多様化する認証システム

OpenIDは、共通のユーザーIDを複数のWebサービスで使えるようにする技術で、OpenIDに対応したWebサイトであれば、個別に登録することなく利用できる。

OpenIDの導入が進んでいる。情報セキュリティを伴ったサービスを展開するために、あらかじめ決められたユーザーがコンテンツにアクセスできるユーザー認証機能が使われるが、ユーザーにとってはWebサービスごとに登録する必要があった。OpenIDは、共通のユーザーIDを複数のWebサービスで使えるようにする技術で、OpenIDに対応したWebサイトであれば、個別に登録することなく利用できる。技術の生まれた背景と動向を学ぶことでビジネスへの広がり・可能性を探った。

OpenID導入のメリット

OpenID用語では、認証提供側のことをOP（OpenID Provider）と言い、IDを活用してサービスを提供する認証依存側のことをRP（Relying Party）と呼ぶ。OpenIDがほかのフレームワークよりも注目されている理由として、「すぐ試してみることができる」「サービスをOpenID対応にするための実装が多数存在」「仕様が比較的シンプル」などが挙げられる。

OpenIDが生まれた背景として、利用するサイトが多過ぎてIDを覚え切れないユーザーによる「死にID」があった。「死にID」を受け入れているサービス提供企業は、個人情報保護やコンプライアンスに対応するため、使われないIDを一生懸命守るためにIT投資をしている。この問題を解決したいという要望から生まれたのがOpenIDである。

また、複数のネットサービスを使うのが当たり前になり、OpenIDのニーズが高まる。認証依存サイトにとっても、これまでのように新規に情報を登録してもらわなくても、OpenIDを使って気軽にログインしてもらえて、その上で何らかの情報を得られるというように、スムーズにユーザーを獲得できるというメリットがある。

実際にOpenIDをどのように活用して自分たちのビジネスを大きくしていくかについては、企業は自社のビジネスモデルに合わせて、OPになるのかRPになるのか、あるいは両方を採用するのかを決断している。OP側とRP側の両方を持っている企業も、OP側だけの企業、RP側だけの企業も存在する。

OpenIDにおけるセキュリティ

企業レベルでは、システムに関する監査対象が増えてきている。その背景から、アイデンティティを管理するという分野が、日本国内を含め、セキュリティの分野では重要視されつつある。システムの担当者がすべてのセキュリティ脅威を理解して対応するのは難しいことも、セキュリティのサービス化の背景にある。

ID、パスワードが増えてしまったことによるリスクを回避するための考え方として、アイデンティティマネジメントがある。そのためのソフトウエアやサービスは、社内の複数システムの全ID、パスワードのライフサイクル管理をする。アイデンティティマネジメントをする仕組みを社内に作る時、構築技術の一つとして、OpenIDを使うことが考えられる。もう一つは、複数のWebサービスを使うことから、外部のサービスと自社のシステムをつなぐための認証のプロトコルとして使うということも出てくると考えられる。インターネット上で使われているいろいろなセキュリティ技術については、既にOpenIDでは考慮されている。

サービスの利用が増えることで、OpenIDを使って外部のシステムと認証を一元化するということは増えてくるものの、セキュリティに関するリスクは複雑化していく。その中でアイデンティティマネジメントという考え方を企業内に仕組みとして取り込んでいくことが求められる。

（『JAGAT info』2009年4月号より）