今回は、OpenID Foundationで実装および仕様策定が進められている「Account Chooser」というプロジェクトについて紹介します。
前々回、前回と、2回に渡ってUDIDについて述べてきましたが、ここで再びOpenIDに関する話題に戻ります。今回は、OpenID Foundationで実装および仕様策定が進められている「Account Chooser」というプロジェクトについて紹介しようと思います。
Account Chooserは、OpenID Foundationの中で、特にGoogleが中心となって進めているプロジェクトです。プロジェクトそのものについて説明する前に、まずはGoogleのOpenIDへの姿勢について、簡単に紹介します。
昨年末、Twitter上などでGmailのアカウントを乗っ取られたと主張するユーザーが多発した事件は記憶に新しいことでしょう。一口に「アカウント乗っ取り」といっても、原因としてはさまざまな要因が考えられます。中でも、複数のサイトで使い回しているパスワードが漏えいしたのではないかという意見が多く見られました。
この「パスワード使い回し問題」に対しては、以下の記事のように、Googleが提供している「二段階認証」(「二要素認証」とも呼ばれる)の利用が有効です(「1password」などのパスワード管理ソフトを利用して、サイトごとに確実に異なるパスワードを利用するという方法も有効です)。
【関連記事】
Gmail乗っ取りの報告相次ぐ
http://nlab.itmedia.co.jp/nl/articles/1212/27/news036.html
Googleアカウントの乗っ取り対策「2段階認証」を導入する
http://www.atmarkit.co.jp/ait/articles/1301/09/news105.html
一方でGoogleの二段階認証は、決して使いやすいものとはいえません。例えば、メールクライアントなどクライアント側の都合で二段階認証が利用できない場合には「アプリ専用パスワード」を発行する必要があります。
しかもこの使いにくさは、決してGoogleだけの問題ではありません。二要素認証を導入している他社のサービスでも、二要素認証を選択することで同じような「使いにくさ」が生じてしまいます。
Google自身も、決して二段階認証がユーザーにとって最良の選択肢ではないという認識は持っており、なるべく「パスワード使い回し」そのものをなくしたいと考えています。そんな中でGoogleが力を入れているのが「OpenID」です。
「従来電子メールアドレス&パスワードで登録しなければならなかったサイトが、OpenIDのRelying Party(RP)となることで、Gmailと同じメールアドレス&パスワードのペアで外部サイトに登録する機会を減らす、つまりGmailと同じパスワードの使い回しをする機会を減らす」という狙いが、Googleが「OpenIDを採用してIdentity Provider(IdP)になる」ことに力を注ぐ大きな要因になっています。
現状では、パスワード使い回しをしているユーザーは多数存在します。そんな状況においてもそのユーザーのGoogleアカウントを保護する手段としては、二段階認証が必要です。しかし、そもそもユーザーがパスワードの使い回しをしなければ二段階認証の必要性は大きく下がるのです。
複数のGoogleアカウントおよびGoogle Appsアカウントを使い分けている人であれば、すでにGoogleが自社ドメイン内のみで提供している「Google版Account Chooser」をお使いかもしれません。Google版のAccount Chooserを利用すると、複数のGoogleアカウントを切り替える際に、いちいちログアウト&ログインを繰り返さないですむため便利です。
【関連リンク】
Account Chooserについて
Account Chooser - Google アカウント ヘルプ
http://support.google.com/accounts/bin/answer.py?hl=ja&answer=1691641
OpenID Foundationの「Account Chooser Working Group」は、このGoogle版Account ChooserをWeb全体に広めたものです。ちなみにGoogleはOpenID Found Account Chooser WGの中心メンバーとして、Account ChooserのUIおよびAPIの標準化を進めています。
セキュリティと使いやすさの両立を考えたとき、二段階認証のようにユーザーに一段階多い操作を要求する方法には、使いにくさにつながってしまうというデメリットがありました。
一方で、OpenIDやOAuthなどを使って外部サイトのIDでログインする方法も問題を抱えています。例えば、RPごとにIdPのペアが異なり、サイトごとに異なるIdPを使って行った結果、どのサイトにどのIdPで登録したのかが分からなくなる、といったものです。
Account Chooserは、すでに明らかになっている上記のようなUX上の問題を、セキュリティレベルを下げることなく解決することを目的として作られました。
まだ使ったことがない人に向けてGoogleのAccount Chooserを簡単に説明するとすれば、MacOSやWindowsがOSレベルでサポートしている「Fast User Switching」のようなユーザーエクスペリエンス(UX)をWebにももたらそうというプロジェクトです。
【関連リンク】Account Chooser - IDIT2012(4〜5ページ目を参考に)
http://www.slideshare.net/matake/account-chooser-idit2012
Copyright © ITmedia, Inc. All Rights Reserved.