事例や普及で日本が世界をリード
リアルビジネスと融合するOpenID
2009/01/28
ブログやソーシャル系サービスなど、Web2.0的サービスのシングル・サイン・オン技術(SSO)として登場したOpenIDだが、米国をはじめとするグローバルな市場での受容と、日本での受容には大きな違いがあるようだ。1つは、OpenIDの認知度や利用率が日本では突出して高いこと。もう1つは、Webサービス系の連携のフレームワークとしてよりも、インターネットサービスではない“非Web系”の連携ツールとして、OpenIDがリアルビジネスと結びつく形での普及の兆しが見えてきたことだ。
野村総合研究所(NRI)は1月28日にセミナーを開き、日本のID関連ビジネスの動向やOpenIDを使った事例紹介、同社の戦略について説明した。
ネットのデファクト、5億個のOpenID
「利用者への普及という点では、日本は世界的にも突出している」。こう語るのは、自らもOpenIDの仕様策定に加わるNRIの崎村夏彦氏(情報技術本部 技術調査部 上級研究員)だ。japan.internet.comの調査によれば2008年10月時点でのインターネットユーザーのOpenIDの認知率は28.1%、利用率は15.2%と、他国に比べて高い。また、OpenIDプロバイダとしてヤフー、mixi、NECビッグローブ、楽天など国内大手サイトも対応を表明。一部でIDの提供を開始している。グローバルでは、2008年10月にグーグルやマイクロソフトがOpenID提供の試験的に開始するなど「すでに5億以上のIDがOpenID化していて、ネット上ではOpenIDがデファクト化」(崎村氏)している。
OpenIDをログインIDとして受け入れるRP(Relying Party)としての対応では、ベンチャー系ネット企業で採用が進むほか、金融系、医療系といった“堅い”サービスで、対応の動きが出てきているという。楽天が2008年10月に開始した「楽天あんしん支払いサービス」は楽天のIDや決済システムを外部のECサイトでも利用できるサービスで、この認証基盤にOpenIDが使われているという。
崎村氏によれば、OpenIDの仕様策定の主導や技術的貢献が多いことも、日本の特徴だという。例えば、mixiはOpenIDメンバーシップ認証方式を考案。これは、通常OpenIDがID認証しか行わないのに対して、ユーザーが特定のグループに属しているかどうかを証明する方法を提供する。ビッグローブはEV-SSL証明書を使ったOpenID専用サイトを構築。OpenIDを使った認証で、リダイレクトされた先のサーバが正しいものであることを判定しやすくし、今後懸念されるセキュリティ上の課題を先回りしてクリアしている。
2008年12月に正式版となったOpenIDの規格「OpenID PAPE1.0」(OpenID Provider Authentication Policy Extension)や、現在仕様策定が進んでいる「OpenID CX」(Contract Exhange)などは、より高いセキュリティが求められるサービスでのOpenID利用を視野に入れた拡張規格で、こうした仕様策定や実装でも日本がリードしているという。
OpenIDによるID連携の、JALでの成功事例
OpenIDを使った企業間連携として、NRIがコンサルティングとシステム構築支援を行ったJALの例は、サービス間でクレジットカード情報をやり取りするという高いセキュリティが求められるサービスでありながらOpenIDを使用。しかも単なるSSOサービスの提供という以上のビジネス上の効果が上がった事例だ。
連携は、JALが提供する会員制マイレージサービスを、ホテル予約サービスと結びつけるもの。JALのページで国際線予約とホテル検索を同時に行い、これまでホテル予約では別途情報入力が必要だったところ、OpenIDをベースにした属性情報の転送により、ユーザーの入力負荷を軽減した。ユーザーはホテル業のJALホテルズ、旅行業のミキ・ツーリストのホテル予約サービスに対して、JALのマイレージサービスの会員番号をベースにしたOpenID認証を使い、ホテル予約を行うことができるという。ここでは、会員の認証情報だけでなく、ユーザーの同意に基づいて住所や名前、カード番号といった属性情報もホテル予約システム側に送られる。
この事例では、現在まだ仕様提案中のOpenID CXを使っているという。CXにより、サービス同士が動的に「契約」を取り結び、ID情報をどんな目的で利用するか、いつまで利用するかといった取り決めを行いつつ、電子署名と公開鍵暗号でセキュアに属性情報をやり取りしているという。
今後も成長が見込まれる関連市場
このID連携によりホテル予約の際の入力の手間が減ったことで、ユーザーの途中離脱率が低下。JAL側のコミッション収入の増加につながったという。JALのマイレージ会員は2000万人規模と、サービス業としては最大規模の会員数を持ち、アクティブ率も高い。NRIの工藤達雄氏(基盤ソリューション事業本部 基盤ソリューション事業一部)は、こうした大きな会員ベースの潜在的な価値を活用するID連携ビジネスは、今後、認証、情報連携、送客、広告など、さまざまな形で発展していくと予想する。
例えば、ハードウェアトークンや生体認証を組み合わせた多要素認証による高度な認証サービスを提供する高付加価値の事業がある。あるいは、これまで企業が組織内でのみ提供してきた社員番号のようなIDを、OpenIDを介して外部のサービスにつなげることで、外部の出張関連サービスの利用をスムーズに行うなどのID連携も考えられるという。工藤氏は逆に、ERPなどの業務システムがOpenIDを意識したものに変わっていく可能性も指摘する。
NRIでは、物流、交通、ヘルスケア、金融、地域社会など異業種のビジネス同士、あるいは公的なセクターと結びつける領域でID連携のシナジーを生かす潜在市場は大きいと見る。サービス同士が緩やかに連携することで「今はまだ想像もできないような使い方も出てくる」(工藤氏)のではないかという。同社の調査によれば、日本人は平均してWebサービスやリアル店舗などで20前後のID・カードを使っている。利用者側にとってもID、パスワード(暗証番号)、カード類の管理は大きな負担となっている。こうした日本の“ID天国”ぶりも、ID連携ビジネス興隆の素地だ。NRIは今後もOpenIDのほか、SAML/LDAP/ActiveDirectoryなど業界標準のID管理・連携フレームワークに準拠して、「Uni-iD」のブランド名で、コンサルティング、認証サーバ構築やASPサービスの提供などを続けていくという。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。