Passportが目指すのは独占ではなく協調モデル

2002/5/1

 マイクロソフトが推進しているPassportは、1999年から提供されている個人認証サービスだが、日本ではその戦略的位置付けに関してあまり詳細が知らされていなかった。.NET構想の中で見た同サービスに対しては、個人情報保護を懸念する声もあり、その動向が注目されている。先日、マイクロソフトがプレス向けに行った説明会で、同社 デベロッパー・マーケティング本部 .NET Services プロダクトマネジャー 磯貝直之氏が、Webサービス時代における「.NET Passport」について語った。

 磯貝氏はまず、Passportサービスの必要性について以下のように説明した。「Webサービスの世界では、サービスとして提供される各社のシステムが連携する。だが、盲点となっているのは“だれのためのサービスか”という点だ」(磯貝氏)。連携する複数のサービスの間で、提供する対象者の認証(情報)が共有されていることが、Webサービスの連携には必要という。そうして初めて、「ユーザーの特性や定義に基づく高度なサービスが実現する」と磯貝氏は続ける。例えば、旅行サービスを想定してみると、航空会社、ホテル、損害保険会社などが単一のユーザー情報をベースに、自社のサービスを連携させるということになる。「そのような(インターネット上のシングル・サインオンの)仕組みが提供されていなかったから、マイクロソフトが提供することにした」。

 .NET Passportの仕組みは次の通りだ。ユーザーが.NET Passport対応サイト(サービス)にアクセスすると、そのサイトは.NET Passportサイトにリダイレクトし、ユーザーID(電子メールアドレス)とパスワードの入力を要求してくる。ユーザーは指示に従ってその2項目を入力する。そうやってユーザーが入力した情報は、“PUID”(Passport Unique ID)と呼ばれる専用の管理DBで照会され、認識情報をひも付けして元のサイトにリダイレクトされる。そして識別情報に基づきWebページのパーソナライズなどが行われ、必要に応じてほかのサイトとその識別情報を共有することになる。つまり、ユーザーの認証プロセスにおけるトランザクションはユーザーと.NET Passportの間のみで発生しており、対応サイトは干渉できないようになっているというわけだ。また、このPUIDは、64ビットで暗号化されており、マイクロソフトの社員でもその物理的場所を知らされていないほど、厳重に管理されているのだという。

 現在、同サービスのアカウント数は2億件以上で、発生するトランザクションは毎月35億件以上という。磯貝氏によると、このうちの10%程度が日本のユーザーとのことだ。また、.NET Passport対応のサイトは、米スターバックスなど米国を中心に約100サイトあり、検討中のサイトは300サイト以上という。

 さて、セキュリティでは対策の甘さが指摘されることの多いマイクロソフトだが、磯貝氏は次のように述べ、取り組みをアピールした。「信頼性に関しては、あらゆる情報の受け渡しが暗号化されているほか、アーキテクチャを見ても、電子メールアドレスやパスワードが対応サイトに渡されることがないものだ。また、対応サイトの要求に応じて、より強固な認証も準備している。データセンター(iDC)も、ゲートウェイを介してのみインターネットに接続する仕組みをとっているほか、DNSのクラスタリングにより、DoS攻撃にも対応している」。

 最大の懸念である個人情報の取り扱いについては、「登録情報はユーザー自身が管理できる」と強調する。「Passport利用に必要な項目は、電子メールアドレスとパスワードの2項目のみ。第3者への情報開示は、ユーザー自身による設定なしには不可能で、こういった設定を管理できる専用のWebページを用意している」。同氏はまた、登録された情報に関しても、データマイニングのような2次利用は一切行っておらず、第3者機関であるTRUSTeによる監査やP3P(Platform for Privacy Preferences Project)に基づく個人情報保護への対応、Safe Harbour協定(EUと米国間での個人データのやりとりを保護するもの)準拠などが現在実施中であるほか、BBBOnline(米国の電子商取引業者向けのガイドライン策定団体)による承認も進行していると報告した。

 同社の無料メールサービス「MSN Hotmail」との関係については、「囲い込みではない」と断言する。「電子メールアドレスはインターネット上でユーザーを識別する記号に過ぎず、(Passportと)Hotmail側の認証とは独立した仕組みだ。電子メールは、インターネットで使われるあらゆるアドレスを利用可能で、Hotmailである必要はない」とした。また、Passportサービスが無償で提供されていることについては、マイクロソフトにとって同サービスは“投資”であり、対応Webサイトから年間1万ドル程度の料金を徴収することで運用コストをまかなっているという。

 確かに、Webサービスなどのサービスの連携により、ユーザーが個人情報を提供し、オンラインでサービスを享受する機会は増えるだろう。商用以外にも、電子政府などの動きもあり、将来的にそうしないこと(オンライン上で個人情報を提供しないこと)には、社会生活に支障をきたすようになるだろう。現時点で、このようなサービスを一般に提供できるのはマイクロソフトだけともいえる。だからこそ、いまの(Passportに関する)マイクロソフトの動きは独占的とされることも多いが、磯貝氏は「個々のサイトが独自の認証サービスを準備するよりも、投資を集中させることにより、高度な技術開発および運用管理が可能である」と防御する。また、「ユーザー側にしてみても、パスワードを1つ覚えればすむため、従来よりも複雑なパスワードを使えるようになる」と利便性を強調した。

 このようなマイクロソフトの動きに対抗するために結成されたのがLiberty Allianceだが、同社はLibertyに対して余裕を見せる。「ほかの認証サービスとは協調していきたい。そのために、Kerberos 5をベースとし、相互乗り入れが可能となるように整備している。必要に応じてLibertyのアクティビティを評価していくが、現在のところは静観している」。そして、「Libertyは仕様策定のためのイニシアチブであって、出現が遅かった(2001年9月末)こともあり、成果物は不明」としながらも、当初の“対マイクロソフト”色が薄くなっているという見解も示した。

 同社が目指すのは、協調モデル。「銀行のATMサービスのように、複数の独立した認証システムを協調させて1つの信頼できる大きなネットワークを構成することが必要だ」(磯貝氏)。

 今後の計画として、今年中に、認証情報に信頼度レベルを付加した複数のセキュリティレベルの提供、ほかの認証サービスとの協調に向けた段階的な対応の開始などをスタートし、将来的には、Kerberos 5やWS-Security(同社、IBM、ベリサインの3社が仕様を発表したWebサービスのためのセキュリティ言語)を利用した協調モデルに移行すると言う。また、スマートカードやバイオメトリクス技術を用いた多様な認証形式のサポートも行っていくとした。

(編集局 末岡洋子)

[関連リンク]
.NET Passportのページ

[関連記事]
求められるオンラインでの個人情報保護対策 (@ITNews)
マイクロソフトがPassportを開放、相互運用へ(@ITNews)
“自由”を掲げ、MSに対抗するSun ONE(@ITNews)
MS、AOL、サンの認証を巡る競争――勝者はなし? (@ITNews)
オンライン認証技術をめぐる勢力構図(@ITNews)
期待と懸念が入り混じる.Net My Services (@ITNews)
AOLがLiberty Allianceに参加、サン陣営へ (@ITNews)
マイクロソフトの戻れぬ道、「.NET Myservices」がテイクオフ (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)