行されていたセッションは技術メインの Breakout room 側ばっかり聞いてましたが、(弊社の話ですけど)経営やビジネス側のひとも参加して Grand hall の内容も聞いておくとよかったのではないかと思いました。
どこ見ても情報がわからない OpenID と OAuth のかわいいキャラクター2人。キャラ紹介ページとか無いんですかね。ググっても全然見つからない*2。普段はメイド服ですが、今回は1月らしく着物で登場(ロゴのみ)。かわいい。
§
以下、雑なメモ。書き上げるのに2日使ってしまった…私の解釈が存分に混ざってるので詳しくは公開資料(公開されるよね…?)をご確認ください。
午前
開会〜Keynote 1, 2, 3
資料
公開されたら貼る。
OpenID Summit Tokyo は 4 〜 5 年間隔での開催。
前回 2015 年には OpenID Connect 仕様が(前年 2014 年に策定)話題になり、今年はすでにあらゆる認可システムで標準的に活用されている。
§
この5年で消えてほしいと願われていた "パスワード" はまだ使われているが、モバイルデバイスが認証器(Authenticator)となり、ブラウザで WebAuthn が標準化されたことで技術的に状況が変わる下地ができた。
パスワードマネージャーを使っているインターネットユーザは、管理アプリで 2%、ブラウザ標準機能で 3%。2016 年情報。思ってるより少ない。
今後 5〜10 年であらためてパスワードに変化が起こるだろう。パスワードはレガシーになっていく。
SAML はレガシーだが、しぶとく生き残っている( "ずっと死に続けている" と言われていて、その後の発表でもイジられまくってた)。
このまま 5 年は生き残る。エンタープライズが OIDC に乗り換えるのは難しいので「死んだまま安定して」しばらく続く。
モバイル OS と WebAuthn によるサインインは "Magic" のように便利に感じられ、一般に広まるだろう。ただしモバイル OS の事情は政府の規制などに左右されるものである。
パスワードの変化が一般に広まるにはモバイル OS が対応するというのが一番効果的。それ以外が頑張っても難しい。
§
インターネットのバルカニゼーション(Balkanization)。分割されたインターネットには分割された Identity が存在する。
アカウントマネジメントは Identity マネジメントへ。ソーシャルサインオンはソーシャルサインオン++へ。
Identity を検証するための「カウンセラー」という概念を登場させる(RP, IdP の間に入るイメージ?)
保存されたデータより "今使われているデータ" が大事である。分析してリスクを共有する。データハンドリングが大事。
偏見を持たず、データを大事に扱う。倫理を全面に出して素晴らしいものを提供する。
そうあろうとするのは不可能じゃない。
§
Identity deal(= 分配する、分割する)
Claim で属性を扱っているが、本人確認(KYC, Know your customer)ができたり、誰がなんのためにそれを扱っているのかを管理できるようにしなければならない。
企業各個に囚われた Identity から、より広げたい。
一人のひとが使うデバイスは増えていて、一人一台ということはなくなってゆく。対応デバイスが移り変わっていく中で Identity をどう持ち歩くか。
満足できなかったサービスに与えてしまった Identity をどうするか。
Identity そのものを失念してしまった場合、いまはどうしようもない。忘れられた Identity が(企業やサービスに)残り続けてしまう。
PDT(Privacy Diagnostic Tool, プライバシー診断ツール?)
企業や政府での観点は考えられているが、個人の観点ではどうか。
§
デジタルオーディオの技術化と同様に考える。
まず目の前のものを解析し、デジタル化し、デジタル活用を可能とする。
deep understanding of *** (everything).
Identity の正しい解釈とは以下の2つ。
- selfness(自身から見た Identity)
- whoness(他者から見た Identity。他者との関係性)
いまは Digital Identification であり、まだ Identity は存在できていない。個人・人というもののデジタル化はできていない。デバイス間で一貫した Identity(私である)を確立できなければ、実現したとはいえない。
一つにまとまった技術で Identity を扱えるようにしていきたい。
§
(keynote 3; Michael B. Jones)これまで(前二人が)話してきたような夢を実現するために spec(仕様)を作っている。
OpenID Connect はすでにインフラとなっていて、100 以上の認められた実装例が存在する。
OpenID Connect federation(OIDC を用いた federation = Identity の統合)
SAML 2 や SAML Scheme での federation が先行しているが、SAML ではなく OIDC で実現するための仕様を作る。
SAML federation で上手くいっている部分は取り込んでいきたい。知財保護も考慮。
話のかんたんなところでは平坦な XML → 階層化された JSON に(笑)
§
federation 間の信頼の確立を行う仕様が必要。
階層化メタデータ(hierarcal metadata)を活用。
SAML vs. OIDC
Identity federation って(昔の)OpenID で実現したかった世界なのかな??
OIDC Federation future は実際に動きはじめている。
午後 前半
Device Identity as Yet Untold - エンタープライズ・セキュリティとデバイス Identity
社会のニーズが変化し、企業規模と分野を超えた横断的なビジネス(例: 新興Fintech企業と銀行の連携)が増えています。
それに伴い、ユーザーをエンティティとしたIdentityの活用事例の増加や仕様の拡張が着目されるのは、OpenID Summit Tokyo 2020の開催概要に記載がある通りです。
そんな、ユーザーIdentityの進歩に伴い、増える機微なデータや多様化するトランザクション経路を、エンタープライズはスピーディに且つ安全に管理していく必要があります。 ビジネスの変化とともに、エンタープライズのセキュリティも変化していかなければなりません。
変わるニーズに対応するかの如く、昨今は「ゼロトラスト」などの設計手法が話題になっていますが、セキュリティ対策の中心をネットワークから、各種エンティティ(とIdentity)によせるものです。
その際に無視できないのはデバイスIdentityです。 デバイスもエンティティの1つに違いはないのですが、 ユーザーIdentityに比較して、その管理方法や仕様について語られる機会はそう多くありません。ましてや、エンタープライズ向けでの話は、ほとんど皆無です。
そこで、本セッションでは、エンタープライズにおけるデバイスのIdentity Managementについてお話していきたいと思います。 それにより、参加者の皆様、特にIdentity技術がエンタープライズ・セキュリティのコアになると考えられる方々に、どのようなアプローチ方法があるかお話しします。
具体的には、デバイスの登録、認証方法、検証方法などをアイデンティティ・マネジメントの観点から解説します。 その際に、理想像と事例を紹介することで、既存製品でどこからどこまでのマネジメントが可能かも、明確にしたいと思います。
Device Identity Management
人と同じようにデバイスの Identity の管理も必要
Apple(DEP)や Microsoft(Autopilot)はすでにやっている
Identity Proofing(証明)の必要性
§
Identity Register(Inventory)
Identity のリポジトリ
インベントリのようなもの
デバイスにもいろんなタイプがある(含まれるソフトウェア、利用者によるシェアリング、製造に関わる工場、マルチプラットフォーム)ので、インベントリに保持すべき属性 attributes もすべて同じものが取得できるとは限らない
§
その端末が安全であるか、アクティブにさせていいのかという判断
デバイスの「身元検査」
公開情報から読む Cloud-assisted BLE(caBLE)をつかった WebAuthn
BLE(Bluetooth Low Energy)
caBLE(けぃぶる)
WebAuthn(うぇぶおーすん)
Phone as Security Key
補足: 普通のAndroidスマホをセキュリティキーにするGoogleの新技術 | TechCrunch Japan
旧来あるやつ:メッセージで通知 → メッセージ(push)が来たら「はい」をタッチでログインできる
遠隔(地球の裏側でも)から「ログインの同意」を求められて、間違えて「はい」をしてしまう恐れ
Phone as Security Key は、Phone が 物理的に ログインさせたい端末の近くにある必要がある
- 内部認証器(Windows Hello とかOS標準 etc. 顔、指紋、etc)
- 外部認証器(ドングル、スマートフォン)
FIDO はフィッシングに強い
FIDO2 =WebAuthn + CTAP2
CTAP2:クライアントと外部認証器との間の認証プロトコル(非公開)
WebAuthn:認証器の結果を使って認証する(公開 API)
認証器は所有物認証である。認証器内での内部認証として、生体認証(指紋など)が使えるということはある
認証器依存
認証器そのものに問題があるとヤバい
認証器の仕様として「秘密鍵を取り出せない」ことが必須
WebAuthn は外部認証器と内部認証器を併用して、それぞれの利点欠点を補う
caBLE
Phone as Security Key の一般化
Google が提案中の CTAP2/WebAuthn の新しい Transport
認証器の移行は難しい
「秘密鍵を取り出せない」ことで安全を保証しているので、取り出して移行ということができない
CTAP(ver.1)→ CTAP2
handshake 方式の違い。2 は QR コードからハッシュ関数生成することで 1 より簡単にされた様子
補足: 関連参考記事
OIDC活用で目指す人やサービスがつながる世界の社会実装
資料
公開されたら貼る。
【イベント登壇】OpenID Summit Tokyo 2020にチーフエンジニアの山本が登壇します | PRESS ROOM | 株式会社ビットキー/Bitkey Inc.
スマートロックの販売(BLE 認証の実現)
not スマートロック屋
IDの認証/連携基盤と権利の安全なやりとりが本業
Connect everything
× ID連携でユーザーを抱え込む
○ ID連携を中心にしてあらゆるサービスとつながる
OIDC Provider, デジタルキーの発行, etc.
トランザクション層:ID, 権利, 取引, 実行鍵生成
重要な特性:改ざん耐性、非中央集権(ブロックチェーン)
OpenID Certification 通過!
bitkey platform 1.0.0 2020/1/16
すごい👏
全体的に会社説明な感じだったけど夢を感じた。
OpenID Connectとネイティブアプリを取り巻く仕様と動向 - Yahoo! JAPANの取り組み
1月24日に開催される OpenID Summit Tokyo 2020 にて、ヤフーのエンジニア 都筑 が登壇します。 ネイティブアプリにおけるYahoo! JAPAN IDの取り組みと、標準仕様であるOAuth 2.0 for Native AppsやPKCEなどについてお話します。 https://twitter.com/ydnjp/status/1219112625834876928
2013年〜 スマートフォンアプリ注力(もっと前から対応はしていた)
2019年末 PKCE 対応(PKCE 仕様が公開されたの 2015 年だから意外な気もする)
2019年 アクティブID数 5,049 万
OpenID Connect Native SSO for Mobile App
OpenID Connect 対応ソーシャルログインによるSSOの実現
同一ベンダーが提供するアプリ間でセッションを共有するための拡張仕様
Y! のネイティブアプリの SSO は共有ストレージを利用
→ 1タップログイン(431万/月成功)、0タップログイン(909万/月成功)UX 向上
共有ストレージに Token 保存
App2 はその Token を使って IdP に ID Exchange を行う
共有ストレージに入れるもの
- device_secret
- ID Token
同一のデバイス上で認証された情報のみ共有可能
ベンダーが異なると共有できない
仕様
AuthZ Req.
scope=device_sso
→ 通常のレスポンス + device_token
ID Token の中身の差分
claim
- ds_hash: devise_token の紐付け
- sid
(devise_secret = devise_token)
Token Exchange で App2 が利用するための Token が発行される
sid と同一のセッションは連動していなければならない
韓国における FIDO/eKYC/DID の現状と今後の取り組み
おまけ、Y! 発表と並行していたので聞けてない韓国の事情メモ
資料
公開されたら貼る。
#openid_tokyo 韓国 - Twitter Search / Twitter
韓国の政府機関、政府発行の証明書を使って FIDO 認証ができて、法律で電子署名が必須になっているのすごいな #openid_tokyo https://twitter.com/__kyrieleison__/status/1220577782192697346
韓国の金融機関の90%はfido導入してる。凄い #openid_tokyo #韓国 https://twitter.com/ken5scal/status/1220577665695903744
非対面でも口座開設をすることができようになったが、身分証コピー、ビデオ通話、宅配便、FIDOでの確認など2つをしなければならない #openid_tokyo https://twitter.com/kura_lab/status/1220578425062080513
ハッシュタグ実況でチラ見した感じ、日本よりよっぽど進んでる感じがあって興味湧く。
午後 後半
FIDO (WebAuthN) を利用したID認証のデザインパターン
資料
公開されたら貼る。
KDDI au IDクライアントモジュール担当の方のお話
iPhone で FIDO BLE Authenticator
iPhone アプリが 認証器として動作する
KDDI が世界で初めて承認受けた
参考
WebAuthn 試せるサイト https://webauthn.io
通話SIMの審査は厳しい
→ 本人確認が厳密に結びつく(利点)
ISP(キャリア)は仕組み上 IP アドレスから顧客を識別できる
生体認証+(KDDIならではの)回線認証
FIDO として、認証器でユーザを特定する行為は許されているか?
→ ユーザへの同意を求める流れはない。許されていない
Enterprise 向けは「ユーザーを信頼しないスタイル」なので、逆にユーザ情報を(業務統括目的で)利用するのはありなのでは…ということで議論している最中
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ その新しいUXと実装例のご紹介
資料
公開されたら貼る。
CIBA(しーば)
Client
クライアントが
Initiated
開始した
Backchannel
バックチャンネルの
Authentication
認証
"デバイスとユーザが分離している" 認可フロー
NRI 製品 CIBA 対応済み認可サーバー Uni-ID Libra
新しい登場人物
- Authentication Devise
- Consumption Devise
Authorization Code Flow との違い
リダイレクトではなく backchannel での POST リクエストになる
リクエスト内容からユーザを特定する
RP ↔ OP 間の仕様が CIBA?
CIBA 実装のデモとスライドがわかりやすかったので、ぜひ資料公開していただきたいところ。
CIBAデモ面白かったな。pushメッセージで認可するって今後伸びそうな気がする。知らんけど #openid_tokyo https://twitter.com/tmd45/status/1220605945241165827
しかし「またインストールするアプリ増えるのか…?」という気もする https://twitter.com/tmd45/status/1220606299999625217
PWAならWebAuthnとも組み合わせられてワンチャンあるのではないかと思っております https://twitter.com/ritou/status/1220883580399652864
ritou さんからコメントいただいて「なるほど」と思った。
ネイティブアプリ vs. PWA とか言ってないで、こういう活用の可能性に気づいていきたい。
Our Identity Experience
資料
公開されたら貼る。
IDPro のなかのひと。日本語とてもお上手。
なぜ Identity ビジネスが大事なのか → 悪い Identity 体験
なぜ現実では不必要なものを、ネット上では必要とするのだろうか?
早い・安全・プライバシー保護
セキュリティよりプライバシーを理解しているひとが少ない
コミュニケーションスキルが大事 → 利用ユーザーとのコミュニケーション
FIDO はひとびとをわくわくさせない
しかし安全・プライベート・効率の面で必要
それを伝えなければいけない
OpenID Connect 活用した gBizID(法人共通認証基盤)の現状と今後の展望
前のセッションが早く終わったので最後だけちょっと聞いた。
資料
公開されたら貼る。
IDP-IDP連携構想
ある一箇所で国が管理する全ての属性を管理するのは現実的ではない
それぞれをRPとして立ち上げてまとめる
認証方式の多様化の検討
スマホ持ってないですとか言われちゃう
NIIが進める研究データ管理空間
資料
公開されたら貼る。
NII(国立情報学研究所)
研究データ管理空間の話。Identity 活用のカバー範囲広いなぁ
クロージング
Closing Keynote〜閉会の挨拶
資料
公開されたら貼る。
Closing Keynote の崎村さん(nat 氏)と、閉会の挨拶での楠さんの激烈エモい話よかった(小並感)
産業革命の歴史を振り返る
第4次産業革命
サイバースペース=新たな「生活空間」の導入、第8大陸
第8大陸=GAFAM+小国群
第8大陸にある財産にアクセスする、サイバー空間における分身が Digital Identity
満員電車を根絶といって、電車を二階建てにするのではない
はんこを押すのが大変といって、ロボティクスで自動化するのではない
日本で言語統一されたのは明治時代。軍事で命令伝達ができないため、教育制度・郵便制度・経済金融制度・法制度を敷き、社会を根本から変えた。これが DX と言える https://twitter.com/__kyrieleison__/status/1220625177152647168
Digital Identity の世界は確実に前に向かって進んでいる
話に聞き入ってて自分のメモ少なめ。資料より動画公開してほしいくらい。
以上、メモでした。
![仮面ライダーゼロワン 変身ベルト DX飛電ゼロワンドライバー 仮面ライダーゼロワン 変身ベルト DX飛電ゼロワンドライバー](https://images-fe.ssl-images-amazon.com/images/I/51D5U3%2Bzz5L._SL160_.jpg)
仮面ライダーゼロワン 変身ベルト DX飛電ゼロワンドライバー
- メディア: おもちゃ&ホビー