中間活動報告会人材育成WG・ビジネスサブWG

中間活動報告会（人材育成WG・ビジネスサブWG）⼀般社団法⼈OpenID ファウンデーション・ジャパン人材育成ワーキンググループビジネスサブワーキンググループ

Copyright © OpenID Foundation Japan 2 はじめに – 本日の発表の位置づけ本日はこれまでのビジネスサブWGの活動内容の報告と、その過程で躓いているポイントや課題を共有します。
ご参加いただいた皆さまから様々な意��をいただき、今後の活動を改善していきたいと思います！ 2024年上半期のビジネスサブWGの主な活動扱うテーマの選定調査・資料化レビュー・ディスカッションテーマは妥当︖ 調査した内容は正しい︖ OIDFとして適切？誰が正解を知っている？テーマは妥当？世間のニーズに合ってる？

Copyright © OpenID Foundation Japan 4 登壇者紹介島﨑岳歩（PwCコンサルティング合同会社）浅利
勇佑（PwCコンサルティング合同会社）佐藤拓美（株式会社NTTドコモ）紀平悠人（株式会社NTTデータグループ） PwCコンサルティング合同会社シニアマネージャートラストコンサルティング/ サイバーセキュリティ＆プライバシー部門所属デジタルアイデンティティ領域の担当として、日々奮闘しています。セキュリティを扱う部署にてIDaaSの導入に向けた要件整理や設計、構築に従事。 DIに携わるようになって3年目で、まだまだ勉強中。2023年12月からOIDF-Jの活動に参画。独立系Sierにて、Active Directory を中心としたインフラの開発・運用に従事。その後転職し、セキュリティ系のコンサルタントとしてセキュリティ体制の検討やシステム開発時のセキュリティ要件整理などに従事。写真法人向けKYCソリューションの企画・販売、決済サービスのKYC機能の企画を担当。 2023年よりOIDF-Jに参画。デジタルアイデンティティ初心者。趣味はモルック。2022年モルック世界大会日本代表メンバー。

Copyright © OpenID Foundation Japan 5 ビジネスサブワーキンググループの位置づけビジネスサブWGは、人材育成WGにおいて主にビジネス領域（技術詳細以外の領域）のテーマを扱う位置づけとなっています。 •
ビジネス関連（技術詳細以外の）のテーマを取り扱う • 14名のメンバーが活動中(6/19時点) 翻訳サブWG ビジネスサブWG 技術サブWG 技術領域ビジネス領域人材育成WGの構成

Copyright © OpenID Foundation Japan 6 ビジネスサブWGの活動目的と実施内容本WGの目的 (Why) やること
(What) • デジタルアイデンティティ関連の動向・情報を体系的に調査・整理することで参加メンバーが知見を獲得する(※) • 整理した情報をOIDF-J内外に発信し、デジタルアイデンティティに関する理解を促進し、適切な選択や関連技術の普及に貢献する • 組織や参加メンバーのプレゼンスを高める（※）技術関連は技術サブワーキンググループで対応予定。扱うテーマの重複・関連は、両WG間で順次最適化の調整を実施。 • 本活動の成果としてホワイトペーパーをWebで対外公開（予定） • イベントを通じてOIDF-J内外に活動報告（本日第1回）（予定）過去WG資料より抜粋本WGではデジタルアイデンティティに関する動向・情報などを初学者でも取りつきやすい形で整理・発信することで、自他ともに理解の促進を図り、世の中のID関連ビジネスの促進に貢献することを狙いとしています。

Copyright © OpenID Foundation Japan 7 年間スケジュール（2024年） 2023年12月に人材育成WGが発足後、2024年はテーマを決めて調査・勉強会を実施してきました。 7
1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月マイルストーン 1 テーマ選定 2 調査・勉強会 3 OIDF-J内・外発信 4 次年度活動計画 ▼対外発信・イベント（予定）年間の検討テーマ案決め調査・整理上期検討テーマ・担当決め輪読・修正下期検討テーマ・担当決めイベント準備ホワイトペーパードラフト最終化有識者レビュー次年度の活動計画隔週定例イベント準備調査・整理輪読・修正 ▼中間活動報告会

Copyright © OpenID Foundation Japan 8 これまでの本WGの取り組み WGの立ち上げ方針・テーマ決め調査・資料化
WG内部のレビュー・ディスカッション • 各WGのメンバー募集、各WGの目的設定などを行い WGの立ち上げを実施 • 目的とやりたいことは定まったが、「で、具体的に何をしようか︖」状態からスタート • メンバーの意見も踏まえつつ、まずは基礎的なテーマ・内容から整理をしていくことに • 参加者全員に担当を割り振り、メンバーの善意の活動ベースで取り組み • まとめ方などに苦慮しつつ、信頼された機関の発行物などを参照しながら資料を作成 • メンバーが作成した資料をもとに、サブWG内へ共有・ディスカッションを実施 • 資料化した内容の妥当性や、品質担保の方法について課題を感じる ← イマココ

Copyright © OpenID Foundation Japan 9 ビジネスサブWGにおいて取り扱っているテーマ No. テーマ概要
1 デジタルアイデンティティとは • アイデンティティの用語の定義やエンティティ・アイデンティティモデルの説明 • ビジネスにおけるアイデンティティ活用の重要性、活用におけるポイント 2 アイデンティティ管理に必要な概念の整理 • 身元確認、当人認証・認可、フェデレーション��プライバシーなど、アイデンティティを管理するうえでの要素の全体像・個別の概念について簡潔に解説 3 アイデンティティ管理の類型の整理 • アイデンティティを管理するための類型について整理管理主体による整理（集中管理型、フェデレーション型、分散型）管理対象による整理（EIAM/CIAM）調査・資料化中のテーマ今後調査・資料化を検討しているテーマ（仮） No. テーマ概要 4 アイデンティティ管理サービス・ソリューションの体系化アイデンティティを管理するためのサービス・ソリューションについて、どのようなサービスカテゴリが存在し、目的に応じてどのように使い分ければよいかを整理する 5 アイデンティティに関する技術の歴史アイデンティティに関する技術がどう発展してきたかをビジネス寄りの観点から調査し、流れを整理する 6 アイデンティティに関するビジネスの歴史アイデンティティの活用やそれに伴うサービス・ソリューションがどのように変化してきたかを調査し、流れを整理する 7 アイデンティティに関するサービスの変化および市場動向の調査アイデンティティに関わるサービスについて、内容や市場の変化を調査し、整理する

Copyright © OpenID Foundation Japan 10 作成中のアウトプット・目次 1. デジタルアイデンティティとは 1.
デジタルアイデンティティとは何か 2. なぜデジタルアイデンティティが重要か 3. ビジネスにおけるデジタルアイデンティティの活用事例 4. デジタルアイデンティティをビジネスで扱う上で必要な観点 2. デジタルアイデンティティ管理に必要な概念 1. デジタルアイデンティティ管理の全体像 2. 身元確認 3. 当人認証・認可 4. フェデレーション 5. プライバ��ー対策 3. デジタルアイデンティティ管理の類型 1. デジタルアイデンティティ管理の分類パターン 2. デジタルアイデンティティの管理対象による分類 3. デジタルアイデンティティの管理主体による分類 4. Appendix 1. 主な用語の定義各テーマの内容は以下の目次の通り整理します。別紙にて簡単に共有いたします。

Copyright © OpenID Foundation Japan 11 ビジネスサブWG活動の難しさ半年間の活動を経て、いくつか難しいと感じる点が出てきています。対応すべき課題を整理し、 7月以降のサブWG活動を改善したいと考えています。 •
ビジネス領域は、技術の標準仕様のような明確な正解がなく、整理した情報が抽象的で当たり障りのない情報になる傾向がある • サブWG参加者内で決めたテーマに沿って調査・資料化しているが、世間一般のニーズに沿った内容・レベル感となっていないという懸念があるビジネスサブWG の観点 • アイデンティティに関して様々な視点や主張を持つ人がいると思われるため、誰から見ても正しい情報として整理しきれない懸念がある • 関連分野の情報も含めて広く深い知識が必要となるため、調査・資料化、レビューの負荷が高く、当初の想定よりまとめに時間がかかる傾向にある全体的な観点 • アイデンティティに関する経験が浅いメンバーも多く、アウトプットの作成やレビューに必要なナレッジやパワーが不足していると考えており、アウトプットの品質向上に苦戦している人材の観点

Copyright © OpenID Foundation Japan 12 今後の取り組みに向けたポイント ①世間のニーズを捉えた的確なテーマの設定 • 現在取り扱っているテーマが、世間のニーズに沿っていないという懸念があるため、
ニーズや期待について把握し、下期の活動に向けて検討テーマを見直したい ②各テーマについてまとめる��き情報の明確化 • 調査・資料化した内容をサブWG内でレビューしているが、内部ではまとめにくい点がある • 情報のまとめ方について皆様からご意見をいただきたい ※今回は特にサブWG内でポイントとして挙がった点を抜粋 1. フェデレーションに関してまとめるべき情報は何か？ 2. EIAM/CIAMを取り上げる場合にまとめるべき情報は何か？ ③資料化した内容の妥当性の検証（ディスカッションなし） • アイデンティティおよびビジネスに関する情報は明確な答えがないと思われるため、様々な視点を持つ方々の目を通しながら情報を発信していきたい 7月以降の改善に向け、取り組むべき課題を大きく3つに絞り込みました。各ポイントで論点を設定したので、忌憚なき意見をいただけると大変助かります。

Copyright © OpenID Foundation Japan 13 現在のテーマの中で見直すべき、または追加すべきテーマはあるか︖ ポイント① 世間のニーズを捉えた的確なテーマの設定
• 現テーマの方向性の案や、追加で検討すべきテーマ案についてご意見いただきたい • 皆さんが過去に苦労した話などの経験から、期待やニーズに沿ったテーマに対し取り組んでいきたい ▪今後の方針案 • 現在のテーマの継続（ベースラインとしての理解促進） • 新規テーマの設定（ニーズに合わせたテーマを今回の報告会や内部で再設定） • アウトプット作成以外の取り組み（仮）話題のニュースやトピックスについての勉強会各種イベントへの参加、内容についての共有会など

Copyright © OpenID Foundation Japan 14 （再掲）ビジネスサブWGにおいて取り扱っているテーマ No. テーマ概要
1 デジタルアイデンティティとは • アイデンティティの用語の定義やエンティティ・アイデンティティモデルの説明 • ビジネスにおけるアイデンティティ活用の重要性、活用におけるポイント 2 アイデンティティ管理に必要な概念の整理 • 身元確認、当人認証・認可、フェデレーション、プライバシーなど、アイデンティティを管理するうえでの要素の全体像・個別の概念について簡潔に解説 3 アイデンティティ管理の類型の整理 • アイデンティティを管理するための類型について整理管理主体による整理（集中管理型、フェデレーション型、分散型）管理対象による整理（EIAM/CIAM）調査・資料化中のテーマ今後調査・資料化を検討しているテーマ（仮） No. テーマ概要 4 アイデンティティ管理サービス・ソリューションの体系化アイデンティティを管理するためのサービス・ソリューションについて、どのようなサービスカテゴリが存在し、目的に応じてどのように使い分ければよいかを整理する 5 アイデンティティに関する技術の歴史アイデンティティに関する技術がどう発展してきたかをビジネス寄りの観点から調査し、流れを整理する 6 アイデンティティに関するビジネスの歴史アイデンティティの活用やそれに伴うサービス・ソリューションがどのように変化してきたかを調査し、流れを整理する 7 アイデンティティに関するサービスの変化および市場動向の調査アイデンティティに関わるサービスについて、内容や市場の変化を調査し、整理する

Copyright © OpenID Foundation Japan 15 （再掲）作成中のアウトプット・目次 1. デジタルアイデンティティとは 1.
デジタルアイデンティティとは何か 2. なぜデジタルアイデンティティが重要か 3. ビジネスにおけるデジタルアイデンティティの活用事例 4. デジタルアイデンティティをビジネスで扱う上で必要な観点 2. デジタルアイデンティティ管理に必要な概念 1. デジタルアイデンティティ管理の全体像 2. 身元確認 3. 当人認証・認可 4. フェデレーション 5. プライバシー対策 3. デジタルアイデンティティ管理の類型 1. デジタルアイデンティティ管理の分類パターン 2. デジタルアイデンティティの管理対象による分類 3. デジタルアイデンティティの管理主体による分類 4. Appendix 1. 主な用語の定義各テーマの内容は以下の目次の通り整理します。別紙にて簡単に共有いたします。

Copyright © OpenID Foundation Japan 16 フェデレーションについて、ビジネス観点で体系的にまとめてあると嬉しい情報はあるか︖ ポイント② テーマごとにまとめるべき範囲や内容を明確化
• 案➀ SAML/OIDCの比較を中心にまとめるフェデレーション代表的なプロトコルであるSAMLとOIDCを取り上げ、利便性やセキュリティなどユーザ目線での特徴を説明する。 • 案➁ SSOに関する内容を中心にまとめるユーザ目線だと、SSO（フェデレーションによるメリット）のようなキーワードの方が語りやすいと思われるため、SSOに関する内容を充実させる。 • フェデレーションに関して、技術の話を避けて、ビジネス観点のみでまとめることが難しい。 • 組み込むべきポイントや中身について、参加されている方々とディスカッションしたい。

Copyright © OpenID Foundation Japan 17 • フェデレーションとは • フェデレーションによるメリット
• フェデレーションの登場人物 • フェデレーションの保証レベル現状のスライド構成 • フェデレーションの実現方法の例 • SAMLとOIDCの違い • OIDCの特徴、SAMLの特徴 • フェデレーションに関する歴史検討したが削除したスライド・実現できること・ユースケース・利便性・セキュリティなどフェデレーションについて、ビジネス観点で体系的にまとめてあると嬉しい情報はあるか︖

Copyright © OpenID Foundation Japan 18 フェデレーションとは  フェデレーションとは、他のサービスでの当人認証結果やユーザの属性情報を別のサービスに提供すること。フェデレーション先のサービスは、受け取った情報をもとにアクセス許可の判定
をする  フェデレーションが可能になると、 • 認証回数が減るので、ユーザの��便性向上、ユーザ体験の改善が期待できる • サービスごとの認証情報管理が不要になるので、セキュリティ面でのリスク低減、サービス運営時の運用負担が軽減するなど、デジタルアイデンティティ活用によるメリットを享受できるようになるだけでなく、 • サービスを追加する際に、既存の認証基盤の認証情報を流用できるので、コストを抑えられる、サービス登録時の利便性が高まるなどのメリットもある一方で、 • 連携された認証情報の追跡しづらいため、プロトコルの標準化と、中身を理解した上での実装が必要である作成スライド

Copyright © OpenID Foundation Japan 19 フェデレーションによるメリット  利用者からすると、サービスAとサービスBでフェデレーションが可能であれば、サービスAでID/PWを入力するなどして当人認証が完了すると、再度ID/PW等の入力を
しなくてもサービスBにログイン可能となるシングルサインオン（SSO︓Single Sign-On）の仕組みを利用できるようになるサービスA サービスB サービスZ ・・・サービスA サービスB サービスZ ・・・認証基盤 aaaa1 pass4a bbbb1 pass4b zzzz1 pass4z userid passw0rd ◀フェデレーションされていない状態フェデレーションされている状態▶ 作成スライド

Copyright © OpenID Foundation Japan 20 フェデレーションの登場人物フェデレーションは主に、ユーザ・認証を行うサーバ・ユーザにサービス提供を行うサーバの３者で構成される認証を行うサーバ
（認証基盤）サービス提供を行うサーバ（認証基盤に認証を委託する側）ユーザ（サービスを使う主体） Identity Provider（IdP）と呼ばれる当人認証の結果やユーザの属性情報などを、各サービスサーバが検証できるように署名して渡す Relying Party（RP）と呼ばれる当人認証の結果やユーザの属性情報を受け取って、アクセスし��きたユーザを認可する Webブラウザやスマホアプリなど認証情報のやり取りをする主体はクライアントと呼ばれる当人認証に必要な情報を認証基盤に渡すアイデンティティ管理とその動向 - Yahoo! JAPAN Tech Blog 作成スライド

Copyright © OpenID Foundation Japan 21 フェデレーションの保証レベルフェデレーションの際に連携される情報の保護レベルによって、フェデレーションの強度が異なる NIST SP800-63A-3ではFAL(Federation
Assurance Level)が定義されている具体的には、IdP→クライアント→RPに渡す、認証結果の検証に必要な情報（アサーション）の保護レベルが定義されている認証連携保証レベルレベルの定義目的レベル1 (FAL1) 持っていれば使用できるアサーションであること、または、アサーションがIdPで署名されていることアサーションの改ざん対策をすることレベル2 (FAL2) FAL1に加えて、対象のRPのみが復号可能なように IdPでアサーションが暗号化されていることアサーションの漏洩・盗聴対策をすることレベル3 （FAL3） FAL2に加えて、HoK*アサーションを使用すること *HoK(Holder of Key)：鍵を使って持ち主と紐づけて、第三者による使用を検知する方法アサーションの不正使用対策をすること作成スライド

Copyright © OpenID Foundation Japan 22 EIAM、CIAMを取り上げる場合初学者に伝えるべきエッセンス��は何があるかポイント② テーマごとにまとめるべき範囲や内容を明確化
• 情報の正確性を担保するため、情報ソースの有無を重要視しているが、それがない場合、定説とされている範囲での整理となってしまい、内容が浅くなる傾向にある例）EIAM、CIAMには明確な標準等がなく、定説と言い切れると判断した範囲で記載 • 知っておくべき内容が伝わらない可能性もあるため、どういう情報が含まれていれば役に立つか、ご意見をいただきたい • ニーズがあれば、定説や通説のような情報であっても取り入れて整理することを検討したい →主観的な情報であることを明示したうえで、事実に基づく情報と併せて扱いたい • 今後のWG活動においてアウトプットを作っていく上でどの程度まで情報の信頼性の担保が必要かも確認したい。

Copyright © OpenID Foundation Japan 23 アイデンティティの管理対象による分類*1 管理対象が従業員か顧客かによって一般的にEIAM/CIAMに分類されます。また、顧客向け (Customer/Consumer)では、サービスの性質によって分類でき、特徴が異なります。 CIAM
(Customer IAM /Consumer IAM) BtoB Business to Business BtoC Business to Customer/Consumer GtoC Government to Citizen*2 EIAM (Enterprise IAM/ Workforce IAM) *1︓いずれも集中管理型の場合を想定 *2︓Customer/Consumerと解釈されることもある概要卸し先企業の従業員等消費者市民企業行政機関企業管理者と同じ組織の従業員/協力社員等企業 /学術機関等イメージ社内の従業員や学術機関の生徒・職員、社外の協力社員などの内部ユーザを対象に、企業や学術機関等が提供するアイデンティティとアクセス管理サプライチェーンに含まれる取引先企業や代理店のユーザを対象に、企業が提供するアイデンティティとアクセス管理銀行や通信事業者等の企業が提供する消費者向けサービスの一般ユーザを対象に、企業が提供するアイデンティティとアクセス管理行政機関が一般市民向けに提供するアイデンティティとアクセス管理特徴 • 一般的に、HRの人事DBや契約情報管理 DB等をIDの源泉とし、社内のワークフローを通じて管理される • 従業員の入退に応じたライフサイクル管理や特権管理等が必要となる • 一般的に、ユーザが属する企業のメールアドレスの送達確認等により、法人顧客管理者の承認を経て登録、管理される • 顧客であるため同意管理が必要となる • サービスによって集める属性情報やその管理方法は様々 • 同意管理だけでなく、データ主体が求める利用停止や消去等の要求への迅速な対応が必要となる • サービスによって集める属性情報やその管理方法は様々 • 普及に際し、国民監視を強めることへの懸念や、配布漏れによる権利の侵害、唯一性の担保など課題が多い CIAM/EIAM

Copyright © OpenID Foundation Japan 24 興味がある方のご参加をお待ちしています︕ ポイント③ 資料化した内容の妥当性の検証（ディスカッションなし）様々な視点を持つ方々との交流を通じ、アイデンティティに関するビジネス��ついて議論していきたい
と考えています。 • アイデンティティのビジネスに関する経験をお持ちの方 • これから一緒にアイデンティティについて勉強していきたい方興味を持っていただけた方は、是非参加についてご検討ください︕ https://www.openid.or.jp/about/index.html#op-about-joining

Thank You

中間活動報告会人材育成WG・ビジネスサブWG

中間活動報告会人材育成WG・ビジネスサブWG

OpenID Foundation Japan

More Decks by OpenID Foundation Japan

Other Decks in Business

Featured

Transcript