EN

メールマガジン登録
お役立ち資料
お問い合わせ

NRIセキュア ブログ

自己主権型アイデンティティとは?|個人情報管理の新たな姿

目次

    topicon_ssi

     今、デジタルアイデンティティの世界ではSelf-Sovereign Identity(SSI)、日本語訳で自己主権型アイデンティティという考え方、技術が盛んに議論されており、一大ムーブメントともいえる状況となっています。

     

     この考え方、インターネット上の個人の権利を守る意味で非常に重要なものです。但し、これで未来が変わるので置き換えるべきか、というとそこには多くの論点があり、理解を深める必要があります。

     

     本ブログではこのあたりについて、概要を解説したいと思います。

    はじめに

     10年以上前まで、私たちがインターネットサービスを利用するには、アクセスしたサイトでIDとパスワードを入力しログインすることがほとんどでした。

     

     シングルサインオンというログイン作業を省略する技術はありましたが、それも基本的に固定のドメイン配下、つまり事業者が同じ場合でのみ使用できるもので、複数の事業者が連携するようなビジネスで使用するには難しい問題が付きまといますし、それさえ使用していない場合は、同じ事業者が提供するサービスであってもサービスの数だけログインしなければならない状態でした。

     

     その為、人々は利用するサービスが増えるたびに覚えなければならないIDとパスワードが増える、氏名や住所などの情報も都度入力を強いられるような状態で、とても不便でした。

     

     しかしその後、ID連携という技術が普及するようになりました。

     ID連携とは、あるサイトでのログイン結果を他のサイトに連携できるようにすることで、連携されたサイトでもログインすることを可能にする技術です。

     

    OpenID Connect入門|デジタル・ビジネスのキーテクノロジー最新動向

     

     今では、多くの企業のサービスではログイン機能の集約が進んでいますし、GoogleやApple、モバイルキャリアなどプラットフォーマーのIDを使用することで様々な企業が提供するサービスへログインが可能です。

     

     このように、ここ10年でログインは大変便利になってきた訳ですが、ここ数年、さらに新しい考え方として、Self-Sovereign Identity(SSI)というものの議論が活発になってきていました。

    Self-Sovereign Identity(SSI)とは 

     まず、SSIについての概念をご説明します。
     SSIとは、個人のアイデンティティ情報は、個人が(Self)が主権者(Sovereign)である=その最終的なあり方を決定する権力を持つべきである、ということであり、デジタルの世界に置き換えると、"個人が自らのデータを他人の介入を必要とせず自らの意思でコントロールすることが出来るべきである"、という考え方です。

    日本語では、「自己主権型アイデンティティ」と訳されています。

     

     一般的にサービスを使用する場合、必要となる個人データは以下の2つのパターンで保管されているものを使用します。

     

    • ①そのサービスの内部にあるもの
    • ②プラットフォーマーが保管しているもの。IdP(Identity Provider)と呼ばれる存在となり、保管しているデータを利用するサービスへID連携(フェデレーション)

     

     ユーザ体験は異なりますが、どちらも個人の情報が事業者のサーバに保管されている点は共通しています。

     

     この点が近年、個人が予期しないレベルまで事業者が個人情報を収集・分析出来てしまい、プラットフォーマーによる寡占を引き起こすとのことで懸念されてきました。この懸念は、個人情報保護法の改正などによる法的整備や、企業の倫理感の向上などで緩和されてきているものの、払しょくしきるところまでには至っていません。

     

     一方、SSIにおける代表的な実装モデルでは、サービスを利用する際、自らの持つスマートフォンに保管しているデータを利用しようとするサービスに連携して使用します。この場合、データはユーザ自身の身近にある自分のスマートフォンに保管されているため、ユーザが自分の情報をコントロールしやすい状況を作ることが出来ている、といえます。この為、この実装モデルは企業側の論理で個人情報を扱うことが出来てしまう現状に一石を投じるものとなっています。

     

    デモ:スマートフォンからサービスへ情報を渡す

     では、どのような形でSSIを実現するのか、簡単なデモを挟んでみたいと思います。

    最も基本的な例として、個人のデータを必要とするサービスへ手元のスマートフォンから情報を渡す、というユースケースを想定したものです。

    使用したのは、Microsoft社が提供している、Azure Active Directory Verifiable Credentialsというツールです。

     

    Azure Active Directory Verifiable Credentials (プレビュー) の概要
    参考URL:https://docs.microsoft.com/ja-jp/azure/active-directory/verifiable-credentials/decentralized-identifier-overview

    ms-verifier_v03a


    【デモ1】認証アプリ→利用サービスへID連携する画面のデモ

     

     

     

     単純な流れでしたが、中ではこんな動きになっていました。

    図1

     技術的には、様々なデータ検証が行われていますがそちらについては割愛します。

     

     どこかのサービスに保管したデータを利用するのではなく、手元の端末に保管していたデータでログイン出来ているところは、SSIの考え方を具現化したユーザ体験として納得性の高いものがあると思います。

    デモ(応用編):フェデレーション方式とのハイブリッド

     技術要素が現状普及しているものと大きく異なるため、全てを新しい技術に置き換える事は事業者にとって大きな負担が生じかねません。このため、既存のフェデレーション方式とハイブリッドするパターンも検証してみました。

     

     こちらは、上記②に書いたIdPが利用サービスの機能を持つパターンです。

    4-2-Verifier_v03a

     

    【デモ2】認証サービス→IdPへID連携する画面のデモ

     

     デモ1と同じような流れですが、Verifierと呼ばれる個人情報の要求元が、IdPとなっています。これにより、既存のIdPと連携しているサービス群は手元のスマートフォンの属性を使用することができるようになりました。

    図2

     あるサービスを使用する際にIdPに情報を問い合わせに行くものの、そのデータの大元は手元のスマートフォンにあったものである、という状態を作ることが出来ています。このような形でのSSI実現も、検討できるかもしれません。

     

     使用したのは、前述のAzure Active Directory Verifiable Credentialsと当社Uni-ID Libraです。Uni-ID LibraはIdPでもあり、SSI技術と既存のフェデレーション技術を仲介するハブとしました。

    SSIにすべてを置き換えるべきか

     今回、SSIという考え方を紹介させていただきました。

     自分の情報をコントロールしているユーザ体験として、非常に理解しやすいと思います。

     

     この技術は期待も大きく、身分証明や運転免許証の連携、ワクチン接種証明等、様々なシーンへの応用が議論になっています。

     

     但し、誤解してはいけない点として、現在標準的に使用されているフェデレーション方式がSSIの考え方にそむいたものというわけではない、ということも記載しておきたいと思います。

     

     SSIという言葉自体は、ここ数年よく使われるようになりました。

     

     しかし、ユーザ自身が自らのデータをコントロール出来る状態を作るべきであるという考え方は特段新しいものではなく、フェデレーション方式でも取り入れられています。フェデレーション方式はむしろ、この考え方を十分理解した上でさらに、個人レベルで自分の情報を技術、法、契約などあらゆる面から問題のない形でコントロールすることの難しさも鑑み、事業者も参加することでそれを実現できるようにしたもの、でもあるのです。

     

     また、SSIで議論されている技術は、解決すべき課題も残っています。
     例えば、ID情報の発行主体は誰なのか、なぜそれは信用できるのか、問題が発生した場合にだれが責任を持つのかなどです。また、認証サービスに保管されるデータはエンドユーザがオーナーですが、実際には事業者によって開発されたアプリケーションに保管されていますので、データの取り扱いについての信頼性がどのように担保されるか、といった課題もあります。

     

     これを考えるとフェデレーション方式にもメリットがあり、SSIという考え方の実現には、機能、UX、既存資産の有効活用なども鑑みた技術の使い分け、相互運用が解となる可能性は十分にあると考えています。

     

     実は、上記応用編のデモはこれらを鑑みて、”すでにフェデレーション方式で安定稼働している環境、経済圏に大きなインパクトを与えることなくSSIの考え方、技術、経済圏を取り込むことができるか”という観点で実施したものです。

    ※なお、IdPからデータをスマートフォンに連携するパターンも検証済みです。

     

     現状、SSIを実現するための統一解は出ていません。
    従来ある技術の利活用し続けるメリットがある可能性は十分にあり、議論が世界各国で続けられています。image01

    まとめ

     今回は、SSIという考え方をご紹介いたしました。

    • SSIとは、個人のアイデンティティは、個人が(Self)が主権者(Sovereign)、つまりその最終的なあり方を決定する権力を持つべきであるという考え方
    • 代表的な技術は、ユーザ体験として非常に理解しやすいものとなっている
    • ただし、発行主体をどう信用するかなど課題がある。この点などは従来あるフェデレーション技術にもメリットはありそう
    • 事業者は、このあたりのメリット、デメリットを理解したうえで今後のデジタルアイデンティティ基盤を検討していくべきである。

     デジタル化社会がどれだけ発達したとしても、あくまでそれは人々の生活に寄り添ったものである必要があります。

     

     このことを考えるうえで、SSIという考え方は非常に重要です。

    これをどうやって実現していくか、当社としては、現在の動向を注視・研究しながら、よりよい社会の実現に貢献していきたいと考えています。

     

    新規CTA