はじめまして。ID関連を担当しております、クラウドサービス企画部 小畑です。少し前になりますが、KDDIは2015年11月10日「OpenID Summit Tokyo 2015」にてOpenID Foundationにボードメンバーとして参画したことを発表しました。今回は、イベントの模様をレポートしたいと思います。開催概要はこちら。
OpenID Summitは毎年開催されておりますが、日本開催は4年ぶり2回目となります。サミット参加者数 約330名に対して、OpenID Foundationメンバーや認証界の著名人たちが、今後のID認証に関わる技術動向、認証方法を実例と共に発表されました。OpenIDとは、簡単に言えばURLをIDに利用する認証プロトコルです。本イベントではOpenID 2.0の進化系であるOpenID Connectを中心に話がありました。ちなみに、KDDI法人向け認証サービスである「KDDI Business ID」はOpenID Connectを採用しており、お客様サービスをセキュアに連携し、SSO(シングルサインオン)を実現しております。新しい技術を取り入れながら、常にお客さまが安心して利用でき、満足のいくサービスのご提供を心がけています。
KDDIが認証プロトコル標準化団体である、OpenID Foundationのボードメンバーに日本キャリア初の参画
調印式にて:(左)OpenID Foundation Executive Director Don Thibeau
(右)KDDI 商品統括本部 統括本部長 執行役員 山本 泰英
KDDIが認証プロトコルの標準化団体であるOpenID Foundationのボードメンバーに日本キャリア初の参画となった事は、プレスリリースとイベントで公表しました。何故、KDDIが認証プロトコル業界で評価されたのか?それは、現在約2,500万契約となったコンシューマ向けID認証サービスauIDがID Federation(様々なアプリを「1ID」でセキュアに便利に認証連携する仕組み)を使ったモバイルビジネスモデルで成功している事が大きかったようです。日本の大規模なモバイルビジネス(認証連携)は世界で注目されています。欧米諸国でのモバイルビジネスは通話料収入でビジネスが成り立ってきましたが、スマートホンのシェアが大きくなるにつれてビジネスモデルが変わってきています。日本でも同じですね。その対策として、海外では通話だけでなくサービス連携に力を入れ始めており、大きく先行している日本のビジネスモデルが参考にされています。「家族割」と言った通信事業者の属性認証サービスも世界のビジネスモデルで実例が殆ど無く、日本が先行して進めているサービスです。KDDIはモバイルビジネスで培った技術でお客様の情報を安全に預かって参ります。
テクニカルフェーズからビジネスフェーズへの転換期
![図2]()
前回のOpenID SummitではOpenID Connectが標準化(2014年2月)される前であり技術的な話がメインでしたが、標準化され1年たった現在では具体例が増えてきてます。数多くの実例が立ち上がっており、ビジネス転換期が来たといって良いでしょう。今回のサミットでは各界の著名人が一堂にあつまり、ID技術の活用例、OpenID Connect に関する技術的な議論、IoT (Internet of Things) や FinTech への技術適用などの事例紹介等から良いヒントが多くあったと思います。
Keynoteでは様々なサービスが連携することで認証機会が増大し、それに比例してリスクも大きくなったと話されていました。世の中にクラウドサービスがすごい勢いで増えてきているのは皆さんも実感されていることと思います。ビジネス機会が増えるのは良い事ですが、もう一方で連携先のIDの信頼性があるかどうかを正しく確認しなければならないと伝えています。実例では「SNS認証の乗っ取り」や「クレジットカード決済時の番号盗用」があります。従来からあるクレジットカードのスキミング被害は、既に被害全体の中では低い位置づけであるのが事実です。今までのハードウェアで起こる被害から、インターネットというソフトウェアで認証を行う入力された情報を信用することによる被害にシフトしているのです。このような傾向から、連携先のIDが不正かどうかを検知する技術が必要とされており、世の中のアプローチが変化してきました。今まではログインパスワードをサイトごとに変更するように呼びかけていましたが、パスワードの全て覚えるのは困難です。重要なのはクラウド化する流れの中で、「利用されているIDが正しいかをどう判断すべきか」、「ID連携で引き渡された相手信頼性をどのように担保するのか」をしっかり考える事です。ID/Passwordのみで相手を信じてはいけないと言う事です。
ID/PWを使わないログイン方法。IoT時代の認証技術とは?
大変興味深い内容として「ID/Passwordを使わないログイン」について慶応義塾大学 増井俊之教授のKeynoteセッションがありました。私がSonyErricssonのケータイ担当していたこともあり、POBoxの生みの親である増井教授の話はとても引き込まれました。資料にもありますが、今回の内容は「学生時代の思い出写真」や「旅先の写真」を選択すると言った他人が知りえない内容の組み合わせでログインするというもので、今までとは異なるアプローチとなります。「記憶しなければわからないものは記憶しにくいが、体験に基づいた記憶は忘れない。」確かにその通りですし、また違った切り口で見るとログインすること自体が楽しくなりますよね。ユーザー経験に裏付けられた、直感的に反応できるUserExperience(UX)をがきっと主流になるでしょう。KDDIでも多要素認証の一部として検討していきたいと思います。
技術ではなく、ビジネスでIDを考える。
そして、次は我らがKDDI クラウドサービス企画部長である藤井彰人の登壇です。「IDの信頼性確保と接続はできるようになったが、今後はビジネス面でのさらなる活用について」をテーマに講演しております。「ID連携は、auスマートパスのように求める人と提供する側の利害が一致するからこそ成功する。」と技術先行でなく、ニーズに対して技術力でカバーする必要性をお伝えしました。
まとめ
いかがでしたでしょうか?今まではIDや認証イベントでは、シーケンスや技術論が多く語られ、ビジネスに導く話まで議論がほとんど無かったと思います。前回までとの大きな違いは、約330名もの参加者がIDの接続(ビジネス)に関心をもち、スピーカーはビジネスに直結する実例を上げながらクラウド化の勢いを話しました。クラウド化の流れは速いです。KDDIは、OpenID Foundationに加盟したことにより、常に先端の情報を取り入れてビジネス化し、便利で安全なサービスを提供していきたいと思います。