こんにちは、富士榮です。
とうとうやってきました。OpenID Summit Tokyo 2024が開催されましたのでクィックレビューです。
OpenID Summitは約4年に一度、東京で開催されてきたイベントで2011年、2015年、2020年、そして今年2024年は4回目となります。
前回の開催はコロナ禍の直前ということで、本当にこの4年間は色々と世の中が変わってしまいましたが無事に開催に漕ぎ着けられて本当に良かったと思います。
ということで早速。
OIDF Strategic Outlook for 2024 and Briefing on the Sustainable Interoperable Digital Identity (SIDI) Summit in Paris
まずはGailのキーノートからです。
OpenIDテクノロジーの利用拡大、ワーキンググループを含む活動、ホワイトペーパーの発行、政府その他とのパートナーシップ、、本当に多くの活動が行われていることがわかります。
また、昨日のWorkshopでも話がありましたが、OpenID Ecosystemを構成する上で、Open DataをAPIなどで接続していく必要がありますが、そのためには通貨におけるクレジットカードのように結節点となる仕組みが必要であると考えられます。
また、セキュリティを考えるとShared Signalsでリスク情報を共有する仕組みなども重要になります。
そして、SIDI Hubの話です。SIDI Hubの目標について「To define what we need to achieve global interoperability for digital identity.」と解説しています。この辺りは当然のことながら先ほどのOpen Dataの接続という文脈とも繋がります。
上記のようにたくさんの国や団体が興味を持ち参加していいます。
サーベイの結果では、参加者の92%がこの取り組みを継続するべきであると考えているという結果が出ている。そのくらいこの取り組みは重要なものである。
実際に接続するためにはテクノロジだけではなくTrust Framework同士のマッピング(相互運用)まども必要になるということにも触れられました。
OpenIDファウンデーション・ジャパン ワーキンググループ活動報告
まずはKDDIの小岩井さんからKYCワーキンググループの紹介です。
すでに5年目に突入ですね。延べ290人の方が参加、合計5つのホワイトペーパーを発行しています。4年前のOpenID Summit Tokyoで最初のホワイトペーパーの発表をしたのは懐かしいです。
サブワーキンググループの紹介もありました。
- 次世代KYCサブワーキンググループ
- OpenID for Identity Assuranceの国内向けのプロファイルを策定中
- 法人KYCサブワーキンググループ
- 法人に対するKYCの現状整理
- 今年中にレポートを発行する予定
アクティブに活動していますね。
続いて、エヴァンジェリストのnovから翻訳ワーキンググループの活動報告です。
このワーキンググループの特徴は会員企業以外でも翻訳活動に参加できることです。昨年はNIST SP800-63-4の翻訳をしました。
同じく続いて理事・エバンジェリストのkuraからデジタルアイデンティティ人材育成ワーキンググループの紹介です。今年度新しく設立されたワーキンググループですね。
ID人材育成の悩みはみんなが持っているのでOpenIDファウンデーションジャパンの中でワーキンググループとして組成することで協調的な学習環境、実践と理論の結びつきのシェア、継続的な議論と建設的なフィードバックを得ることができるのではないか、と考えてワーキンググループ組成に至っています。
現在18社42名の方々が参加し3つのサブワーキンググループを組成しています。
- 技術サブワーキンググループ
- ビジネスサブワーキンググループ
- 翻訳サブワーキンググループ
2024年夏〜秋には書籍の出版を目指します!
Panel: Celebrating Ten Years of OpenID Connect
次は10周年を迎えるOpenID Connectに関するパネルディスカッションです。
Mike Jones、崎村さん、nov、ritouの4名でのセッションです。みんなOpenID Connectを創って育ててきた人たちですね。
改めてOpenID Connectの設計思想が紹介されました。
- Keep simple things simple
- Make complex things possible
今でも新しいプロファイルを作成する際など、しばしば思い出す本当に大切な原則です。
もう一つの原則である「Extensible by Design」についても語られました。
エコシステムを作る上で非常に重要ですね。フレームワークとプロファイルを分割するモジュラー型の思想で作られている仕組みなので例えばLogoutやIdentity Assuranceなど用途によって仕様を拡張していくことができている、というわけです。
この10年で達成したこととして以下が紹介されました。
- 最も使われているIdentityプロトコルとなった
- 数千の相互運用のある実装が行われている
- 認定プログラムが開発され活用されている
- ISOのPAS認定を受けた
Novの番です。
元々のOpenID Connectに関するモチベーションはFacebook Connectだったそうです。ところが、結構動きがおかしいことが多かったとのこと。そしてある日突然FacebookがFacebbok ConnectをOAuth2.0ベースにする、という発表が行われそれまでの開発物が全て水の泡に・・・しかしOAuth2.0ベースになったことでシンプルかつ安定した実装になったので「これは素晴らしい」ということでRubyのライブラリを書いた、とのこと。その後OAuth2.0ベースでOpenID Connectが開発されるということで先のRubyのライブラリを拡張する形でOpenID Connectの開発に関わるようになって行った、、というエピソードが紹介されています。
また最近感じていることとしてdo business on complex thingsになってきているところに技術をどう追いついていくか、というのが課題になってきているということです。例えば金融シナリオなどFAPIをサポートする必要が出てきている(つまり複雑なことをやる必要がでてきた)なかで、従来のライブラリでは動かなくなってきている、この辺りの状況つまり、ビジネス化をするためには複雑なことをしないといけなくなってきた、という状況を今後どのようにシンプルにしていくのか、というのが次のテーマだ、という話です。たしかに。
次はritouです。
当時はフィーチャーフォン全盛だったのでURL長の制限があったり、JavaScriptのサポートが不足していたりということでOpenID 2.0を日本のモバイルデバイスで動かそうとすると色々な課題があったとのこと。そこでバックチャネルでも動かせる仕組みが当時SAMLにもあった(Artifact Bindging)ので、これをOpenIDの世界にも持ち込んだらどうだろうか、という流れだったということです。
そして最後は崎村さんです。
案の定時間がないので詳細はこちらから(笑)
昨晩、Youtube Liveでやっていた「25 years of OpenID」のセッションですね。
初期のデザイン原則として以下を掲げたとのことです。
No canonicalization
ASCII Armoring
JSON
REST
しかし、当時JSONの署名の仕組みすらなかったのでJSON Simple SignatureをIIWで発表したが当時MicrosoftにいたMike Jonesと合流してJWx(JWT、JWS)へ繋がった、
その後、Dick Hardtらが提案してきたOAuth WRAP(当時のOAuthから署名を取り去ったもの)が出てきて、のちのOAuth2.0へ繋がった、という話もありました。
JWT、JWS、OAuth2.0の流れがOpenID Connectに繋がった、ということですね。
結果的に成功要因としてこのような教訓が紹介されていました。
Developerのフィードバックに耳を傾ける
解決できなかったことを解決する
正規化しない
シンプルなユーザケースのためのシンプルな実装
セキュリティとプライバシー
*****
ここから午後のセッションです。
テーマは「Cutting Edge OAuth/OIDC」ということで最新の仕様の一つであるOpenID for Verifiable Credentialsの関係、特にWalletのユースケースについてEUの事例を中心に話がありました。
EU Digital Identity Wallets (eIDAS 2) - status and way forward
まずはTorsten Lodderstedt博士によるEU Digital Walletの話です。
EUDIW(EU Digital Identity Wallet)はユーザが自身をIdentifyした年齢を証明したり、医療証や免許証や学位などを保持・提示したり、契約に署名したり、支払いを行うために利用することができます。Coreコンセプトとして以下の要素が紹介されました。
- Personal Identity Data(PID)
- Electronic Attestation of Attributes(EAAs)
- Qualified Electronic Attestation of Attributes(QEAA)
- 特にEAAの中でもQTSP(Qualified Trust Service Provider)によって発行されたものを指します。
こちらがEUDI Walletの全体像です。
前述のEU Walletの役割を考えると、全てのWalletは認定されている必要があり、そのための認定の仕組みが重要となります。
そして、eIDAS2で定められているリファレンスアーキテクチャ(ARF/Architecture Reference Framework)の中ではOpenID関連の標準技術を使うことが定められ絵います。
プロトコル
- OpenID for Verifiable Credentials
- ISO 18013-5
クレデンシャルフォーマット
※PIDsは両方のフォーマットで発行される必要があります。
また現在ディスカッション中のテーマとしてこれらの事項があるそうです。
- ペイロードとしてW3C JWT VCsを使うかSD-JWT VCsを使うか
- WalletのトラストとWalletのライフサイクル管理
- RPやIssuerのトラスト
- PIDと(Q)EAAsの間のIDマッチングやリンク
- オンラインの仮名での認証
特にVCのペイロードの話でSD-JWT-VCの話は熱い話題でした。ざっくりいうとSD-JWT-VCがシンプルでいいよね、って話でした。
Waiting for the EUDI Wallet: Securing the transition from SAML 2.0 to OpenID Connect
次はAmirさんの話です。Kim Camronアワードを受賞している人ですね。
今回はイタリアのデジタルアイデンティティエコシステムについて話してもらいます。
イタリアでは以下の2つのIDシステムを使っているそうです。
- SPID:Public Digital IdentitySystem(デジタルID)
- CIE id:based on the Electronic Identity Card(物理カード)
そして最近Digital Identity System(SPID)をSAML2.0からOpenID Connectへ移行を始めたそうです。
イタリアのプロファイルの特徴はOpenID Federation 1.0とOpenID Connect iGov Profileを使っているところかもしれません。
特にOpenID Federationを利用している理由として、Dynamic、Scalabe、Transparentを挙げていました。
また、OpenID ConnectのフローとしてはAuthorization Code Flow with PKCEを採用しているそうです。※SAMLからの移行ならImplicitの方が楽だったんじゃ?と思いましたが他国のことなので黙っておきます。
また、EU DIWによるパラダイムの変化について語られましたが、やはりIdP/OPへのリダイレクトモデルからの脱却がポイントになっているようですね。
すでにモバイル運転免許証をはじめとする大規模パイロット運用が始まっているんですね。
イタリアの方ということもあり、次回のOAuth Security Workshopの紹介もありました。
Insights into Open Wallet Foundation's initiatives
次はJosephによるOpen Wallet Foundationの活動に関するセッションです。
Linuxファウンデーションの参加ということもあり、OSSの優位性である早くて安いというところを全面に押し出しています。
プロジェクトは多くのスポンサーによって支えられています。
残念あがら日本とのアクティブなやり取りはなさそうですが、この機会に何か協業ができるといいですね。
Open Wallet Foundationの中でも色々なプロジェクトが動いています。様々な言語でWalletの開発ができるのはとても良いことだと思います。
*****
次のブロックは「Auth/OIDCによるID/APIエコシステムの推進」というテーマです。
Trusted Webの実現に向けて
まずは内閣官房デジタル市場競争本部事務局次長の成田さんからTrusted Webの取り組みに関する講演です。
いうまでもなくTrusted Webはデジタル空間におけるトラストを構築する取り組みです。
”一握りの巨大企業への過度な依存”でも”監視社会”でもなく、DFFT(Data Free Flow with Trust)を実現するための”第三の道”を模索する取り組みで、ホワイトペーパー(現在第3版)の発行やこれまでに25の事業者による実証実験などにも取り組んできています。
一握りの巨大企業に過度に依存している状態である一番左側の状態と真ん中のすべてを検証する状態(ブロックチェーンの利活用など)のバランスをうまく取りながら検証と信頼のバランスをとる世界観を目指しています。
2022年度に選定されたユースケースは個人属性情報(学習・就業・共助実績)、法人と行政庁との情報のやり取り、サプライチェーンにおける情報のやりとり、の3つにカテゴライズされます。全てのケースにおいてやり取りややり取りされるデータ、そしてやりとりする相手方を検証することで信頼性が高まり、確認コストの削減や不正の削減などに役立てることができるという話です。
アーキテクチャとしてはオーバーレイアプローチを取ります。
- Verifiable Data:検証可能なデータ
- Verifiable Message:検証可能なメッセージ交換)
- Verifiable Identity:検証可能なアイデンティティ(コミュニティによって裏打ちされる)
が存在します。
そして、アーキテクチャと合わせて
- Trusted Webという考え方自体に関するガバナンス
- Trusted Webの考え方に準拠したトラストフレームワーク提供者に関するガバナンス
- トラストフレームワークに従って構成・運営されるシステムに関するガバナンス
の階層構造のガバナンスも重要となります。
そして、実際に事業者がシステムとして実装する際に参照可能な実装ガイドラインもgithub上で公開されています。エンジニアの方々はぜひ見ていただき積極的に議論に参加してください。
またこのような取り組みはグローバルな取り組みとして推進していく必要があるのでG7群馬高崎デジタル・技術大臣会合においてTrusted Webの取り組みの発表、EUやカナダとの国際連携なども進めようとしています。
今後の活動として
- ユースケースの創出
- 企業・エンジニアによる取り組みのさらなる促進
- 社会実装の加速化
- 国際連携
- 全体として感が主導している他の取り組み(ウラヌス・エコシステムなど)との連携
が予定されています。
OpenID Federation 1.0: The Trust Chain vs The x.509 Certificate Chain
次はVladimirによるOpenID Federationの話ですね。
ざっくりいうとFederationの仕組みの中でTrust Chainを辿っていく仕組みです。
X.509におけるCertificate Chainを構成するものとして、
- issuer, subject
- not-before, not-after
- contrains
- public keys
が挙げられます。
一方でJWTでのTrust Chainを構成するものとして
- iss, sub
- iat, exp
- JWK Set
- trust mark
- contrains
- entity metadata
- metadata policies
が挙げられます。
こちらが比較です。
要するにX.509では公開鍵のアテストしかできない、ポリシーやメタデータで情報を伝えたりすることができないよね、という話です。
2035年にはCertificate ChainからTrust Chainに諸々置き換わってこんな状態が実現するのかもしれません(笑)
Passkeys and Identity Federation
次はエバンジェリストのritouからパスキーとフェデレーションの話です。
パスキーとID連携はどういう関係なのか?というのはよくある質問です。
その辺りをときほぐしていきましょう。
パスキーの課題として「アカウントリカバリ」「クロス・プラットフォーム同期」などが挙げられます。
一方でID連携は、
- 認証方式の一つ
- メールアドレスの確認
- 本人確認済み状態のやりとり
などの用途で使われています。
例えば単純に認証方式として比較するとパスキーの優位点はConditional Mediationとの組み合わせによるUX改善やプライバシーリスクの削減、再認証に使いやすいなどが挙げられます。
そういう意味でID連携の弱点をUXなどの面でパスキーが補強する使い方もありますし、パスキーに対応していない環境をサポートするためのID連携を使う、という補完関係にあると言えます。
OpenID Connectのacr/amrと組み合わせて認証コンテキストや方式を要求する場合にパスキーと組み合わせるということができます。
同様に再認証のユースケースではauth_timeやmax_age、login_hint、id_token_hintを使って確実に再認証させることもできるようになります。
RFC 9470のOAuth2.0 Step Up Authntication Challenge Protocolを使うと例えば決済APIへのアクセスをする際、JWTベースのアクセストークンの中身を保護対象リソース側で見てacr_valuesを指定して追加認証を求めることで安全性を高めるなどもできるようになります。
*****
次のトラックは「ビジネスへのOAuth/OIDC活用事例」というトラックです。
ビジネスという意味では2つの側面があると思います。一つはOAuth/OIDCを使ったシステムを使ってどのようにビジネスを推進しているのか、いわゆる事例の話、そして二つ目はビジネスを進める上で必要となるアイデンティティ・エキスパートの育成・チームの組成というテーマです。
まずはブラジルのNuBankの事例からです。
The progress of Nubank and Open Finance in Brazil
NuBankのOpen FinanceのGeneral ManagerのLucianaさんから事例の紹介です。
90M以上の顧客を持つということなので巨大な銀行ですね。
クレジットカード、投資、ローン、などを含め総合的にサービス展開をされているようです。
インハウスでシステム開発を進めることで諸々の意思決定を含むコントロールができる状態を作り出しているんですね、素晴らしいです。
Open FinanceがRegulatoryドリブンなのかマーケットドリブンなのか、ハイブリッドなのかという話は国によって異なりますがブラジルはRegulatoryドリブン、日本と一緒なんですね。日本でももっとOpen FinanceやAPiエコシステムが浸透するといいですね。
ブラジルでは800もの事業者がOpen Financeエコシステムに参加しているとのこと、そうなるとOAuth2.0、OpenID Connect、FAPIが必要になります。そしてブラジルの標準を各仕様のリファインや範囲を限定することで最適化をしているそうです。
Open FinanceはNuBankのミッションである「金融サービスを再発明することにより人々の暮らしをエンパワーするために複雑性と戦う」というテーマにマッチしているということです。
そのために3つの柱を据えて取り組んでいるそうです。
- より良い金融面の意思決定をしてもらえるように人々を支援する
- 金融移管する生活体験を集中化、シンプル化する
- 従来のOpen Financeが提供するものを超えていく
非常に刺激的な事例でした。
事業の成長にどのようにID技術/IDチームが貢献してきたか - SoftBank の取り組み
次は小松さんからSoftBankでどのようにID技術やIDチームの存在が事業成長に繋がったのか、という話です。
まずはSoftBankにおけるID技術がどのように導入されてきたのか、という歴史の話です。
フィーチャーフォンからスマートフォンへのプラットフォームの移行、コンテンツビジネスから決済ビジネスへの拡大などこれまでの歴史について語られます。
その中でスマートフォン向けのサービスが増えていくとAPIアクセス保護の必要性が出てくることでOAuthやOpenID Connectの技術が必要になってきた、ということですね。
しかしながら、スマートフォンに切り替わるにつれて従来のガラケーの回線認証ではなくID/パスワードによる認証が必要となってきてしまい、問い合わせが殺到、スマートフォンでも使える回線認証を導入してきたということです。
一方でリスト型攻撃などの攻撃も激化、キャリア決済の不正利用なども増えてきたことから認証ポリシーの定義と複数要素での認証機能の追加を行ってきました。
その後、グループ企業とのシナジー創出が事業課題となってきた時代も出てきます。
その際もID連携技術が活躍したんですね。
全体を振り返ると「業界標準のOpenIDをありがたく適用させていただくだけで大体の課題を解決できた」とのコメントがありました。素晴らしい。
次のテーマとしてのチーム組成の話はみなさんにとっても大きな課題なんではないでしょうか?
要するに開発者からマネージャへ、という話ですがチームの設計は非常に難しいので小松さんの話はとても参考になります。
事業への貢献、新規ビジネスの創出、そして教育や業界への貢献などバランスをとりながらチーム設計をされています。
組織成長のための鍵としていろいろな観点で語られたのですがその中でも「ID技術のエンジニアである前に事業を支えるエンジニアになってほしい」という言葉は非常に重要だと思います。また、モチベーションとして「IDが好きかどうか」というのは重要な要素であることについても語られました。この辺りはOpenIDファウンデーションジャパンなどの場もうまく活用していっていただきたいと思います。
パネルディスカッション: 組織内に「IDチーム」を確立・拡大するには?
次は柴田さん、工藤さん、菊池さん、渡邊さんによるパネルディスカッションです。小松さんの話に続きチーム組成の話です。
工藤さんの経歴。サンマイクロシステムズ時代はiPlanetとかSun Identity Managerとかをやっていらっしゃいました。とてもお世話になりました。しかしちょうど10年ごとに転職してるんですねw
自身のキャリアとデジタルID分野との関係
- 菊池さん:自分で選んだ。新規事業をやることになりブロックチェーンを使ってデジタル身分証を作る、というプロジェクトがありやりはじめた。地味だけど無くなることはなさそう、というのが選んだ理由。結果的にブロックチェーンは使わなかったが。
- 渡邊さん:どちらかというと流れに任せてIDの世界へ。ECサイトの再構築などをやっているうちにIDのキャリアがある人に結果的になってしまった(笑)
- 柴田さん:同じくどちらかというと流れに身を任せた。前職で事業開発をすることになり、その場に崎村さんがいたのでアイデンティティを使って事業開発をすることになりはや15年、という感じ。
デジタルIDが自身のキャリアにどのように役立っているのか
- 渡邊さん:ECサイトの統合などの求人に対して自身の経験が目に留まることがあり転職につながった
- 柴田さん:コンサルの経験の中で技術の変遷とビジネスの変遷を幅広く知識を得ることができた。このような経験をしている人はID屋さん以外には少なく、希少性があがり転職につながった
- 菊池さん:転職の直接のきっかけ自体がOpenIDファウンデーションジャパンのイベントだった。デジタル庁自体が省庁の中ではスタートアップ的な雰囲気があるので、専門性に加えてスタートアップとしての経験が役に立った。
IDをやることの嬉しさ・辛さ
- 渡邊さん:サービスがたくさんある中でそれぞれに関われることがIDならではだと思う。辛さは絶対に止められない、という辛さ。前職でECサイトのログインサイトを止めて社長にブチギレられた経験も・・。ただ経験として止めてはいけないシステムを運営したのはキャリアとしては非常に貴重
- 柴田さん:ソリューションを提供する側だったので止めるとお客様にご迷惑をおかけする経験は辛いものがある。奥深いところが面白い。分野では法律などへ踏み込むことになるし、技術面でもインフラからアプリケーションのレイヤまで踏み込むことになるでいろいろな経験ができる
IDチームの構成は
- 渡邊さん:プロパーが10名くらい、あとは協力会社。みんながID経験があるわけではなく未経験の中から学んでいく。OpenIDなどの標準が整ってくることで学習効率があがり、育成していく中で何名かはID好きになってくる
- 柴田さん:クライアントの事例だが、個別の担当者ベースでやっているイメージがある。ポリシー変更などがあった場合は根性で対応されていることも多く、効率化するためにアドバイスをすることはある
- 菊池さん:デジタル庁はマトリクス型組織。アイデンティティユニットはPKIとアイデンティティをやっている。その中で法人、個人(マイナンバーカード)、などで担当が別れている。専門家がデジタル庁に集中しすぎ問題と言われるが普通にスカウトメールなど経由も多い。ただ最終面接する段階では誰かの知り合いだった、ということも多い
採用戦略
- 渡邊さん:採用時点ではID経験はとわないようにしている。ID業界は専門用語が多く裾野が広がりにくいと考えているので、なるべく専門用語を使わずに裾野が広いように見せていくことが大切だと思う。トークン、とか
- 柴田さん:同じく採用時点でIDを知っていることはないので育成をしていくことになる。数年単位で人材育成をしていくことになる。教育プログラムを作ったりしていた
IDの難しさとは
- 柴田さん:仕様はオープンだが、その仕様がなぜそうなっているのかが書いていない。なぜそうなっているのかをわからないとインテグレーションができないこともあり、口伝などで情報伝達をしないとうまくいかない
- 渡邊さん:OIDCがわかる本、を読んでもらうだけでは理解できないので自分で読んで解説するところまで必要。開発チームにも自分たちはOIDCに準拠しているのでちゃんと対応してほしい、と明確に伝える、伝え続けることが必要。標準を使うことで新しい人を呼び込むことにもつながる。独自で作るものを学ばされるよりも標準の方がメリットがある。ChatGPTに聴けるのも標準ならでは。
- 菊池さん:デジタル庁の中では国際標準を使うのがデフォルト。社会課題を標準仕様で解く、ということが必要だが存在する実装では実現できないこともあるので、他のチームと連携しながら解いていく必要がある
どうやってIDチームは交流していくのか
- 柴田さん:OpenIDファウンデーションに入ってもらう、イベントに参加してもらう。OpenIDファウンデーションジャパンにも人材育成WGがあるので是非参加してください!
- 渡邊さん:自社のIDチームに人を引き込むためにID業界としてこういうことがあると嬉しい、という観点だと「とっつきやすさ」だと思う
- 菊池さん:技術の専門家とユースケースを知っている人が別々、ということが多い。その交流ができる場があると補完関係になって良い
- 柴田さん:人材育成WGはビジネスサブWGと技術サブWGがあるので是非!
最後に
- 渡邊さん:IDチーム募集しています!とっつきやすいチームを目指しています!
- 菊池さん;IDユニット、引き続き人を募集しています。官民連携を進めたいと思います
- 柴田さん:絶賛採用中!
- 工藤さん:弊社も!(w
ということで最後は採用アピール大会になりましたがとても参考になりました。
*****
いよいよ最後のブロックです。
テーマは「日本のID界を盛り上げていきましょう」です。
Your Identity Is Not Self-Sovereign
まずはJustinからです。昨年のEICで彼の話を聞いて、とても面白かったので呼んでもらいました。
「Self」とはなに?というところから始まるわけですが、このセッションは動画で見ないとおお白くないので動画公開をお待ちいただこうと思います(笑)
「Soverign」とは?
「Trust」とは?
そういえばNortonさんは米国の皇帝だって名乗っていたことありますねw
まさにSelf Sovereign。
Source of truthはどこに視点を置くかによって変わる、という視点も非常に重要ですね。
※これはUSの標準をありがたく参考にしている日本人は本当に考えないとダメだとおもいますよ・・・
そして最後は「Identity」
これはEntity - Identityモデルの話で自観と他観の話なわけですが、どうやって自分のアイデンティティを表明するのか、という話。
そう考えるとアイデンティティは受け取った側がどう受け取るのかによるわけですよね。これが他観の話。
つまり、自分がどういうアイデンティティを表明したかったとしても相手に受け取られた段階で自分では何のコントロールもできない、ということ。
これが自己主権型アイデンティティだと思っている人はしっかり考え直しましょう。
Closing Keynote
最後は崎村さんによるクロージングです。
テーマは「分散の誤謬」です。
最初にKim Cameron Awardのアナウンスがありました。OpenID Foundationがスポンサーとなっています。
Web1.0、Web2.0の流れがあり、OAuthやOpenID ConnectはまさにWeb2.0の申し子なわけです。
OpenIDの基本コンセプトに立ち返ると自分のブログのアドレスを使ってサイトにログインしていく、というようなまさに自己主権型の仕組みでした。
しかしながらOpenID URLを使うと全てのサイトに対して同じ識別子を提供することになってしまうのでPairwise IDが作れないので、認証提供サイトであるOpenID Providerというエンティティが登場するわけです。これがOpenID Authentication 2.0。
しかし必然的に自分のアドレスではなくOPのアドレスを使うことになり、自己主権を犠牲にしているわけです。これは現在EUで起きているEUDIWの議論とも共通します。
XRIとかSXIPなどからOpenID Authentication 2.0への流れを見ていくとこの段階でGAFAは決してプレイヤーだったわけではありません。これを見ていくとWeb2.0が巨大新興企業が率いているという話は間違っていることがわかるわけです。むしろ当時のGAFAは巨人IBMを倒すことで民衆に熱狂を持って受け入れられた革命児だったはずです。
しかし、その流れで生まれてきたWeb2.0は極限まで分散されているにもかかわらず、なぜ巨大企業に支配されているのか?
Googleに売上の推移をみるとわかるとおり、IT産業は収穫低減のモデルなので富の集約は必然っていうことですね。
ではweb3はどうなのか?
「分散」という言葉を語るときに対象を明確化する必要があります。
そして集中と分散はバイナリではなくグラデーションがあるわけです。
そこに分散台帳を当てはめてみると、実は分散台帳は主体が一つの台帳を使うので完全集中だということがわかります。つまり完全集中しているシステムに「分散台帳」という名前をつけるマーケティングセンスは天才的だといえます。
分散型IDやWalletの世界に当てはめるとどうなるか。
Wallet=IdPという世界観なのでIdPが個人のWalletに分散するという側面で物事が語られるのではないか?ただし個人のデータがWalletに集中することをみると分散ではないと思われます。
Web2.0の文脈では世界中にIdPが分散していることもありある意味分散型。しかしWalletモデルで見るとIdP提供者よりもWallet提供者の数はずっと少ない状態であり、IdPモデルと比較すると集中していると言えるわけです。
つまり、web3の世界におけるWalletモデルもいずれWalletプロバイダへの集中やプラットフォームベンダへの集約が起きるのは必然となるわけです。
こうなると政策介入しかなくなるわけですが、一部の国がやっているように独立したアプリストアを許可するようにしたとしても本当に使われるのか。そしてさまざまなWalletを許可した場合、本当にそのWalletは信頼できるのか?実際にWalletからの情報流出の事故は発生しているわけです。
こういう形でみんなが分散しようとしても結果として集中が発生してしまう「分散の誤謬」というものが発生しているわけですね。
ということでご参加いただいた皆さん、お疲れ様でした。
動画は追って公開する調整が行われると思いますので残念ながら参加できなかった方も、もう一度見たい方も楽しみにしておいてください。
