「内部統制問題はID管理問題」--NTT情報流通プラットフォーム研究所

　アイデンティティ（ID）管理の重要性が再認識されつつある中、ID管理技術の標準化を進める「Liberty Alliance Project」の活動やその加盟企業の製品対応の状況はどうなっているのか。今回の連載では、各加盟企業を取材し、Liberty Allianceでの役割やアイデンティティ管理の今後について見ていきたい。

　今回取り上げるのはNTTだ。NTTは、Liberty Allianceの最高意思決定機関であるボードメンバー10社の中の1社。同社は日本での普及促進を図る日本SIG（Special Interest Group）にも積極的に参加しており、NTT情報流通プラットフォーム研究所 ユビキタスコンピューティング基盤プロジェクト グループリーダで主幹研究員の高橋健司氏は、日本SIGの共同議長を務める。今回はNTTにおけるLiberty Allianceの取り組みについて高橋氏に話を聞いた。

複数サービスへのシングルサインオンを実現

NTT情報流通プラットフォーム研究所の高橋健司氏

　IDの盗難が1000万件にものぼると言われる米国では、ID管理について関心が高い。盗難の被害額は数百億ドルに達すると報告されており、いまや「ユーザーIDとパスワードだけでは不十分」というのが業界のコンセンサスになりつつある。日本もID管理の重要性について再認識する必要がありそうだ。

　アイデンティティとは何か。日本語に訳すと「自己同一性」となる。エンドユーザーはネットワーク上のサービスを利用するために、様々なアカウントを持っているが、それらのアカウントによってエンドユーザー本人との関係性を管理する。これがID管理だ。

　もちろん管理する主体はエンドユーザーであり、エンドユーザーは自分のプライバシーを守ることを考えながら管理できる必要がある。エンドユーザーが数多くのアカウントを持つようになると、ユーザーIDとパスワードを覚えきれなくなり、紙に書いて貼っていたり、パスワードを単に「password」としていたりと、管理が甘くなりがちになる。この甘さがID盗難につながる。

　そこにシングルサインオン（SSO）という仕組みが浮上してくる。SSOによってエンドユーザーは異なるサービス提供者の複数のサービスにアクセスできるようになる。また、エンドユーザーはつなぎたいサービス、つなぎたくないサービスを自分の意思で選び、IDを連携させることができる。

　サービスを受けるにあたって、エンドユーザーはしばしばサービス提供者から自分の属性を登録するよう求められるが、属性の登録をサービス提供者ごとに繰り返すのは面倒であるため、登録した属性を別のサービス提供者にも渡せると利便性が上がる。こうした属性交換を含むID連携を、エンドユーザーが主体となって柔軟にコントロールできるようにする、といったID管理を実現するための技術の標準化を進めているのがLiberty Alliance Projectだ。

SAML 2.0のID管理技術を研究するNTT

　NTTがLiberty Allianceに積極的に関与しているのは、「non-traffic」と言われる非音声系のサービスの領域において、アイデンティティ管理、とりわけ顧客を認証・特定し、顧客情報を管理する部分が非常に重要になってくると考えているからだ。今後、次世代ネットワーク（NGN）でも多種多様なサービスが提供されるようになるため、その重要性はますます高まっていく。高橋氏のチームでも、NGNに向けてSAML 2.0標準に基づいたID管理技術について研究開発を進めている。

　SAML（Security Assertion Markup Language）とは、認証情報等を安全に交換するためのXML仕様のこと。SAML 2.0の策定においては、Liberty Allianceが策定した仕様をOASISに提供し、OASISがその仕様をSAML 2.0として国際標準としたものだ。なお、SAML 2.0は間もなくITU-T（国際電気通信連合 テレコミュニケーションセクター）においても国際標準「X.1141」として勧告される見通しだ。