クロスドメインでのデジタルアイデンティティを守る

APIアクセス権を委譲するプロトコル、
OAuthを知る

作島　立樹
NRIパシフィック
2008/1/21

　プロバイダにとっても大きいOAuthのメリット

　ユーザーにとってOAuthを利用するメリットは、その特徴が表しているように、IDとパスワードをコンシューマに預けなくてもよいことと、コンシューマに与える権限を事前に確認できることである。また、あるサービスプロバイダへ複数のコンシューマが接続している場合、それらコンシューマのアクセス管理（ルールの変更、削除など）をサービスプロバイダ上で一元管理できるようにもなる。

　サービスプロバイダから見たメリットは、自前で認可プロトコルの実装を行う必要がなくなるということだ。OAuthの機能やセキュリティの強化はコミュニティで図られるので、サービスプロバイダはAPIのアクセス権をやりとりするプロトコルの実装を意識することなく、事業に直結するコアな機能の開発に集中できるようになる。

　また、OAuthが業界標準となれば、コンシューマに共通のAPIを提供することでコンシューマとしてOAuthをすでに利用しているサイトを自社のサービスに招きやすくなる。将来、コンシューマを相手にした情報ブローカーとなり、自社サービスの周辺に多数のコンシューマが集まって有機的に構成される「巨大なサービスのエコシステム」を構築したいプロバイダにとって、OAuthは魅力的な選択肢となるはずだ。

　コンシューマ側での最大のメリットは、自社のサービスでのセキュリティとプライバシーのリスクを軽減できる点であろう。メールボックスにアクセスできるIDとパスワードは立派な個人情報だ。OAuthを採用してユーザーから必要以上の情報を預かることを避けることができれば、法的責任が発生するリスクを抑えることができる。また、APIを通じてアクセスするユーザーリソースをどのように利用するのか説明するポリシーを提示し、ユーザーから適宜同意を取れば、ユーザーの情報の取り扱いについてのアカウンタビリティも向上する。

　OAuthのこれから

　2008年のOAuth絡みの取り組みとして注目されるのは、

Discovery仕様の決定
OpenIDとの相互運用

である。

　OAuth Discovery は1.0 Draft 1が2007年12月12日に発表され、IIW2007bでも議論が行われた（議事録）。Discoveryは、サービスプロバイダのAPI接続に必要な設定情報をコンシューマが機械的に読めるようにして、コンシューマ登録プロセスを自動化するというもの。発見プロトコルそのものは仕様で定義しておらず、OpenIDと同じ方法（YadisとXRDS文書）が使われることになる。コンシューマがサービスプロバイダへの接続に必要な情報を機械的に読み取れるようになると、これらの2者は事前のやりとりなしに動的に関係を結べるようになる。過去にWebサービスのUDDI（Universal Description, Discovery and Integration）で行おうとしていたことが、特定のレジストラに依存することなく、実現できるようになるということかもしれない。

　OpenIDとの相互運用であるが、IIW2007bで取り上げられたユースケースは、あるコンシューマ（例えばPlaxo）に初めて訪れたユーザーが、OpenIDプロバイダ兼OAuthサービスプロバイダ（例えばYahoo!）へのOpenIDを示し、OpenIDプロバイダへリダイレクトされた後、そこで認証を行い、さらにOpenIDプロバイダにあるコンタクト情報へアクセスするAPIの接続をコンシューマに許可するか確認した後で、トークンとともにコンシューマに戻ってくるシナリオである。ほかにも、「OpenIDプロバイダを経由してユーザーが利用しているすべてのサービスプロバイダを発見させてはどうか」「OpenIDプロバイダでトークンの管理もさせてみてはどうか」など、OAuthとOpenIDとの組み合わせの可能性は尽きない。

　OAuthに関する新たなアイデアや取り組みについての会話は、OAuth Extensions Group上で行われている。2008年5月に開催されるIIW2008aでも何らかの発表があるかもしれない。興味のある方は参加されてみてはいかがだろうか。

3/3

Index
APIアクセス権を委譲するプロトコル、OAuthを知る
	Page1 マッシュアップの犠牲になるユーザーのアイデンティティ TwitterのAPIアクセス権を委譲できないか？
	Page2 OAuthプロトコルを知る
	Page3 プロバイダにとっても大きいOAuthのメリット OAuthのこれから

Profile

作島　立樹（さくしま　たつき）
NRIパシフィック

シリコンバレー（サンマテオ市）にある野村総合研究所のR&D拠点 NRIパシフィックに勤務する特別研究員。主にITセキュリティ技術に関する調査・研究とプロトタイプ開発を担当している。

関連記事
	OpenIDの仕様と技術　連載インデックス
	OpenIDが熱狂的に受け入れられる理由
	OpenIDを使ってみた
	「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。