#idcon Vol.13
開店休業中ですが、ようやく更新 m(_ _)m
#idcon Vol.13 に行って来ました。本業は一応デジタルアイデンティティ管理の領域なので。
取り急ぎ、メモをアップします。走り書きのなので多分に漏れや正確でないところがあるかと思いますが、ご容赦ください。
実際の資料がプレゼンターの方々から公開されましたら、そちらを当たっていただくと良いかと思います。このエントリにもリンクを随時追記していきます。
---
- OAuth大捜査線
- OAuth2.0
- 常識?もう古い?
- エンジニア向けの仕様解説やOAuthの実装方法の記事はよくあるが…。それ以外の人向けの情報は?
- アプリにID/パスワードを保存するとは何事か
(OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装)
→まだまだ布教が足らない - 現場1:開発チーム - 実際にあったお問い合わせ
- 「認可画面を表示しないようにして欲しいのですが…。」
- 認可の意味を知らない?
- 認可画面での離脱が多い現実も(50%が離脱という説)。憎き認可画面
- 認可画面の出し方にも課題あり
- 一般ユーザーは認可画面の意味がわからない!怖いと思う人もいるだろう
- 「AさんのアクセストークンをBさんに使いまわしていいでしょうか?」
- 認可、アクセストークンの意味を知らない
- 他のユーザーで権限を使いまわしたい?
→ちゃんとした移譲の仕組みがあれば有用かもしれない。
→3. のUMAが有用か。
→いや、目的が違った - お問い合わせメールにConsumer Secretが記載されている
- Consumer Secretの意味を知らない
- メールはディレクターが書く場合も
→転送されて大変なことに(関係者のメーリングリストなど) - 開発チームへ伝えるべきこと
- なんのための認可か
- 取り扱いに注意を要する情報は何か
- ユーザーフレンドリー、効率的、セキュアな認可画面の実現方法
- 信用に関わる大事なことだということ
- 現場:一般ユーザー
- OAuthの主役はユーザー(ユーザーのためのもの)
- 誰もが使う時代
- なんとなく(よく理解しないまま)認可しているのでは
- ユーザー自身でパーミッションコントロールできることを知らない?
- ユーザーへ伝えるべきこと
- 何を認可画面で許可しているか
- 許可/拒否するアプリの見分け方
- 被害にあった際の認可解除方法
- ...
- Identity First Device Second
- Identityの話って、爽やかに女子が入れない雰囲気じゃないか?
- Identiti First…、 →いやいややめた!
→消費者フレンドリーなIdentityの啓蒙ツールが要る!
→@IdentityRolaだ! - [途中、笑ってメモができませんでした(汗)]
- Inoavtionとは
- 「新結合」に由来
- 2つの異なることが交わることにより…
- @IdentityRolaから得た教訓
- Identifierを変えても分かる人にはわかる
- つぶやきなどの外縁情報である程度特定できる →他人になりすますことは難しい
- なりすますことで名誉毀損や肖像権の侵害につながることも
→verifiedアカウントの仕組みは重要だ - //Rolaのつぶやきは事務所がチェックしている?
- //耕太郎の場合は?本人がOKとしている。政治家は有名度命。
- なりすましはプライバシー侵害か?(Ref:番号制度of日弁連)
→Yesと思う。 - そして新たなInovation…。
- @identityPamyu
- UMA(User Managed Access)
- [UMAの仕様の話。話聞くので精一杯でした]
- [後ほど資料が公開していただけるとのことなので、そちらをあたって下さい]
- SITF(Stsudent Identity Trust Framework)
- トラストフレームワーク
- ユーザーの同意に基づいてユーザーに関する情報を安全に流通させる仕組み
- EDP/RPが満たすべき基準を満たしているかチェックできる
- EDP/RPの契約の手間 →ユーザーにとってのメリットは?
- オンライン学割の課題
- オンライン学割の登録時
- 本当に学生なのか、という判断は難しい
- 正しく登録するにはコストがかかる
- オンライン学割の利用時
- 今も学生である、という判断は難しい
- 定期的なチェックは運用の不可が大きい
→雑に運用すると正規のユーザーの不公平感を招く →SITFだ - フレームワーク案の策定にあたり
- 使用者の視点
- 学生が利用したいサービス上で実現すること
- ちゃんとメリットがあること(学割、サービス、学生限定サービス)
- 属性プロバイダー(学人・大学)の視点
- 学生の福利厚生
- 仕組み
- 学認TFで発行した、学生であることを証明する属性を、APのアカウントに紐づけておく
- 上記APのアカウントでログインすると学生向けサービスを受けられる
- 世界「Idnetity First でいきますから。」
- 先進諸外国において、Identity Firstな潮流があるようだ
- 課題
- 適切な身元確認ができない
- 適切な認証環境になっていない(アイデンティティの管理が困難)
- 適切なデータ利用ができていない
→適切なデジタル・アイデンティティの管理が必要 - ドイツの事例
- 電子的な新身分証明書を導入
- 電子的本人確認(eID-Funktion)/署名/旅券機能を持つ
- 証明書を読み取るには一定以上の読み取り権限の証明が必要
- ポリシーを設定できる(読み取り可能な属性とか)
- アメリカの事例
- 身元証明:パスポート、免許証を利用
- 電子政府、行政サービスへのアクセス:民間IDを利用
- トラストフレームワークを策定
- 民間IDの信頼度レベルを定義
- 信頼度レベルの度合いに応じで利用可能なサービスを制限する
- イギリスの事例
- 国民ID登録簿はコスト、プライバシーの問題により廃止
- 民間IDの高度化 →midata
- midata
- 企業側の持つ個人情報をユーザーがアクセスできるようにして、サービスに活用するなど
- EUの一般データ保護規則案
- EU全域の規則
- データ・ポータビリティの権利(ユーザーが自分の情報にアクセスして使いまわす権利)
- 忘れてもらう権利
- 日本の現状
- あまりデジタルアイデンティティ・マネジメントは重要視されていない
→これからだ。 - OECDのデジタル・アイデンティティ・マネジメント指針
- [正確な情報はこちらをあたって下さい →「個人情報の安全安心な管理に向けた社会制度・基盤の研究会報告書」]
- 国家戦略を考えろ
- 潜在的な利益を見据えろ
- オフライン・サービス相当の実装から始めろ
- 国家戦略と足並みを揃えろ
- バランスのとれたデジタルクレデンシャルの制作が必要(?)
- セキュリティとプライバシーの両方を保証すべき
- クロスボーダーな戦略が必要