OpenID 共通のIDとパスワードで複数のサイトにログイン エンドユーザーの利便性とサイトの集客力を向上 |
ビジネスや生活に深く浸透しているインターネットにおいて、もはや各種Webサイトの提供するサービスは欠かせないものとなっています。そのWebサイトの数が増えるに従って、課題となってきたのが認証です。IDやパスワードの管理が複雑になるし、これをおろそかにするとセキュリティレベルが低下してしまいます。
OpenIDの魅力個人を限定した情報のやり取り、物品の売買、メールの送受信……など、インターネットには会員制のWebサイトが多く見受けられますが、これらのWebサイトにおいては、認証が欠かせません。数が多くなるとIDやそのパスワードはとても覚えきれず管理が大変になります。しかし、どのサイトも同じIDとパスワードにしたのでは、セキュリティレベルが低下します。また、もう1つやっかいなのが、会員制サイトへの新規登録です。毎回同じように、名前と住所、生年月日などを入力する煩わしさを、どうにかして欲しいと思っている人は多いことでしょう。 注1:「@nifty about me」はYahoo!JapanのOpenIDに対応しています。 OpenID利用のメリットはエンドユーザー側だけではありません。サイトを運営するサービス提供者側にもあります。
OpenIDの仕組みそれではOpenIDはどのような仕組みで複数サイトでの認証を可能にしているのでしょうか。 <コラム> 認証時の情報の流れ図1-1〜1-3で示したような簡単なステップでログインが許可されますが、その裏では意外なほど複雑なやり取りがなされています(図3)。
OpenIDの取得方法複数のサイトにログインできるとはいえ、1つのOpenIDだけで、OpenID対応のサイトすべてにログインできるわけではありません。OpenIDの提供サイト(OP)はいくつもあり、そのOPに対応しているサイト(RP)でなければなりません。例えばYahoo! JapanのOpenIDを所有しているからといって、OpenID対応の世界中のRPを利用できるとは限りません。利用できるのはYahoo! JapanのOpenID対応済みのRPに限られます。 OpenIDの取得も簡単です。例えばYahoo! JapanでOpenIDを取得するには以下のサイトにアクセスして、申請します(図5-1)。すでにYahoo! JapanのIDをもっている方であれば、ログインと画像認証をクリアすることで、その場でOpenIDが取得できます(図5-2)。 取得したOpenIDはURLの形をとっています。「https://me.yahoo.co.jp/」まではOPの情報で、この後がエンドユーザー固有のIDになります。OpenIDを見ると、どのOPかがわかります。それによりOpenIDの信頼度を推し量ることが可能となります。個人ドメインのURLをOpenIDに含めることも可能ですが、一般的に知名度があるサイトの方が信頼度が高いとされています。
OpenIDの課題OpenIDは利便性を追求するものであり、決してセキュリティレベルを保証するものではありません。逆にOpenIDが他人の手に渡ってしまうと、「なりすまし」でいくつものRPにログインし、個人情報などさまざまな機密情報が盗まれたり、勝手に買い物をされたりする危険性も高いのです。下記は現状考えられるいくつかの課題です。 情報漏えいの危険性OpenIDを提供するOPの認証サーバがハッキングされれば、登録しているエンドユーザーすべての情報が漏えいしてしまう危険性があります。このため、エンドユーザーの判断に委ねられるOPの選択には特に注意が必要です。 誰にでも構築できるRPサイトRPの選択時も注意が必要です。そのサイトがOPに対応しているからといっても、OpenIDでログインするのには注意が必要です。なぜならば、OpenIDのAPI(注2)は公開されており、RPは誰にでも構築できるからです。OpenIDを使用するしないにかかわらず、怪しげなサイトに近づくのは危険であるということです。 注2:Application Program Interface:アプリケーションプログラミング時に、比較的簡潔にプログラムできるように設定されたインターフェース、またその規約の集合。 現状での企業側の負担RPとなった企業側が、OpenIDサービスの提供者であるOPに振り回される負担は避けられません。OPは、操作性向上やユーザー保護のための工夫を個々に行っているためです。この工夫とは、ユーザーがOpenIDでログインする際のアカウント名として長い文字列になりがちなURL以外に、OpenID専用のアカウントを設けたり、なりすましやスパム防止のためにOpenIDアカウント名からOP側での元のIDを類推できないようにするなどといったことです。しかし、ユーザーのためのこうしたOPの仕様の追加や変更は、一方でOpenIDでログインするユーザーに対応するための、RP側での仕様変更の手間を生みます。中でもOPが認証サービスを中止する、あるいはシステムトラブルがあった場合は、エンドユーザーはサービスを利用できなくなることもあるのです。 以上のような理由により、OpenIDに対応しているサイトの数がまだまだ少ないのが事実です。先述のように、完全に1つだけのOpenIDであらゆる会員制サイトにログインできるわけでもありません。それら情報への対応も課題といえるでしょう。
OpenIDのさらなる普及に向けて日本国内では、2007年2月に「OpenID.ne.jp」がOpenIDを発行し、以来10社ほどのサイトでOpenIDを取得できるようになりました。既出Yahoo! Japanのほかにも「livedoor Auth」「はてなでOpenID」「mixi」などがあります。 SAMLOpenIDと同様に、シングルサインオンを実現するのにSAML(Security Assertion Markup Language)を利用する方法があります。SAMLとは、OASIS(Organization for the Advancement of Structured Information Standards、ビジネスにおける情報交換のための技術標準を策定する非営利組織)によって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様です。 参考:強力なSSOを実現するXML認証・認可サービス(SAML) 参考URL
|