本ブログでは、代表的な課題について取り上げ、解決策として、VC及びDIDというデータモデルを利用した分散型ID管理という新たなID管理手法と、現在主流のフェデレーション型ID管理との融合について解説します。
現代社会では多くのサービスがオンライン上で提供されるとともに、リアル世界で提供されるサービスにおいても多くの業務がデジタル化されています。また、企業間・サービス間で連携をとり、新たな顧客体験を提供しているサービスも数多くあります。我々個人の属性情報等もデジタル化されたユーザデータとなり、様々な形で盛んに流通しています。
そのような社会の変化の中で、課題も数多くあがっており、代表的なものとして、データの信頼性と、ユーザ自身による自分のデータのコントロールが挙げられます。以下に課題の概要と解決策について示します。
データの信頼性とは、どのようなことでしょうか?
例えば、アルコールを販売する際に、購入者が20歳以上であることを確認したい場合、自己申告の生年月日は信頼できないと考える人が多いのではないでしょうか?
マイナンバーカードや運転免許証等の物理的な身元証明書を提示することで、初めて信頼性が担保されます。企業が採用を行う際に学位を必須とする場合も、自己申告の情報だけでは信頼できないので、多くは大学発行の物理的な卒業証明書等の提示を求め、信頼性を担保しているでしょう。
こうしたデータの信頼性をデジタル世界で担保する仕組みとして登場したのが、検証可能クレデンシャル(VC:Verifiable Credentials)[i]です。VCは個人が所有できるデジタル身元証明書であり、かつ暗号学的に改ざん検知および作成者の検証が可能であるデータのことを指します。
前述の通り、リアル世界でも私たちが何かしらのサービスを受ける際に、身元を証明することがありますが、現状デジタル世界での身元証明はまだ発展途上で課題が多いです。
Web上でサービスの申し込みは出来ても、身元証明のために手続きがオンラインで完結しない場合があったり、複数のサービスを申し込んだ場合はその都度リアル世界の身元証明書の写真を撮ってデジタル化する必要があったりします。
サービス提供企業側も、提示されたリアル世界の身元証明書を人手で検証する等手間がかかります。
このようなとき、既にデジタル世界で利用可能な信頼性の高い「デジタル身元証明書」をやりとり出来れば、消費者側もサービス提供企業側も手間を減らし、素早くスマートにサービスが開始できます。そのために開発されたのがVCというデータモデルなのです。
VCが流通する仕組みをまとめたのが以下の図です。
VC流通の仕組みは発行主体Issuer、提供先Verifier、保有者Holder、データレジストリで構成されています。
World Wide Web Consortium (W3C) Verifiable Credentials Data Model v1.1をもとにNRIセキュアにて作成
(https://www.w3.org/TR/vc-data-model/)
VCは発行する際にIssuerによって署名されており、改ざんは不可能に近く、安全に管理できます。また、Holderは複数のIssuerから発行されたVCを保持することができ、Verifierに提示する際も複数のIssuerによって発行されたVCを提示したり、VC内の情報の一部のみを提示したりすることが可能です。
VCを受け取ったVerifierはレジストリに登録されている公開鍵を使ってデータの検証が可能となり、直接Issuerに問い合わせる必要はありません。VCの仕組みによって、デジタルな世界で高い信頼性を担保したデータを、必要最小限の範囲で流通させることができるのです。
もう1つの課題である、ユーザ自身による自分のデータのコントロールとはどういうことでしょうか?
従来、ID管理は個別のサービス毎に行っていて、例えば同じグループ会社のサービスだったとしても、サービス毎に別のIDでログインする必要があり、消費者は多数のIDを保持していました。このように各サービスで分断されている状態から、サイロ型ID管理とも呼ばれます。
この課題を解決したのがフェデレーション型のID管理です。フェデレーション型のID管理では、ID管理を集約して担うIDプロバイダーが存在し、各サービスにアクセスする際はIDプロバイダーから認証結果や属性情報を連携してもらうことで、ユーザはID管理をIDプロバイダーに委託し、多数のIDを管理するという課題から解放されました。
しかし、フェデレーション型ID管理では、信頼の根拠となるユーザの情報をIDプロバイダーが管理しており、実際、どのように管理・運用されているかは、ユーザには分かりません。
もちろん、信頼できる企業が高いセキュリティをもって、ユーザの同意の元、管理・運用していれば問題はありませんが、「ユーザ自身が自分のデータをコントロールしている」とは言い難い仕組みとなっていました。また、IDプロバイダーがサービスを終了してしまった場合に利用不可能になるという点でも、課題がありました。
そこで登場するのが、自己主権型ID(SSI:Self-Sovereign Identity)です。SSIは国や事業者などの特定のIDプロバイダーに過度に依存せず、サービスを利用するユーザ自身がデジタルアイデンティティ情報を管理出来るべきという考え方です。この考え方は分散型ID(Decentralized Identity)とも呼ばれています。
近年このSSIの実現方法として注目されているのが、先程挙げたVC(Verifiable Credentials /検証可能な資格情報)とDID(Decentralized Identifiers/分散型識別子)[ii]という規格です。
分散型識別子とは、特定のIDプロバイダーに依存しない方式で発行可能な識別子のデータモデルです。特定の情報にアクセスするためのキーとなり得ますので、これをVCと紐付けて管理することで、ユーザは自分のIDウォレットをハブとしてデータを流通させることができ、IDプロバイダーに依存せずにユーザ自身がユーザデータの管理主体となるSSIを実現することが出来ます。
実際、分散型ID管理はどのように使われているのでしょうか?
以下の記事には、グローバルでの動きと日本国内の動きがまとめられていますので、ご参照ください。
デジタルアイデンティティウォレットとは?|注目される背景とサービス化の論点
特にEUDIWについては、2024年にEUは加盟国に対してIDウォレットを国民に提供することと他国のIDウォレットの受け入れを義務付ける方針を示し、この方針を含む欧州デジタルID規則(dIDAS2.0)が2024年4月に欧州議会にて成立しているため、動きが活発です。
技術アーキテクチャーや参照フレームワークとなるArchitecture and Reference Framework(ARF)は2024年に既に複数回アップデートされ、現時点の最新版は9月に公開されたドラフト1.4.1版となっています。8月にはEUDIWについての実施規則(implementing regulation)案も公開されています。
以下のブログにて詳細を解説しておりますで、こちらもぜひご覧ください。
EUデジタルアイデンティティウォレット(EUDIW)の技術実装リファレンス(ARF)を読み解く
EUデジタルアイデンティティウォレット(EUDIW)の実施規則案を読み解く
現在のデータ流通における課題として、データの信頼性とユーザ自身による自分のデータのコントロールについて、ID管理手法の変遷とともにご説明しました。SSIの考え方に基づいた分散型ID管理はユーザとしてとても納得感のあるもので、置き換わっていくことに期待をされた方も多いのではないでしょうか?
しかし、SSIの実現にも解決すべき課題は多く残っています。
例えば、VCの発行者は特定できても信頼してよいのか?レジストリは誰がどのように管理するのか?なにか問題が起きた場合の責任分解はどうなるのか?等です。
一方で、フェデレーション型のID管理においても、データの信頼性を担保する手法やユーザ自身で自分のデータをコントロールする考え方は取り入れられています。
フェデレーション型ID管理における認証結果や属性情報の連携のためのプロトコルとして、グローバルに広く利用されているOAuth2.0[iii]およびOpenID Connect[iv]では、属性情報をスコープと呼ばれる単位で認可を行える仕組みになっていますので、(IDプロバイダーの実装によるところはありますが)例えば住所は提供するけれど電話番号は提供しない等の制御ができます。
また、OpenID Connectの仕様を拡張し、VCを流通できるようにしたOpenID for VCI[v]、OpenID for VP[vi]、SIOPv2[vii]といった仕様も検討が進んでいます。
このように既存のID管理システムにもSSIの考え方を取り入れながら、それぞれのメリットを活かして使い分けていくいくことが、今後のユーザデータ流通の鍵となるのではないでしょうか。
しかし、フェデレーション型ID管理システムと分散型ID管理システムでは、システム上の互換性がありません。両者を使い分けるにあたって、ユーザにとっては複数のID管理システムでのID発行や管理といった手間が、サービスを提供する企業にとっては複数のID管理システムへの接続をサポートする負荷が生じます。
そこで、NRIセキュアでは、フェデレーション型ID管理システムと分散型ID管理システムの相互接続を実現するプロダクト「Uni-ID Wallet Connector」を開発いたしました。
従来のフェデレーション型ID管理システムを活かしつつ、分散型ID管理システムにも対応することができ、事業者の開発コストおよび保守・運用コストを低減し、スムーズな分散型IDの活用が可能です。分散型ID、フェデレーション型ID含めた包括的なID戦略をソリューションとコンサルティング両面からご支援します。
詳細、お問い合わせは以下のページをご参照ください。
Uni-ID Wallet Connector フェデレーション型IDと分散型IDの相互接続ソリューション
[i] Verifiable Credentials Data Model v1.1
https://www.w3.org/TR/vc-data-model/
[ii] Decentralized Identifiers (DIDs) v1.0
https://www.w3.org/TR/did-core/
[iii] The OAuth 2.0 Authorization Framework
https://datatracker.ietf.org/doc/html/rfc6749
[iv] OpenID Connect Core 1.0 incorporating errata set 2
https://openid.net/specs/openid-connect-core-1_0.html
[v] OpenID for Verifiable Credential Issuance - draft 14
https://openid.net/specs/openid-4-verifiable-credential-issuance-1_0.html
[vi] OpenID for Verifiable Presentations - draft 21
https://openid.net/specs/openid-4-verifiable-presentations-1_0.html
[vii] Self-Issued OpenID Provider v2 - draft 13
https://openid.net/specs/openid-connect-self-issued-v2-1_0.html