コラム
» 2008年02月22日 17時38分 UPDATE

思い切ってOpenIDを信頼しよう

OpenIDは信頼できないと言う人もいるが、ある意味では、少なくとも任意のユーザー名とパスワードでログインするのと同じくらいには信頼できる。

[Larry Seltzer,eWEEK]
eWEEK

 もしもあなたがユーザー情報を管理するWebサイト――例えばネットショップ――を運営しているのなら、ユーザーを認証する必要がある。危険はあるが、やらなくてはいけないし、うまくやらなくてはならない。失敗すれば評判ががた落ちになる可能性もある。

 さらに、ユーザーにとって大問題であるIDの氾らんに荷担することにもなる。Webで使っているすべてのログインIDを思い浮かべてみてほしい。一部のサイトでは、ユーザー名でログインする。おそらくあなたは同じユーザー名をほかのサイトでも使っているだろう。電子メールアドレスでログインするサイトもある(全盛期には非常にいいシステムだった)。それからパスワードが必要だ。もしかして、どこのサイトでも同じパスワードを使っていたりしないだろうか? それはいいアイデアとは言えない。どこか1つのサイトから情報が漏れたら、ほかのサイトのIDも危うくなるからだ。それに、あなたは認証ビジネスに携わっている人ではないだろうから、可能な限り最善の対処はできないだろう。

 RoboFormのような個人向けのソリューションも出回っているが、インターネットにはシステム的なソリューションが必要だ。それはOpenIDという形で提供されている。OpenIDはサードパーティーによる認証標準だ。Webサイトはユーザーに、ログイン名の代わりにOpenIDの入力を求める。OpenIDは「myname.openid-provider.net」のようにURLの形式を取っている。実際、新しいバージョン2.0のOpenIDでは、yahoo.comなどのドメイン名を入力するだけでいいかもしれない(Yahoo!は会員向けにそうした利用法をサポートしている)。

 現段階では、そのプロセスはHTTP 302リダイレクトでOpenIDプロバイダー(OpenID発行元)に転送され、そのプロバイダーが用意している手法でユーザーを認証する。単にパスワードを聞くだけかもしれないし、それよりも厳しい認証を行うかもしれない。例えば、最近のコラムで取り上げたような2要素認証を求められる可能性もある。VeriSign LabsやPing IdentityのSignOn.comなど一部のサイトは、Bank of AmericaのSiteKeyを思い出させるようなフィッシング対策付きのログインを加えている。それから、VeriSignのOpenID Firefoxプラグイン「SeatBelt」を挙げておかなくては。

 サードパーティーの間では、OpenIDをめぐってかなりの盛り上がりが見られる。その最たるものが、Google、IBM、Microsoft、VeriSign、Yahoo!がOpenID Foundationの理事会に加わったというニュースだ。同団体はOpenIDの規格自体を保有しているわけではないが、同規格と開発プロセスを推進している。これでもう、OpenIDは止められないか、破滅するかのどちらかだ。これら5社がOpenIDに絡んで陰謀を企てる理由があるとも思えないので、今のところはいいことだと思うことにする。

 では、OpenIDは信頼できるのだろうか? Trend Microの上級技術者ポール・ファーガソンは(個人的なものと思われるブログで)「ノー」と答えている。ポールのことはセキュリティメーリングリストで知っているし、彼はいい点を突いているが、彼の言っていることは、風呂の水と一緒に赤ん坊まで捨ててしまうようなものだと思う。彼が言うには、ユーザーはOpenIDプロバイダーが自分の証明書を安全に保管し、責任を持って取り扱ってくれると信じなければならないが、プロバイダーはそれにたやすく失敗してしまうかもしれない。だから彼はOpenIDを使わないという。

 わたしは、どのOpenIDプロバイダーでも信じるということはないが、例えば初期の頃からOpenIDビジネスをやっているVeriSignなら信用する。VeriSignはOpenIDを熱心に支持していて、(それはそれとして)わざわざ自社のサイトにEV SSL証明書まで置いている。どうしてVeriSignを信じるのかと言われれば、よく分からない。世間知らずと呼んでくれ。だが、同社は大企業向けの信頼できる認証インフラを運営している。わたしから見ると、業界は全体的には、理論上はOpenIDを支持してきた。それをうまく実装できる企業があるとしたら、VeriSignだ。

 さらにプロバイダーは、フィッシング対策付きのパスワードも利用できる。VeriSignは強力な認証技術において大きな役割を演じており、同社がOpenIDをコンシューマー向け認証を改善する機会と考えていることは確実だ。確かに、消費者が今使える中では最善のものだ。

 サービス側にとってはもっと決断が難しいと思う。1人の消費者として、わたしはOpenID証明書の保存先を選ぶことができる。Webサイトが、特定のOpenIDサイトからの証明書を受け入れて、ほかのサイトからは受け入れないというように決められるだろうか? それは可能だ。AOL、Yahoo!、VeriSignのように、OpenIDログインをサポートしていても、受け入れるプロバイダーのホワイトリストを持っているサイトは既にある。技術者と雑談していると、誰でもOpenIDプロバイダーになれる点が賞賛されることが多いが、実際になったとしても、現実世界ではほとんどサポートされない可能性は高い。例えば、もしもAmazon.comが認証方法としてOpenIDを採用したら、evil-hackrrzz.org(このドメインは空いている。取っておけ!)からの証明書でのログインは許可しないだろう。

 正式なOpenID仕様では、プロバイダーと「リライングパーティー」(ユーザーがOpenIDを使ってログインするサイト)の間に実際の信頼モデルはない。プロバイダーとのやり取りで示されるのは、そのサイトに記録されているIDを持っているユーザーがいるということだけだ。ある意味では、少なくとも今あなたがログインに使っている任意のユーザー名とパスワードと同じくらいの信頼性があると言える。

 OpenIDのことを考えれば考えるほど、まっとうな関係者すべての利益にかなっているように思える。Googleのようにほかの大手サイトとユーザーを取り合っているサイトでさえ恩恵を受ける。Yahoo!ユーザーがGoogleのサービスにアクセスしやすくなるからだ。すべてうまくいけば、パスワードを書き留めた紙を捨てられる日がもうすぐ来るかもしれない。

関連キーワード

OpenID | 認証


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -