• Weathering the Storm: Future Proofing with Identity by Andre Durand
• Internetとmobilityの発達により、いたるところにアプリケーションが組み込まれる時代となった結果、脅威もいたるところに存在する、と言う状態となっている
• このようなDisruptionに対して効果的に適応して生き延びていくには重大かつ予測可能な領域を見据えて効率的に投資をしていく必要がある
• 例えば、自然現象を整理すると以下のように分類可能である
• メキシコに落下した隕石による破壊は重大だが予測不可能だった
• 竜巻による破壊の重大性はそれほど大きくなく、かつ予測も難しい
• 嵐の重大性はそれほど大きくないが、予測はある程度可能である
• 大型台風による破壊の重大性は大きく、予測も可能である
• 我々はこの中の重大性が高く、予測可能な領域（大型台風）へ投資を集中しなければならない
• 例えばこの領域としてあげられるのが、以下の項目である
• イノベーションの速度
• カスタマー体験
• プライバシーとコンプライアンス
• スマートなアイデンティティ（AI）
• 境界の消滅
• それぞれに対する対応は以下の通りである
• イノベーションの速度
• 基本方針はAgilityを持つこと
• 標準に対応する
• 使うもの；SAML、OAuth、OpenID Connect
• 投資するもの：SCIM、PSD2、OpenBanking
• 新しく出て来たもの：WebAuthn、Secevent
• APIを有効活用する
• クラウドを活用する
• カスタマー体験
• UXの質により顧客が支払う額は変わってくる
• 86%の顧客がより良いカスタマー体験に対して支払う
• 82%の顧客が貧弱なカスタマー体験により去る
• アイデンティティに関する良いカスタマー体験とは、フリクションレスでパーソナライズされた世界のことである
• より良い体験とは体験していることに気が付かないことである
• パスワードレス：QR、NFC、BLE
• 標準：WebAuthn、OpenID Connect
• ウェアラブル：AppleWatch
• プライバシーとコンプライアンス
• FacebookやMicrosoftなど事故もあったけどコンプライアンスが重要って言っている
• 同意の管理が主なキーワードとなる
• スマートなアイデンティティ（AI）
• 過去4年間で270%の成長を見せた
• センサーとシグナルをスマートなアイデンティティ（Intelligent Identity）により機会と脅威に分類、パーソナライズした世界を実現することができる
• 境界の消滅
• クラウドの台頭、デバイスの普及によりネットワーク境界は消滅、アイデンティティが境界となっている
• アイデンティティによりゼロトラストセキュリティを実現することができる
• 結局のところ、勝者となるには以下のことが必要
• ディスラプションを予測・理解する
• 何が起きるかを予測する
• プロアクティブにディスラプションを乗りこなす
• 波を乗りこなしましょう！

• Aspiring the Future by Bill Foster
• 元々は科学者で議員
• 議員の出身を科学者、法律家、政治家の3つに分けると、
• US議会には科学者がほとんどいない
• 中国の議会には科学者出身者が多い
• EUはバランスが良い
• 科学者の頃は陽子の減衰の研究をやったり、加速器を開発して衝突の観測をしたりしていた
• 両親がキャピトルヒルで出会った、という過去もあり政治の道へ（科学と政治がUNIONIZED）
• 2006年に秘書としてキャリアをスタートし、2008年に初当選した
• セキュアなデジタルアイデンティティは重要である
• オンラインセキュリティの要であると考えている
• Fintechなどのテクノロジーに必要である
• USはエストニアや韓国に対して後塵を拝している
• 先般、大きな勝利を収めた
• 電子健康レコードからユニーク識別子を消す、ことを廃止できた
• 過去21年間にわたり、連邦はユニーク識別子を消して来た
• このことにより毎年数千人が亡くなっていた
• また、医者が麻薬を購入することが可能となっていた
• 米国政府はデジタルアイデンティティの重要性を理解して来ている
• 誰もJUNKやSPAMを望まず
• 政府は個人の識別子を付与する役割を持つ
• これからはAIが搭載されたスマートフォンが普及してくる
• 多要素認証デバイスとしても利用できる
• PIIを持ち運ぶこともできる
• 選択的開示がもっと浸透してくる

• Next Generation IDM: managing identities for people by Andrew Nash
• おなじみAndrew Nashのセッション
• アイデンティティ管理の歴史を振り返りつつ未来を語る
• LDAP、X.400・・・
• Identrus、Federal CA・・・
• MS Passport、SAML、Liberty、Hailstorm・・・
• OpenID、Infocard、7 Laws of Identity、PayPal・・・
• OIX、OpenID Connect、NSTIC・・・
• アイデンティティ情報は新しいユーザ体験の時代へ
• CapitalOneのアカウントで他のサービスへサインアップ
• 免許証で他のサービスへサインアップ
• 新しいアイデンティティの姿とは
• 自分の情報を
• 自分のデバイスで
• 同意に基づき、最低限の共有を行うことにより
• KYCコストを削減したり、Identity Verificationの最適化を行う
• Identity Providerが中心の世界からユーザが中心となる世界へ

• Building Identity Professionals by Sarah Squire
• IDPro枠ですね
• 基本的な考え方として希少価値の高いものは高価である
• アイデンティティオタクも同様である
• みんなアイデンティティオタクになろう！そして市場価値を高めよう
• IDProのメンバにサーベイしたところ、41%がIdentityのプロになるには5年から10年はかかると回答した
• 学校では教えてくれない領域なのでどうすれば良いのか？？
• プロジェクトマネージャーも同じような状況なので、調べてみると、1996年にPMBOKが出てからPM人口が一気に増加したことがわかった
• そこで、IDPro Body of Knowledgeの作成に取り掛かった
• 基本的な考え方は、対象の領域について自分よりも知っている人間は誰か？というアプローチ
• 40のセクションと88のサブセクションで構成
• 今ではたくさんの企業会員、個人会員に支えられている。Come an Join us!

◆ブレークアウトセッション

• A Modern Architecture for Customer Identity Services by GM
• GMのIdentityアーキテクトによるGMの顧客ID管理のアーキテクチャの解説
• サービスと顧客を接続するためにアイデンティティを整備する必要性があった
• しかし、アイデンティティは見えないくらいがちょうどよく、シームレスな顧客体験が重要であると考えている（Invisible Identity）
• その考えのもと、CIAMを以下の4つのコンポーネントに分離してデザインした
• Identity
• Profile
• Preference
• Intelligence
• IDaaSにするかOnpremにするか悩んだけどアタックへの対応などはIDaaSに一日の長があるのでIDaaS（Azure AD?）を選んだ
• OIDCなどの標準に対応するのはもうすでにオプションではなく必須である
• 結局大事なのは、
• 標準を乗りこなす
• 統制の効いたアーキテクチャをデザイン・実行する
• 戦略と同期する

• Bring Your Own Identity: A Skeptical look at Social Login and Single SignOn by Gerry Gebel
• 元Burtonグループの人でBYOI（今でいうBYOID）のコンセプトを2008年に発表した人
• モチベーションとしては、
• 多くのクレデンシャルがサービス提供者によって管理されている状況がいやだ
• 登録プロセスが面倒だ
• UXの改善が必要だ
• プライバシーに関する再考も必要
• モダンなテクノロジー（スマホなど）
• Techジャイアント（MSやUberなど）
• Identity/Credentialの集中化により容易になってしまうこと
• トラッキング
• 紐付け
• データコントロールの弱さ
• 透明性の欠如
• 監視
• 実際、US連邦政府による電話のモニタリングとかあったよね
• 最近は進歩したのか？
• VerizonやAT&Tは顧客データを売るのをやめた
• Apple login？
• UMA、SSI
• 今、できることは？
• アイデンティティとCredentialを分離する
• Techジャイアントからログオフする

• Microsoft Presents: Designing for Decentralized identity and claim-based identity management by Ankur Patel
• IONの話です。デモもあり面白かったです。
• 感じている課題感としては、アプリケーション毎にUsernameとパスワードを保持していることによる不便さや結果発生する漏洩、監査が困難になることによる余計なコストの発生など
• カスタマーのニーズを追っていくとそれぞれ以下のテーマがある
• 個人
• プライバシー
• 個人でデータをコントロールしたい
• 情報漏洩から保護してほしい
• 組織
• 信頼できVerifyできるアイデンティティ
• コラボレーション（B2BのID管理は大変）
• GDPR、KYC、AMLのコストを削減したい
• 政府
• クロスボーダー、クロスエージェンシーのID
• 難民向けのID付与
• 社会的、経済的なインクルージョン
• IONを使ったデモ
• シナリオは、
• 学位の付与（学生証）
• 学割で本が購入できる
• IONの設計思想
• ユーザは一つ以上のDIDを持つことができる
• DIDはDLTの系をまたいで解決できる必要がある
• DIDのパーミションはユーザだけがアクセスできる鍵により管理される
• 属性情報はオフチェインに保存される
• ユーザは複数のIdentityHubを持つ
• 次のステップ
• 簡単に使えるようにする：エコシステムの構築
• 性能とスケーラビリティ：IONがまさに目指すところ
• DIFへの参加とコラボレーション・コントリビューション

• Digital Identity for the People by Richard Bird
• Chief Customer Information Officerの人
• 人々が自分のアイデンティティをデジタル社会に持つ時代になってきた
• シートベルトなどと同じく、Consumer保護の考え方はデジタル社会が始まった当時は存在せず、後からポリシーがついてきた
• GDPR、CCPAは果たしてConsumerの保護になっているのか？
• 現実問題、施行後にも4億以上のアカウント漏洩が発生している
• では何が足りないのか？
• データ保護≠アイデンティティ保護
• 結局のところ、アイデンティティの保護は人を守ること
• いくらそのリンクをクリックしてはいけないと言ってもクリックする
• 現実の数字として、
• US国民の20%が家に鍵をかけない
• 63%の強盗は押しいらなくても犯行ができてしまっている
• デジタル社会で自分を守るということは？
• データ保護とアイデンティティ保護は同一ではないことを認識する
• MFAなどでアイデンティティを守ることが必要

• Digital Identity - A Strategic Imperative by Grant Schneider
• US FederalのCISOの人
• 資料なしのプレゼンだったのであんまり拾えてないです
• アイデンティティ管理はセキュリティのために非常に重要なものであると考えている
• US連邦のサイバーセキュリティ戦略目標はデジタル社会におけるナショナルセキュリティと経済的なセキュリティを高めること、つまり「いかにして国家と国民の資産を保護するか」が命題
• そのために、色々と守らなきゃダメ
• Federal Cyber Security（税金や年金など）
• 重大インフラのセキュリティ（金融システムや交通システムなど）
• CEOやCIOがリスクマネージメントをできるように教育することも大事
• もちろんプライバシーも大事なので、ペルソナの使い分けなども意識しないとだめ
• アイデンティティ保証も大事だよ

• The next wave of Identity Standard by Alex Simons
• アイデンティティに関する標準の3つの波
• オンプレミス
• クラウドとモバイル
• 分権とプライバシー by デザイン
• オンプレミスにおける相互運用性と利便性の向上
• 全てがFirewallの内側にある前提
• ESSO、LDAPの組み合わせによるPasswordインジェクション
• KerberosによるトークンベースのSSO
• このころの攻撃はSlammerなどサーバの脆弱性を狙ったものが多かった
• クラウドとモバイルの世界のためのアイデンティティ
• SAML：広く使われるようになった最初の標準技術
• OAuth1.0：実装が難しかったよね
• OAuth2.0、OpenID Connect：現在のマイクロソフトのソフトウェアはPowerPointからAzureまでこの標準に従っている
• 2019年6月のデータではAzure ADに接続されているアプリケーションの95％がOAuthもしくはOpenID Connectを使っている
• このころになると攻撃手段が変わってきて、パスワード盗難がメインとなってきた
• 81%のデータ漏洩の原因がパスワード盗難に起因している
• こうなると多要素認証が必要となる
• FIDO2。すでにWindows10やAndroidは準拠している
• 次はパスワードレスの時代へ向かっている
• Azure ADのパスワードレスのデモ（YubikeyでOffice365ポータルへログオンしてます）
• 2019年7月にようやくAzure AD＋FIDOのパブリックプレビューがリリースされる
• 現状8億のユーザがパスワードレスを有効化している
• 月間8500万ユーザがパスワードレスでログインしている
• Token Binding
• TLSだけじゃない
• dPOPも
• SCIM
• 2019年6月のデータでは675万ユーザがSCIMでプロビジョニングされた
• Mark Wahlが新しいSCIMのプロファイルを提案している
• 分権とプライバシー by デザイン
• 全ての人が自分のアイデンティティを自分でコントロールできる世界へ
• DIDのデモ（昨日と同じもの） by Ankur Patel
• まだまだこれから
• とりあえず、今すぐやるべきこと
• OpenID Connect、OAuthを使いましょう
• モダンプロトコルに対応しましょう
• パスワードレスの時代です
• とにかく多要素認証を有効化しましょう。99%のID盗難は防げるよ

• Standards: The Bedrock of Identity
• パネルディスカッション
• モデレーター：Pamela Dingle
• パネリスト：Kim Cameron, Vittorio Bertocci, Brian Campbell, Annabel Backman
• パネルはきつい。。。あんまり拾えてないです
• それぞれがフォーカスしている／してきた標準仕様について紹介
• そういえばVittorioはws-*の人だったなぁ
• 標準化関連のミーティングはグローバルのあちこちで開催されるのは、みんなに参加してもらいたいから
• しかしSAMLはなんで800ページにも及ぶ巨大なモノリスになってしまったのか
• 何にでも対応できるように色々と組み込んでしまった
• 結果、拡張が難しい巨大な仕様になってしまった
• その反省を踏まえ、OAuth、OpenID Connectではシンプルなことをシンプルに実装できるように、という原則に則って設計をした
• SecEventの話し。
• SSOの世界ではリスクが顕在化した時にドミノ現象で伝搬してしまうので、リスクイベントの標準的な伝達方法が必要となった
• プロトコル設計をする時はシンプルにすることが大事
• DIDとOIDC、FIDOを組み合わせることで使いやすい姿を模索するなど
• これからこの世界をドライブしていこうとしている人たちへメッセージは？
• 標準化の世界へぜひ参加して
• コミュニティへ参加すること。メーリングリストがあるので、そこでユースケースや考えたことを共有するところから。Don't be shy!
• 言語の壁もあるかも知れないけど気にするな

• The Identity Architecture Panel
• パネルディスカッション
• モデレーター：Barber Amin
• パネリスト：Kristina Williams, Greg Smith, Stephanie Kesler, Kim Cameron
• やっぱりパネルはきつい・・・
• ゼロ・トラストの世界。ブロックからモニター、緩和へ
• 企業は従業員にとってのIdentity Providerが、管理者はSAMLを知っているわけではないし、我々（IDaaS事業者）はインフラの形を変え管理者が何もしなくても良い世界を作ろうとしている
• プライバシーはコンシューマだけでなく従業員にとっても非常に重要
• CIAMのアプローチでは管理者はアイデンティティを管理することができない
• エンタープライズIAMの世界では管理者が従業員のアイデンティティを管理する
• コンテキストに合わせた柔軟なユーザージャーニーが必要である
• マイクロソフトは固定的なログインを柔軟にするためにIdentity Experience Framework（IEF）を提供している
• IEFを使えば、コンテキストに合わせた柔軟なユーザージャーニーを提供することが可能である
• 例えば、HRシステムの重要なデータへアクセスする際は追加の認証を要求する、なども考えなければならない
• どのようにして開発者にプライバシーを保護を意識させるのか？
• 教育なども重要
• データの分類と評価がまずは大事
• 昨年、テレコム企業の課金システムのリプレイスを行なった
• アーキテクチャの全面書き換えを行った
• 保護されたAPIやデータへのアクセスをトークンを使って制御することにした
• CCPAがあるけど、何かアドバイスは？
• まずはデータを特定して分類するところから始めましょう
• DIDについて
• iPhone上のデータは誰の持ち物？Appleもデータのコントロールできちゃうよね
• 個人データは借財。これは長くは続かない。DIDとかブロックチェーンが解決の糸口になるかもしれない
• 5年から10年くらいはかかるかな
• 今後我々はどんなテクノロジーをキャッチアップしていけばいい？
• AI（プライバシーも考慮して）
• FIDO2
• コンテキストに合わせたユーザージャーニー（IEF）
• マシンラーニング
• Decentralized Identity

• Blurring the boundaries between CIAM and IAM / Microsoft
• アイデンティティはセキュリティの要である
• 社内外とのコラボレーションのあり方の変化
• B2Bシナリオ
• パートナー側でアイデンティティを管理する
• つまりBYOID
• B2Cシナリオ
• セルフサインアップ
• 同じくBYOID
• こうやってみるとB2BもB2Cも同じ
• アカウントを作って
• 承認して
• アクセスできるようになる
• 共通しているのは人を中心に据えていること
• サンプルケース１
• 個人が複数のロールを担うことがある（不動産のオーナーだったり、売主だったり、従業員だったり）
• 一つのGoogleアカウントでサインアップ〜サインインする（Azure AD B2B）
• システム側でロールを切り替えられるような実装をすることで、役割ごとにユーザアカウントを個別に作る必要がなくなる
• サンプルケース２
• 大学のケース
• 入学希望して、受験生となって、学生になって、卒業生になって、大学院に入ってまた学生になって、学校に就職して職員となって。。というライフサイクル単位でアカウントを作るのではなく、一つのアカウントの状態を変えていく
• 共通するのは、一つのアカウントを関係性に応じて変化させていく、という考え方

• Identity Proofing - What Happens Before Authentication by Capital One
• Identity Proofingとは
• 個人に関する情報を集めて検証するプロセス
• アカウントをオープンする時に実行したりする
• 認証とは異なる
• なぜIdentity Proofingが重要なのか
• 認証して認可してシステムやデータへアクセスさせるが、そもそも「誰？」という部分を知らなければならないため
• NIST SP800-63Aにおける定義
• Resolution
• Validation
• Verification
• Identity Assurance Levelとは
• 検証に使うエビデンスと方法の品質
• 企業におけるシナリオ
• 雇用時
• バックグラウンドチェック
• 対面での書類確認
• 初期クレデンシャルの発行
• クレデンシャルのリカバリ時
• パスワードレスのシナリオの場合
• 免許証などのドキュメントをビデオ会議で見せて確認する
• コンシューマの世界におけるIdentity Proofing
• スピードと正確性とコストが大切
• 時間がかかると顧客はドロップしてしまう
• 色々な方法
• モバイルデバイスを使った確認
• SMSへのコード送信
• ドキュメントを使った確認
• 券面のスキャン、バーコードのスキャン
• 券面のスキャンはPhotoShop対策も合わせて必要
• リスクベースアプローチが必要
• Identity ProofingはRiskスコアと同義でもある
• まとめ
• 一般的にユーザが提供したり手動で入力した個人データは不正確である
• システム横断で使えるRiskスコアが必要
• データソースを増やして、検証の精度を高めるためには外部ベンダーとの協業が必要である（Capital Oneとか）

• Frictionless Identity Verification by ADP
• ADP自体はセキュリティの会社ではなく、HCMの会社
• 40Mくらいのアクティブユーザー数がある
• 次のチャレンジはユーザエクスペリエンスの改善
• 現状、ADPのサービスに従業員がセルフ登録する方法は以下の通り
• Federated SSO
• Personal Code
• Company Code
• Codeless Registration（モバイル向け）
• これまでIdentity Assuranceを担保するためにやってきたこと
• Bot Protection（ロボットよけ）
• AIベースのアイデンティティ確認
• 知識ベースの認証
• デバイスベースのリスク管理
• 外部ベンダとの協業（Capital One）
• 登録時のユーザージャーニーを整理し、70％のコンバージョンを実現した

• So You Think You Can Two Factor by Nishant
• 多要素認証を使う時
• PSD2など法令により必須な時
• 認証要素は非常に多岐にわたっている
• これらを単純に提供するのは説明書なしで家具を組み立てさせるようなもの
• どのように利用させる要素を考えるか
• ユーザが使いやすいもの
• コスト
• 対応する脅威モデル
• 効果
• 法令遵守
• 生体認証はセキュリティではなく、利便性のためにある
• 生体情報（いわゆる身体的な特徴情報）はすでに必須ではない
• ユーザの行動、デバイスID（Fingerpirnt）を使ったアノマリ検知も可能（機械学習ベース）
• ユーザへの浸透（使い慣れているものを使う）
• Googleは7年前から２要素認証を提供しているが利用している人は10％程度だった
• Yubikeyに対応したら登録者が増えた、なぜならYubikeyを使っている人が増えたから
• ユーザはリスクを理解しているわけではない
• Googleは２要素認証を強制はしていない。なぜならサービスを使わせたいから
• オムニチャネルの検討
• UX向上の別の例
• コンタクトセンターでの認証をスマホで行う、などチャネルを分離することによるUX向上とセキュリティ向上の両方を実現
• プロセス自体の検討
• 付与
• 第１要素を付与する時に同時に２要素目の登録を行う
• 間が空くと弱いタイミングができてしまう
• バックアップを取得する
• 緊急避難のパスを作っておく
• リカバリプロセスを作っておく（例えばSMSや免許証での検証など）
• 第２要素の破棄の方法を考えておく
• まとめると以下が大事
• ちゃんと使えること
• 複数の方法を用意しておくこと
• ユーザが受け入れられること
• オムニチャネルの検討
• 管理プロセスの検討

• Why Governments are still important even in a Self-Sovereign Context by Adam Cooper
• 近い将来、デジタルアイデンティティが人々のプライマリのIDになったと仮定するとどうなるだろうか
• 政府機関の役割
• 法律を整備する
• アイデンティティドキュメントを交付する
• 住民登録データを記録・保管する
• SSIやDIDのような新しい仕組みはそれらの役割を代替するものではなく、相互運用するものである
• 実際にアイデンティティを使う際にはアイデンティティそのものよりも適格であるかどうかの方がはるかに大切である
• 例えば、支払い能力はあるか、など
• そうなると、政府機関の提供するアイデンティティはトラストの源泉としての役割を持つ
• 個人は自身のアイデンティティを提示する際に、信頼できて検証可能であることを望む
• つまり、ポータブルで信頼に裏打ちされた状態において、自身でアイデンティティの管理を行える状態が望ましい
• 結局トラストフレームワークが鍵となる

• Developing World Identity
• パネルディスカッション
• モデレーター：Jeremy Grant
• パネリスト：Adam Cooper, Vyjayanti Desal, Kaliya Young
• ID4Dの取り組みの紹介（World Bank）
• LIC（Low Income Countries）にフォーカスしている
• ペルー、インド、パキスタン、タイなどで活動
• デジタルIDは全ての基盤となる
• Financial Inclusion
• Healthcare
• Women's Empowerment
• Social Protection
• Education
• 他にもペーパーレス・トランザクション（Paymentなど）を行う上でも必要なものである
• ID4Dの3つのアプローチ
• Thought Leadership & Analytics
• Country & Regional Action
• Global Platform & Convening
• 啓発活動を含め各種ドキュメントの発行なども行なったり、原則をプラクティスへ落とし込む活動をしている
• グローバルで一つの大きなIDシステムを作ろうとしているわけではなく、各国がオープンなIDシステムをもち、相互運用性を持てるような世界を目指していく
• Aadhaarの話（Kaliya）
• 2000年代初頭、IDシステムをどうやって変えていくか考えた
• 国民を登録する台帳は存在、ローカルガバメントが誕生・死亡の登録を管理していた
• Nandan Nilekani氏が閣僚となり、インドのユニークIDのオーソリティを作ることとなった
• 最低限実行可能なID基盤として以下をもつ
• 名前、生年月日、性別、住所
• 生体情報（写真、2つの虹彩情報、10の指紋情報）
• （ボーナス。必要か？）電話番号、メールアドレス、銀行口座情報
• 登録時はセントラルレポジトリへデータが送られ、ユニーク性のチェック後、IDが発行され、カードが送付される（なんのセキュリティ機能もないカード）
• Aadhaarを使った認証の方式
• Aadhaar番号と名前、住所
• Aadhaar番号と生体情報
• Aadhaar番号とワンタイムパスワード
• Aadhaar番号と多要素認証
• （KYC時は）Aadhaar番号と生体情報＋eKYCドキュメントの名前と住所
• 問題点
• 住民のゴールデンレコードができてしまう
• セキュリティ保護されていないカードが存在する
• 地方の支局に行くと生体情報の確認ができないことがある
• ワンタイムパスワードを使おうとしても携帯電話番号を持っていない人がいる
• 良い点
• みんなが持っている
• ユニバーサルである

• Adventures in Self-Sovereign Identity: From Hyperledger Indy to W3C Verifiable Credentials by Workday
• 実はDIFのメンバーになぜWorkdayがいるのか結構疑問だったので、このセッションには期待していました。結果非常に有益でした。
• スピーカーはCSOの人で、ここ最近Self Sovereign Identityのリサーチを担当してきたとのこと
• 昨年よりIBMと一緒にHyperledger IndyベースでPoCをやってきた
• 本日はその結果をデモを交えて紹介してくれるとのこと
• まずはお決まり通り、SSIで解決したいことの例
• 成績の情報を大学が学生に付与
• 学生は就職したい企業に成績情報を提示
• 企業が内容の検証をする
• このシナリオで確認に時間がかかったり、プライバシーの問題を抱えていたりする（例えば、2018年以降に卒業していることがわかれば良いので、実際の卒業年度がわかる必要がなかったり、成績の平均が3よりよければ良いので実際の細かい点数までは必要ないはず、という話。ゼロ知識証明ですね）
• 昨年、IBM、Workday、Evernym、ATB Financialで実証実験を行った
• 学生のシナリオ以外に、以下のシナリオを各役割を持って実行した（要はオンラインでのKYCと銀行口座の即時開設のシナリオです）
• Workday：従業員証の発行
• ADOT（アリゾナ州の交通局）：免許証の発行
• Evernym：Identity Walletの提供
• ATB Financial：銀行口座の開設
• IBM：Hyperledger周りのインフラの提供
• 環境を設計するにあたり、色々と検討したこと（この辺りはかなり細かく資料では説明されていたので今後資料が公開されることがあれば是非見てみるべきだと思います。そのくらい参考になりました。写真は結構撮りましたが、今回はとりあえずのメモだけ記録しておきます）
• 暗号アルゴリズムの選定
• Ed25519：署名・署名検証に利用
• Curve25519：Key Agreementに利用
• 属性のブラインディング（匿名化）
• ゼロ知識証明の利用
• Walletとの接続の方式
• Schemaの設計
• Credentialsの設計
• Pairwiseにできるかどうか、、など
• デモ１
• WorkDayに従業員がログイン、Walletを登録する（QR読み込み）
• WorkDay側で従業員の証明情報（Verifiable Credentials）を発行すると、従業員のWalletにプッシュ通知がされ、Wallet上に情報が読み込まれる
• ATB Onlineのサイトで口座開設プロセスをスタートすると、QRコードが表示されるため、Walletで読み込むと先に発行された従業員情報を送信して良いか確認が入り、利用者が送信する属性を選択して送信するとATB Online側の開設プロセスが始まる
• ATB Online側の確認プロセスが終了すると、従業員のWalletに開設された口座番号の情報がプッシュ通知される
• 従業員がATB Onlineへログインする際は、発行された口座番号をサブミットするとWalletへ通知がくるので、承認するとログインが完了する（パスワードを登録していないので、完全にパスワードレスでのログインが実行される）
• デモ２
• 郵便局で検証済みの住所情報をWalletへ発行する
• アイスクリーム屋さんのキャンペーンサイトで特定の住所に住んでいることが確認できれば無料でアイスクリームがもらえるクーポンが発行される
• 利用者がアイスクリーム屋さんのWebサイトに表示されるQRコードをWalletで読み取り、郵便局で発行された検証済み住所を提示するとクーポンのバーコードが発行される
• これらのシナリオをHyperledgeIndyと、素のW3CのVerifiable Credentialsを使って検証をしてPros/Consを出してみた。
• まずはHyperledgerIndy
• Pros
• デフォルトでPairwiseなDIDが発行されるのでVerifier（RP）側での名寄せの心配がない
• ゼロ知識証明をサポートしている
• エコシステムが存在する（Ledger、Wallet、プロトコル）
• 相互運用性の実験を行うプロジェクト（Project Aries）も存在する
• PIIはLedger上には載らない
• Cons
• 暗号が難しいのでプロにしか良さがわからない（顧客や監査人への説明が難しい）
• プロジェクトが同時並行して動いているのでパーツ単位で成熟度が異なる
• プロトコルがLedgerと密接に紐づいている（今の所）
• 次にW3C Credentials
• Pros
• 暗号モデルがシンプル
• 相互運用性が高い
• Ledgerの種類に依存しない
• PIIはLedger上には載らない
• Cons
• DIDがPairwiseではないため名寄せが出来てしまう（注釈：実装の仕方次第だと思いますが）
• Verifiable Credentialsのフォーマットは標準化されているが、伝搬のためのプロトコルは標準化されていない
• 標準が最終化されていない
• 標準がオープンすぎる。JSON-LD vs JSON vs JWT
• プロジェクトから学んだこと
• W3Cの方が開発しやすい（開発者にとって開発しやすい）
• 標準仕様を見て素で開発するか、OSSのプロジェクトを使って開発するか考えないといけない
• 何よりもSovrin/HyperledgerIndyが動いた
• PoCではRevocationのシナリオはやらなかったのでその部分は注意
• このテクノロジーに感じるポテンシャル
• パスワードレス・ログインにも使える（強固な認証をスケーラブルに実装できる可能性がある）
• この方式が標準として普及していくといいかも（SAMLみたいに）
• その他
• Githubに色々と公開されているのでぜひみなさん試してみましょう。
• https://github.com/hyperledger/indy-sdk/blob/master/docs/getting-started/indy-walkthrough.md

• Auth0 Masterclass: Identity and the Yellow Brick Road - The Last Few Steps Are Always the Hardest by Vittorio Bertocci
• クロージング・キーノート前最後のセッションはやはりVittorioのセッションで締めておこうと思います。
• どういう状態がID基盤の理想の状態なのか？
• 色々なプロトコルのアプリケーションやAPIに対応している
• 色々なプロトコルのデータソースやディレクトリに対応している
• 色々なデバイス（ブラウザ、モバイル、デスクトップアプリ）に対応している
• 多くの場合、暗黙の前提事項がある
• Identity Provider
• サポートされること
• IDaaSが対応しているプロトコルの一つに対応している
• 移行できること
• 認証ロジック
• 標準に置き換えが可能である
• そのまま（Out-of-box）で使える
• 過去のIDとクレデンシャルがそのまま使える
• 認可
• 見たものが全て、つまり今のままの権限を移行できる
• 簡単に使えるのか、色々と出来るのか、という軸で４象限で表すと、壁に突き当たる
• デプロイの壁（自前のデプロイの限界地点。スケーラビリティとか）
• ゼロから作るよりはSDKを使った方が簡単になるが、出来ることは減る
• SDKより製品を使えば簡単になるが、出来ることは更に減る
• どんなに頑張っても自前でデプロイするには専業クラウドを超えられない地点がある（コストが無限にあれば別だが）
• コードの壁（汎用サービスではどうしても実現できない限界地点）
• SaaS（IDaaSを含む）を使えば簡単に使えるがカスタマイズの自由度はほとんどない
• PaaSなどに落とし込んでいけばカスタマイズの自由度はある程度上がるが難しくなってくる
• いずれは自前でコードを書かないとなんともならない限界点に突き当たる
• この問題へのある程度の答えが拡張可能なIDaaSである
• 順に導入時の課題へのAuth0での対応を見ていく
• Identity Source
• 標準でサポートしていないIdPとの接続
• 最近リリース（ベータ）された汎用OIDC接続を使う
• 標準に対応していないIdPとの接続（Apple IDとか）
• Extensionで接続する
• 移行できないDBとの接続
• カスタムDB接続を使う（無理に移行せずに、一旦は繋いでしまって時期を待つ）
• UXのカスタマイズ
• https://flows.auth0.comで簡単に画面デザインが出来る
• 会社名を入れて検索すると勝手に会社のロゴをとってきてセットしてくれたりする
• ユーザーライフサイクル
• Pre-Signup、Post-SignupのルールをJavaScriptで拡張できるので、例えばIdentity Verificationを挟んだり、と色々と出来る
• 追加の属性を他のDBからとってきたりも可能
• 同意をとったり、外部のページへ飛ばすことも可能

◆クロージング・キーノート

• 注目しているテクノロジーは？AIとか。
• 我々は脳がどのようになっているのかも分かっていないし、記憶がどこにストアされているのかすらも分かっていない
• そんな状態なので、AIはインテリジェンスを持っていないし、シンギュラリティにはなり得ない
• Googleは人間よりも犬の画像を認識するのは得意かもしれないが、犬が何であるかを知っているわけではない
• 人間の脳は機械よりも優れているので、まだ存在しないものを想像して創造することが大切
• Appleの起こしたInnovationでもっとも大切だったものは
• iPhoneではない
• Appストアでサードパーティにマーケットを解放したことである
• それがなければ今、我々はUberやLyftを使うことができていないはずである
• Blockchainベースのアイデンティティについてどう思うか？
• 我々の日々の行動を政府がトラッキング可能で利用可能な状態であること、に対して、ブロックチェーンを導入すればこれ以上データを取得されなくなる、というのはブロックチェーンを正当化する理由にはならないと思う

• アサーション署名用の証明書（PFX）を作ってポリシーキーとしてアップロードする
• ClaimsProviderとして、SAML2AssertionIssuerを作成する
• MetadataにIssuerUriとして設定したものがIdPのEntityIDになります
• CryptographicKeysに先にアップロードした証明書コンテナを指定するとアサーション署名をしてくれます（暗号化用証明書もアップロードすれば暗号化もできます）

<ClaimsProvider>
<DisplayName>Token Issuer</DisplayName>
<TechnicalProfiles>

<!-- SAML Token Issuer technical profile -->
<TechnicalProfile Id="Saml2AssertionIssuer_SAMPLE">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://nfpoc.b2clogin.com/nfpoc.onmicrosoft.com/B2C_1A_SI_SAML_SAMPLE</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_samlsampleapp"/>
<Key Id="SamlAssertionSigning" StorageReferenceId="B2C_1A_samlsampleapp"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_samlsampleapp"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>

<!-- Session management technical profile for SAML based tokens -->
<TechnicalProfile Id="SM-Saml-issuer">
<DisplayName>Session Management Provider</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>

• UserJourneyを定義する
• この辺は通常のカスタムポリシーと同じです
• RelyingPartyの定義を行う
• 公式ドキュメントだとSAML SPに関するパラメータはAzure AD B2Cにアプリケーション定義を作ってマニフェストで設定する、ということになっていますが、Azure ADとB2Bとして連携する場合は、ちょっと工夫が必要です（後述します）

Azure AD側の設定

• プロトコルはSAMLを選ぶ
• IdPのドメイン名はSAML IdPの認証エンドポイントと同一ドメインである必要があるため、Azure AD B2Cのドメイン名（～.b2clogin.com）を指定する
• 上記でAzure AD B2Cの設定が上手くいっていればSAML Metadataのダウンロードが出来るようになっていますので、保存したMetadataをアップロードして解析を行う

こんな感じで設定します。

設定のポイント

• ドキュメントを見ると、Azure AD B2Bと直接連携するためには以下の情報を設定する必要があることがわかります。

• AssertionConsumerService
• https://login.microsoftonline.com/login.srf
• Audience（日本語ドキュメントだと「対象ユーザー」となっていますが。。。SAML SPのEntityIDのことです）
• urn:federation:MicrosoftOnline

• しかし、現状のAzure AD B2Cのアプリケーション登録ではカスタムスキームのAudience（urn:federation:MicrosoftOnline）をマニフェスト編集をしても登録することが出来ません。
• ということで、SP（Azure AD）のMetadataを作って適当なところ（今回はbob）にアップロードし、カスタムポリシーから参照する形をとります。

<RelyingParty>
<DefaultUserJourney ReferenceId="SI_SAML_SAMPLE" />
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Protocol Name="SAML2"/>
<Metadata>
<Item Key="PartnerEntity">https://nfpoccontent.blob.core.windows.net/root/aad_sp_meta.xml</Item>

<?xml version="1.0"?>
<md:EntityDescriptor
    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
    entityID="urn:federation:MicrosoftOnline"
    validUntil="2031-12-31T00:00:00.000Z">
<md:SPSSODescriptor
    protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/login.srf"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsoftonline.com/login.srf" index="0"/>
</md:SPSSODescriptor>
</md:EntityDescriptor>

• 一応ドキュメントを漁ると出てくるのですが、見落としがちなので書いておきますが、以下のルールでMetadata URLが生成されます。
• https://ドテナント名.b2clogin.com/テナント名.onmicrosoft.com/B2C_1A_ポリシー名/Samlp/metadata

• ドキュメントを見るとnameidがpersistentであること、emailaddressを属性として渡すこと、とありますので、それに合わせてAzure AD B2CのRelyingParty設定を行います。具体的にはOutputClaimsの設定です。
• また、標準的なAzure AD B2CのSAML設定だと結構冗長な感じでAttributeStatementが書かれるので、TechnicalProfileのMetadataにSaml11AttributeEncodingInfo（Saml20～でもOK）を指定することで少しすっきりします。

• Azure ADのエンドポイントをラップするWebアプリを用意し、request/responseの整形を行う
• 認証、データ保持、アプリケーション管理はAzure ADの機能を使う
• OpenID Connect for Identity Assuranceで拡張された属性（verified_claims関係）はAzure ADのスキーマを拡張する

• verification : IDの検証をどのように行ったのか？の記録
• trust_framework : どんなルールによってIDの確認・検証をしたのか。例えば犯罪収益移転防止法や携帯電話不正利用法などの、本人確認を行った際の根拠法やルールを指定します
• Evidence : ID確認時に利用した証拠（エビデンス）を指定します。免許証などですね。
• type : エビデンスの種類を指定します。id_document（証明書類）、utility_bill（公共料金の領収書）、qes（欧州限定ですがeIDASの電子証明書）がありますが、ここではid_documentを使いました。
• method : typeで指定したエビデンスをどのように確認したのか？を指定します。例えば対面で確認した場合は「Physical In-Person Proofing」ということで「pipp」という値を設定します。
• document : typeにid_documentを指定した場合に、具体的に何の証明書類を使ったのか？を指定します。例えば日本の免許証なら「jp_drivers_license」を指定します。
• issuer : 証明書を発行した機関に関する情報を指定します。
• name : 機関名
• country : 機関の属する国
• date_of_issuance : 証明書類の発行日を指定します。
• date_of_expiry : 証明書の有効期限を指定します。
• claims : 検証された属性（ここは要求された属性を普通に指定します）
• given_name : 検証済みの名
• family_name : 検証済みの姓
• など

• Directory.AccessAsUser.Allをスコープに指定してaccess_tokenを取得する
• https://graph.microsoft.com/v1.0/schemaExtensionsに拡張したいスキーマの構造（JSON）をPOSTする
• 成功したら他のクライアントからでも参照可能な様にスキーマをアクティベーションする（status属性をPATCHでActiveに更新する）

• verification
• verifiedClaims

準備２：Azure ADをラップするWebサービスを作る

• Authorizationエンドポイント
• clientからの要求の中でAzure ADが受け取ってくれないclaimsパラメータをパースして保持します。後からレスポンスを作るときに何が要求されていたのかを判断するために使います。
• ※テスト実装では決めうち実装なので実際には保持していません

router.get('/authorize', (req, res) => {
    // get claims from request
    var _claims = req.query.claims;
    // redirect to Azure AD
    var target = lib.addQueryTo(conf.AAD_AuthZ, {
            response_type: 'code',
            scope: 'openid User.Read',
            client_id: req.query.client_id,
            state: req.query.state,
            redirect_uri: req.query.redirect_uri });
    res.redirect(target);
});

• Tokenエンドポイント
• codeを受け取ってAzure ADのTokenエンドポイントへ渡してaccess_token、id_tokenを受け取ります。
• id_tokenには当然verified_claimsが含まれていないので、一度id_tokenをほどき、必要に応じてaccess_tokenを使ってMicrosoft Graphで追加の属性を取得、id_tokenを生成してclientへ返却します。
• ※テスト実装ではPKCEに対応させていませんので、code横取りをして実装しています。本来はclientとPKCEに使う情報を共有しないと横取り出来ないので、ここはちゃんと考えないとダメです。

router.post('/token', async (req,res) => {
    try{
        let response_from_aad_token = await request({
            url: conf.AAD_Token,
            method: "POST",
            form: {
                grant_type: 'authorization_code',
                code: req.body.code,
                client_id: req.body.client_id,
                client_secret: req.body.client_secret,
                redirect_uri: req.body.redirect_uri
            },
            json: true
        })
        console.log(response_from_aad_token);
        // extract response and re-generate id_token with verified claims
        let decoded_jwt = jwt.decode(response_from_aad_token.id_token)

        // get additional claims using graph api
        let response_from_graph = await request({
            url: conf.AAD_Graph + "/v1.0/me?$select=id,userPrincipalName," + conf.AAD_ExtPrefix + "_verifiedClaims," + conf.AAD_ExtPrefix + "_verification",
            method: "GET",
            headers: {
'Authorization': 'Bearer ' + response_from_aad_token.access_token,
'Content-Type': 'application/json'
            }
        })
        console.log(response_from_graph);
        var user = JSON.parse(response_from_graph);
        // get properties from user object
        for (var prop in user){
            if(prop.includes('_verification')){
              var _verification = {
                trustframework: user[prop].trustframework,
                evidenceType: user[prop].evidenceType,
                evidenceMethod: user[prop].evidenceMethod,
                evidenceDocumentType: user[prop].evidenceDocumentType,
                evidenceDocumentIssuerName: user[prop].evidenceDocumentIssuerName,
                evidenceDocumentIssuerCountry: user[prop].evidenceDocumentIssuerCountry,
                evidenceDateOfIssurance: user[prop].evidenceDateOfIssurance,
                evidenceDateOfExpiry: user[prop].evidenceDateOfExpiry
              }
            } else if(prop.includes('_verifiedClaims')){
              var _verifiedClaims = {
                familyName: user[prop].familyName,
                givenName: user[prop].givenName
              }
            }
        }
        // create new jwt.
        var privateKey = fs.readFileSync('./private_key.pem', 'utf-8')
        var new_jwt = null;
        if (typeof _verification !== 'undefined') {
            new_jwt = jwt.sign({
                sub: decoded_jwt.sub,
                iss: 'https://' + req.headers.host,
                aud: decoded_jwt.aud,
                iat: decoded_jwt.iat,
                exp: decoded_jwt.exp,
                email: decoded_jwt.email,
                verified_claims: {
                    verification: {
                        trust_framework: _verification.trustframework,
                        evidence: [
                            {
                                type: _verification.evidenceType,
                                method: _verification.evidenceMethod,
                                document: {
 type: _verification.evidenceDocumentType,
 issuer: {
name: _verification.evidenceDocumentIssuerName,
country: _verification.evidenceDocumentIssuerCountry
 },
 number: _verification.evidenceNumber,
 date_of_issuance: _verification.evidenceDateOfIssurance,
 date_of_expiry: _verification.evidenceDateOfExpiry
                                }
                            }
                        ]
                    },
                    claims: {
                        given_name: _verifiedClaims.givenName,
                        first_name: _verifiedClaims.familyName
                    }
                }
            }, privateKey, { algorithm: 'RS256' });    
        } else {
            new_jwt = jwt.sign({
                sub: decoded_jwt.sub,
                iss: 'https://' + req.headers.host,
                aud: decoded_jwt.aud,
                iat: decoded_jwt.iat,
                exp: decoded_jwt.exp,
                email: decoded_jwt.email,
            }, privateKey, { algorithm: 'RS256' });    
        }

        res.send({
            token_type: "bearer",
            scope: "openid",
            expires_in: response_from_aad_token.expires_in,
            access_token: response_from_aad_token.access_token,
            id_token: new_jwt
        });
    } catch(e){
        console.log(e);
    }
});

• userInfoエンドポイント
• access_tokenを使ってMicrosoft Graphから必要な属性を取得して、整形した上でclientへ返却します
• ※テスト実装ではここは実装していません。id_tokenにverified_claimsを入れて返却するところまでです。
• その他
• .well-known/openid-configurationとかjwks_uriは必要に応じて実装します。id_tokenの署名をAzure ADではなくこのWebサービス側で行うので対応した公開鍵などの情報をclientへ公開してあげる必要があります。

    // claims生成
    $verificationArray = array(
'trust_framework'=>'null'
    );
    $claimsArray = array(
'given_name'=>'null',
'family_name'=>'null'
    );
    $verified_claimsArray = array(
'verification'=>$verificationArray,
'claims'=>$claimsArray
    );
    $id_tokenArray = array(
'email'=>'null',
'verified_claims'=>$verified_claimsArray
    );
    $claimsArray = array(
'id_token'=>$id_tokenArray
    );

    // GETパラメータ関係
    $query = http_build_query(array(
'client_id'=>$client_id,
'response_type'=>$response_type,
'redirect_uri'=> $redirect_uri,
'scope'=>'openid User.Read',
'state'=>$state,
'nonce'=>$nonce,
'claims'=>json_encode($claimsArray)
    ));
    // リクエスト
    header('Location: ' . $authorization_endpoint . '?' . $query );

• Portable Identity Cards（実体のアプリ名はVerifiable Credentials Issuer Service）がAzure ADにEnterprise Applicationとして登録されている
• Portable Identity CardsがAzure AD上に登録されたユーザの情報を元にVerifiable Credentials（VC）を発行する
• ユーザはMicrosoft Authenticator（現状はAndroid/Beta版のみ対応）に発行されたVCをカードのメタファとして保存（ちなみに使われていると思われるAndroid用のSDKもここに公開されているので自作するのも可能なはず）
• VCへの署名をするための秘密鍵はAzure KeyVaultで管理される
• 分散台帳（ION）とのやり取りはPortable Identity Cardsサービスが使っているverifiablecredentials-verification-sdk-typescriptがやっている

• Portable Identity Cardsサービスと同じく、verifiablecredentials-verification-sdk-typescriptを使ったサービスへアクセス
• サービスはQRコードを使ってVCの開示要求、ユーザはMicrosoft AuthenticatorでQEコードを読み込み、VCを送付
• Portable Identity CardsサービスはVCをDLT上の公開鍵を使って検証（この辺もverifiablecredentials-verification-sdk-typescriptがやっている）

• Satya Nadellaのキーノート：Building Digital Resilience
• Vasu Jakkalのキーノート：Achieve resilience with Security, Compliance, and Identity
• Joy Chikのキーノート：Azure Active Directory vision and roadmap to help you secure remote access
• Microsoft Mechanicsセッション：Taking identity and privacy to a new level | Verifiable credentials with decentralized identity using blockchain

全体を簡単に要約すると、

• VCを使うとVerifier（学校とか企業とか）が各種証明（学歴、職歴など）を簡単・確実に検証できるよ
• VerifierがSubject（個人）の情報を一生懸命集める事によるプライバシー上の懸念もなくなるよ
• すでに米国の退役軍人向けの教育プログラム（MILGears）で実証実験が走ってるよ
• 今はプライベートプレビューだけど、もうすぐみんな使える様になるぞ！
• VCをLinkedInのプロファイルに追加できるなるぞ！

みたいな話でした。

ざっくりみていきましょう。

まずはSatyaのキーノートです。後半54分あたりからDecentralized Identity Systemの話が出てきます。

私たちはオープンな分散型アイデンティティシステムを作り上げようとしています。そしてそれは、どんな中央集権的なオーソリティやテック企業からも独立しています。すでに退役軍人向けの教育プログラムでパイロットをしています。

彼らは自身の検証済みの記録をスマートフォン上のWalletに保管することができ、大学や企業に直接提示することができます。大学はそれ（VC）を数秒で検証することができ、センシティブなデータを保管する必要はありません。また退役軍人たちは、VCをLinkedInのプロファイルに追加することができ、新たな職業を得る機会に役立つでしょう。

次はVasuのキーノートです。途中16分すぎから出てくるIrinaのパートでIdentityの話があり、17分過ぎから分散型アイデンティティの話です。

オンライン化に伴いデジタル信頼やプライバシーはとっても重要なものになっています。しかし現在私たちはアイデンティティをデジタルに検証する仕組みを持っておらず、またデジタル・プライバシーは私たちのコントロール外となっています。私たちがパーソナルデータをオンラインで共有する際、企業・組織は記載されている目的外には利用せず、許可なく共有することはないことを約束し、それらのパーソナルデータが盗まれない様に、誤用されない様に保護する努力をします。マイクロソフトはすべての人々が自身のアイデンティティをコントロールできる様にする必要があると考えています。アイデンティティはどんな組織やテック企業からも独立しているべきなのです。これが私たちが分散型アイデンティティ分野に投資する理由であり、すべての人が自身のデジタルアイデンティティを所有し、誰が何の目的でいつアクセスできるか決定できるべきだと考えています。

年齢、学歴、職歴、クレジットスコア、生体情報は利用者自身のコントロール配下におかれ、政府や大学や企業の様なサードパーティはそれらの情報を検証できる様になります。それらすべてのクレデンシャルはデジタル・カードの様な形でMicrosoft Authenticatorの様なデジタル・ウォレットに保存されます。

私たちはVerifiable CredentialsとDecentralized Identifiersに関するオープンな標準に基づく自己主権型アイデンティティのヴィジョンを現実のものとするため、Decentralized Identity Foundationと共に活動しています。

私たちはこの分散型アイデンティティのシステムを多くの顧客と共にパイロットしており、MILGearsの教育プログラムもその一つです。 

ここでMilGearの人のインタビュー動画が流れた後、VasuがIrinaに今のステータスと今後どうなるの？って聞いてくれます（Good Job！）。「We're currently in private preview, but soon anyone will be able to try it.」素晴らしい！