特集
» 2008年07月31日 14時32分 UPDATE

Trend Insight:OSCONで審問を受けたOpenID

OpenIDは万能薬といえるのか、それともただの気休めなのか。あるいはその中間的なものだろうか。OSCON 2008のセッションの1つでは、OpenIDに対して肯定的、あるいは批判的な観点からさまざまな意見が乱れ飛んだ。

[Nathan-Willis,Open Tech Press]
SourceForge.JP Magazine

 OpenIDは万能薬といえるのか、それともただの気休めなのか。あるいはその中間的なものだろうか。さまざまな取らえ方をしている人々の注目がOSCON 2008の水曜午後の中央ステージに集まった。そこで行われた“OpenIDの批判的検討(A Critical View of OpenID)”というセッションは批判とはほど遠い内容で始まったが、その興味深さは質疑応答に入ってさらに増した。

 ジェイソン・レビット氏が司会を務めたこのパネルセッションでは、OpenIDのシングルサインオンシステムの理論、セキュリティモデル、実装、重要性が4人の講演者によって語られた。サイモン・ウィルソン氏がシステムの全体像について述べ、Vidoopのスコット・クベトン氏がセキュリティ、DiSoプロジェクトのクリス・メッシーナ氏がソーシャルネットワーキングに与えうる影響についてそれぞれ解説、そしてYahoo!のメンバーシップチームアーキテクトのアレン・トム氏が同社での導入事例を紹介した。

 セッションの前半を占めた各講演者のプレゼンテーションは、大部分が有益でためになる内容だった。彼らは、OpenIDの問題点も率直に語っていた。クベトン氏はプレゼンテーションの冒頭からOpenIDのユーザビリティの低さを認める発言をし、ほかの講演者も同様の考え方を表明した。特にクベトン氏は、ユーザーがWebブラウザのURLバーに注意を払うことはまれであり、そうした見過ごしによってOpenIDによる多段階の認証プロセスの途中でフィッシング詐欺にかかるおそれがある、と指摘した。

 またトム氏は、Yahoo!が実施したユーザビリティ調査の結果に言及していた。その調査によれば、ユーザーはOpenIDの動作に戸惑いを感じているという。ユーザーはOpenIDプロバイダーとOpenIDコンシューマーの関係を理解しておらず、一方がサインアウトすれば双方がサインアウトする(実際はそうではない)と考えていたり、OpenIDを利用した今日のサイトによく見られるデュアルモードのログインページ(OpenIDとユーザー名/パスワードの両方のフィールドが表示される)に困惑したりしていたのだ。

会場からの質問

 講演者の発言の大半が肯定的なものだったためか、質疑応答ではタイトルどおりの批判的な観点からの質問が会場から相次いだ。

 トム氏には、Yahoo!によるOpenIDのサポートに関する質問が数名から寄せられた。Yahoo! IDはほかのサイトでOpenIDクレデンシャルとして使えるのに、Yahoo!がほかのサイトからのOpenIDを受け付けていないのはなぜか、というものだった。Yahoo!はOpenIDプロトコルを評価しているが、現在のOpenIDプロバイダーの多くはYahoo!の有料サービスへのアクセスを許可できるほどには信頼できない、というのがトム氏の回答だった。すると別の参加者から、それではOpenID全体の意味が失われる、ユーザーは(パスワードを自由に選べるように、適切でないものも含めて)OpenIDプロバイダーを自由に選べるべきだ、というコメントが出た。

 これに対してウィルソン氏は、OpenIDを受け入れることの価値はYahoo!のような既存のプレーヤーよりも新しい小さなサイトの方が大きい、それはOpenIDによって登録プロセスが簡略化されるからだ、と述べた。続いてメッシーナ氏が、OpenIDは認証や信頼性を対象とはしておらず、耐性の高いオンラインアイデンティティにすぎない、と補足する。またクベトン氏によれば、OpenIDの今後のバージョンにはプロバイダーからコンシューマーに対するセキュリティ検証のメカニズムが含まれるという。

 このパネルセッションでは、特にOpenIDへの対応を見送ったサイト所有者からのコメントが求められていた。Pownceのリア・カルバー氏は、OpenIDの当初の狙いはブログにコメントを残す際の登録の問題を解消することにあったはず、といって会場に笑いと一瞬の拍手を引き起こした。それだけのために手間をかける意味があるのだろうか、と彼女は示唆する。「パスワードを覚えておくのって、本当にそんなに面倒なことかしら」。

 OpenIDが過剰に複雑なことはパネリスト側もよく承知しており、その点への実質的な批判はなかったが、そのことはOpenIDプロトコルに対する継続的な取り組み原動力になっている。彼らによると、今後のそうした取り組みによって多くの人の懸念は解消されるだろうが、認識されている問題の一部は、OpenIDとユーザーアカウントの関連づけ、OpenIDの統合や破棄など、プロトコルの対象範囲外であって実装者に委ねられるタスクをうまく処理できる“ベストプラクティス”の欠如にあるという。ウィルソン氏は、完全に匿名のOpenIDプロバイダーの存在を示すことでそうした事実を説明していた。

 別の参加者からは、もっと深刻な問題の指摘があった。OpenID認証プロセスの一部の説明に“マジック”というあいまいな表記を使っていたウィルソン氏のスライドに言及して、OpenIDのセキュリティモデルはセキュリティや暗号化の専門家によってきちんとレビューと調査が行われているのか、という質問だった。SSLのような確立され、入念に調査されたシステムでさえ新たな攻撃の脅威にさらされているというのに、どうしてそんなマジックを信用できようか、というのだ。

 パネリストの何人かは、OpenIDは発展途上であって決して完全なセキュリティを提供するものではないと考えるべきだが、エクスプロイトにかんしては積極的なメンテナンスと監視が必要だと主張した。またトム氏は、Yahoo!のエンジニアリングチームがOpenIDを調査したところ、少なくとも同社の独自認証システムと同等のレベルにあることが分かった、と述べた上で「暗号法はロケット工学ほど完成されてはいない」と付け加えた。

 OpenID URLのドメイン乗っ取り、プライバシー、単一障害点といった問題についての質問もあった。また、パネリストから具体的な回答が示された話題もあれば、そうでないものもあった。途中、トム氏はOpenIDを“基本的に、電子メールによってパスワードを再設定する便利な方法”だと発言していた。また、わたしが興味深いと思ったのは、パネリストの皆さんは何種類のOpenIDを持っていますか、という最後の方に出た質問だ。答えは「4つか5つ」「6つ」「7つか8つ」といったものだった。

 とにかく楽しいセッションだった。結局、カルバー氏も本気で論戦を挑むことはなかった。そのような激しい質疑応答が期待できるパネルだという触れ込みで、しかもクベトン氏の最初の一言は「わたしはOpenIDに入れ込んでいる。だが、こいつは最低なやつだ」と挑発的なものだったのだが。

 OpenIDについては多くの誤解がある。発案者側に原因のあるものもあれば、アイデンティティ、認証、セキュリティの区別をおしなべてあいまいにしている実世界の実装に起因したものもある。実際のところ、OpenIDはアイデンティティしか定義していないのだが、シングルサインオンソリューションの導入には残る2つも必要になる。そのことを普通のWebユーザーに分かってもらうのはなかなか難しい。

 結局、このセッションは本当の支持者にとってOpenIDにかんする疑念を晴らす場にも、逆に疑念を抱かせる場にもならなかった。とはいえ、疑問や批判、回答、解決策がオープンにやり取りされる状況を目にするのは新鮮だった。

関連キーワード

Trend Insight | OpenID | 認証 | セキュリティ


原文へのリンク

Copyright © 2010 OSDN Corporation, All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -