UP TO DATE

ビジネスや生活に深く浸透しているインターネットにおいて、もはや各種Webサイトの提供するサービスは欠かせないものとなっています。そのWebサイトの数が増えるに従って、課題となってきたのが認証です。IDやパスワードの管理が複雑になるし、これをおろそかにするとセキュリティレベルが低下してしまいます。
こうした中、注目を集めているのがOpenIDです。1つの共通したアカウントでさまざまなWebサイトの認証を実現する仕組みです。Webサイトごとの異なるIDとパスワードの管理が不要になります。このOpenIDの魅力や仕組み、課題などを解説します。

OpenIDの魅力

個人を限定した情報のやり取り、物品の売買、メールの送受信……など、インターネットには会員制のWebサイトが多く見受けられますが、これらのWebサイトにおいては、認証が欠かせません。数が多くなるとIDやそのパスワードはとても覚えきれず管理が大変になります。しかし、どのサイトも同じIDとパスワードにしたのでは、セキュリティレベルが低下します。また、もう1つやっかいなのが、会員制サイトへの新規登録です。毎回同じように、名前と住所、生年月日などを入力する煩わしさを、どうにかして欲しいと思っている人は多いことでしょう。
そこで考えられたのが「OpenID」です。認証のためのIDとパスワードを共通化して、1つのIDでログインできるほか、会員登録の際の情報入力も、大幅に軽減できます。
次の図1-1～図1-3は、会員制Webサイト「@nifty about me」（注1）に未会員の方が、すでに所有しているYahoo！ JapanのOpenIDを使って、「@nifty about me」にログインする際の手順です。
まず、Yahoo！ Japanのログインボタンをクリックします（図1-1）。続いて表示されたYahoo！ Japanサイトでログインし（図1-2）、次の画面で「同意する」ボタンをクリックします（図1-3）。これだけで「@nifty about me」の登録がほぼ完了し、ログインすることができるのです。
本来ならば名前や住所などの煩わしい会員登録操作ですが、対応するOpenIDをもっていれば、その手間はほとんど必要ありません。エンドユーザーにとってはこの手軽さが最大のメリットです。

注1：「@nifty about me」はYahoo！JapanのOpenIDに対応しています。

OpenID利用のメリットはエンドユーザー側だけではありません。サイトを運営するサービス提供者側にもあります。
まず、会員登録の敷居を低くして、利用者を拡大することができます。Yahoo！ Japanやmixiなどの膨大な会員をもっているサイトのエンドユーザーを、取り込むことができるかも知れないのです。OpenIDへの対応は、爆発的なビジネス拡大のチャンスとなるかもしれません。
加えて、ほかのサイトと連携したサービスの実現も可能となります。同じOpenIDの採用企業が、それぞれに得意なサービスを提供し、総合的なサービスを提供できる可能性もあります。
OpenID認証に限っていえば、認証のプログラムの作成負荷を軽減できるのもメリットの1つでしょう。おびただしいエンドユーザーのIDやパスワード管理の手間も省けます。パスワードを忘れたなどの会員への対応からも解放されます。
そして、すでにOpenID発行側に登録されている利用者は、OpenID対応サイト側としては、まったく新規に登録する利用者に比べて安心できるので、不正ユーザー登録を防ぐ仕組みとして期待できます。
もちろん、OpenID認証以外のユーザーも共存するため、サイト側が認証や情報管理の課題を、すべて解消できるわけではありません。多くのエンドユーザーが手間なくログインできることは、逆に簡単にほかのサイトへ逃げられることでもあります。囲い込みが難しくなるのです。また、eコマース（電子商取引）サイトの場合は、決済方法や関連する情報、配送先などの情報を別に入手する手段を用意しなければならず、また、追加入手した情報の厳重な管理の手間も変わりません。

OpenIDの仕組み

それではOpenIDはどのような仕組みで複数サイトでの認証を可能にしているのでしょうか。
その最大のポイントは、認証サービスを提供するサイト（OpenID Provider）と、その認証を受け入れるサイト（Relying Party、以下RPと記述）を分離したことにあります。従来、認証と各種サービスを提供する機能は、同じサイト内で一体化されていました（図2-1）。この機能を分離させ、認証機能を外部のOPに出すことで複数のサイトがその認証機能を利用できるようになったのです（図2-2）。

<コラム> 認証時の情報の流れ

図1-1～1-3で示したような簡単なステップでログインが許可されますが、その裏では意外なほど複雑なやり取りがなされています（図3）。

（1）エンドユーザーはRPのログイン画面で自身のOpenIDを入力する（本文中の図1-1）。
（2）（3）入力されたOpenIDから、対応するOPにアクセスして、鍵の交換を行う。
（この鍵はこれ以降行われるRPとOP間の情報解読に使われる。重要な情報のやり取りなので、途中で盗み見されたり、改ざんされたりしないように暗号化されている。その暗号を解くのが鍵の役割である）
（4）RPはOPへ認証を要求する。
（5）エンドユーザーはOPで認証する（本文中の図1-2と図1-3）。
（6）OPはエンドユーザーの認証結果をRPへ連絡。
（7）RPはOPから受け取った認証結果でエンドユーザーの認証を確認してログインを許可する。

OpenIDの取得方法

複数のサイトにログインできるとはいえ、1つのOpenIDだけで、OpenID対応のサイトすべてにログインできるわけではありません。OpenIDの提供サイト（OP）はいくつもあり、そのOPに対応しているサイト（RP）でなければなりません。例えばYahoo！ JapanのOpenIDを所有しているからといって、OpenID対応の世界中のRPを利用できるとは限りません。利用できるのはYahoo！ JapanのOpenID対応済みのRPに限られます。
もっとも、複数のOPが提供するOpenIDに対応しているサイトも少なくありません（図4）。

OpenIDの取得も簡単です。例えばYahoo！ JapanでOpenIDを取得するには以下のサイトにアクセスして、申請します（図5-1）。すでにYahoo！ JapanのIDをもっている方であれば、ログインと画像認証をクリアすることで、その場でOpenIDが取得できます（図5-2）。

取得したOpenIDはURLの形をとっています。「https://me.yahoo.co.jp/」まではOPの情報で、この後がエンドユーザー固有のIDになります。OpenIDを見ると、どのOPかがわかります。それによりOpenIDの信頼度を推し量ることが可能となります。個人ドメインのURLをOpenIDに含めることも可能ですが、一般的に知名度があるサイトの方が信頼度が高いとされています。

OpenIDの課題

OpenIDは利便性を追求するものであり、決してセキュリティレベルを保証するものではありません。逆にOpenIDが他人の手に渡ってしまうと、「なりすまし」でいくつものRPにログインし、個人情報などさまざまな機密情報が盗まれたり、勝手に買い物をされたりする危険性も高いのです。下記は現状考えられるいくつかの課題です。

情報漏えいの危険性

OpenIDを提供するOPの認証サーバがハッキングされれば、登録しているエンドユーザーすべての情報が漏えいしてしまう危険性があります。このため、エンドユーザーの判断に委ねられるOPの選択には特に注意が必要です。
信頼できるOpenIDが提供されているサイトの場合、それだけ取得時に複雑な処理が求められます。簡単に取得できるOpenIDは信頼性に不安が残りますし、信頼性を求めようとすると取得が面倒になるということです。知名度などを頼りに信頼できるOPを選択するなどは、対策として有効と考えられます。

誰にでも構築できるRPサイト

RPの選択時も注意が必要です。そのサイトがOPに対応しているからといっても、OpenIDでログインするのには注意が必要です。なぜならば、OpenIDのAPI（注2）は公開されており、RPは誰にでも構築できるからです。OpenIDを使用するしないにかかわらず、怪しげなサイトに近づくのは危険であるということです。
もっとも、RP側ではOPの認証情報を受け取るだけで、名前やメールアドレスなどの個人情報は一切受け取れません。このため、RPにログインしてから再度メールアドレスなどの提示を求められることもあります。このときに、要求を拒むことが可能です。

注2：Application Program Interface：アプリケーションプログラミング時に、比較的簡潔にプログラムできるように設定されたインターフェース、またその規約の集合。

現状での企業側の負担

RPとなった企業側が、OpenIDサービスの提供者であるOPに振り回される負担は避けられません。OPは、操作性向上やユーザー保護のための工夫を個々に行っているためです。この工夫とは、ユーザーがOpenIDでログインする際のアカウント名として長い文字列になりがちなURL以外に、OpenID専用のアカウントを設けたり、なりすましやスパム防止のためにOpenIDアカウント名からOP側での元のIDを類推できないようにするなどといったことです。しかし、ユーザーのためのこうしたOPの仕様の追加や変更は、一方でOpenIDでログインするユーザーに対応するための、RP側での仕様変更の手間を生みます。中でもOPが認証サービスを中止する、あるいはシステムトラブルがあった場合は、エンドユーザーはサービスを利用できなくなることもあるのです。

以上のような理由により、OpenIDに対応しているサイトの数がまだまだ少ないのが事実です。先述のように、完全に1つだけのOpenIDであらゆる会員制サイトにログインできるわけでもありません。それら情報への対応も課題といえるでしょう。

OpenIDのさらなる普及に向けて

日本国内では、2007年2月に「OpenID.ne.jp」がOpenIDを発行し、以来10社ほどのサイトでOpenIDを取得できるようになりました。既出Yahoo！ Japanのほかにも「livedoor Auth」「はてなでOpenID」「mixi」などがあります。
現在は多くのサイトが、ほかのサイトの動向を見定めている導入期ですが、これからOpenIDのメリットが認められ、対応するサイトが増えていけば、さらに多くのエンドユーザーがOpenIDの利用を開始していくと予想されます。
このOpenIDの国内での推進役となっているのが、普及と啓蒙を目的にした団体「OpenIDファウンデーション・ジャパン」です。2008年10月に設立され、会員企業は50社に及んでいます（2009年8月現在）。Web系だけでなく、銀行、保険、運輸、教育機関など幅広い業種から参加しているのが特徴です。OpenID公開仕様の日本語化やコミュニティー支援、講習会、講演会、セミナーなどを積極的に展開しています。個々のユーザーに対応するWebサービスの増加、クラウドコンピューティングの普及や組織の境界を越えたシステム間の協調など、IDの連携技術は、今後ますます重要な役割を果たすことは間違いありません。OpenIDはその性格上、複数の企業や組織・団体が協調や連携なしでは実現できません。その中核を担うOpenIDファウンデーション・ジャパンに期待が寄せられています。

SAML

OpenIDと同様に、シングルサインオンを実現するのにSAML（Security Assertion Markup Language）を利用する方法があります。SAMLとは、OASIS（Organization for the Advancement of Structured Information Standards、ビジネスにおける情報交換のための技術標準を策定する非営利組織）によって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様です。
OpenIDとの大きな違いは、SAMLは柔軟でかつ強化されたセキュリティのシングルサインオン実現を目的に開発されており、認証情報以外にユーザーの資格や役職などの属性情報と特定のサービスやページへのアクセス権などのアクセス制御情報を伝達することです。これにより、OpenIDが実現する認証だけでなく、認証後にユーザーの資格などの属性によってアクセスできるページやサービスを制限したり、また与えられたアクセス権限により資源へのアクセス（読み、書き、実行など）を制御したりすることが可能になります。

参考：強力なSSOを実現するXML認証・認可サービス（SAML）