「Passport」への反省から生まれた「Infocard」とは何か



 次期Windows OS「Longhorn」の詳細が徐々に判明し、あわせて米Microsoftの新しいID管理サービスについても、その内容が明らかになってきた。「Infocard」(開発コード名)と呼ばれる新しいソフトウェアでは、既存のさまざまなID技術が利用でき、「ユーザーが自分で自分の情報を管理する」ことを最大の特徴としている。同社は、不評だった「.NET Passport」からの移行を進めていく考えだという。公表された文書や米メディアの報道からInfocardを読み解いてみよう。


 Microsoftは5月下旬に、「Longhorn」に組み込む予定のプレゼンテーションサブシステム「Avalon」と、コミュニケーションサブシステム「Indigo」のベータ1 RCを公開した。これにあわせて、新しい認証サービスの枠組みである「Identity Metasystem」を紹介している。Identity Metasystemは、技術や実装、プロバイダーなどが異なる複数のデジタルIDを統一し、相互運用を可能にするフレームワークという。

 Infocardは、Identity Metasystemの下で認証管理を行うソフトだ。開発者向けサイトのMSDNで公開されている文書によると、「(Longhornで採用される新しいAPIセットである)『WinFX』のコンポーネントで、Identity Metasystemが要求する、一貫性のあるユーザー体験を提供する」となっている。また、コミュニケーションサブシステムの「Indigo」を利用することで、Identity Metasystemでサービスを提供する分散アプリケーションを迅速に開発できるという。

 Identity Metasystemは主要なID管理技術をサポートし、サービスプロバイダーは既存のIDインフラをそのまま使いながら、相互運用性を犠牲にすることなく移行できるという。文書では「Identity Metasystemは、ネットワーキングの領域におけるインターネット・プロトコル(IP)と似た役割を認証サービスにおいて果たす」と説明しており、このフレームワークが目指すものがうかがわれる。

 ネット上のID管理はここ数年来の大きなテーマだ。ECの普及、Webサービス化などに伴ってユーザー認証が必要なWebサイトは増え続けている。そこで、サイトの間で共有できる基本的な情報を格納して、同じデータを繰り返し入力する手間を省く「シングルサインオン」が2000年ごろから急浮上してきた。

 Microsoftは「.NET Passport」でシングルサインオンをユーザーに提供した。Passportのアカウントはこれまでに2億5000万を超え、1日あたり10億の認証処理を行っているという。


 しかし、Passportは、なお当初の目標を果たせないでいる。

 Passportは、2つの役割を果たすことを目的として考えられていた。すなわち、「MSNやその他のMicrosoftのサービスのためのIDプロバイダー」と「インターネットのためのIDプロバイダー」になることだ。

 だが、実際には、MSNメールやMicrosoftの他のサービスを使うために利用されるのが大半で、「インターネットのためのIDプロバイダー」にはなりえていない。Passportでは、Microsoftが個人情報を保管する形になるため、ユーザーに抵抗感がある。また、サービスプロバイダーもセキュリティや、Microsoftへの一極集中を懸念している。

 Identity Metasystemは、こうしたPassportでの反省を受けて開発されたもので、根本的な違いは、「個人情報を持たない」ことと「オンライン認証プロバイダーではない」ことだとされている。また、サービスプロバイダーに合わせて選択的に情報を開示するため、安全をより確保できるという。

 米NetMeshのCEO、Johannes Ernst氏のブログの解説によると、InfoCardは例えば次のように使われる。

 InfoCardが使用可能なユーザーが、まず、ISPやECサイトなどのIDプロバイダーにサインアップする(IDプロバイダーはInfoCardのプロトコルをサポートしていなければならないが、このプロセス自体は完全にInfoCardの外で行われる)。

 対応Webサイトは、アクセスを受けると、ユーザーのInfocardシステムを起動させるHTMLオブジェクトタグを含むWebページを送信する。

 起動したInfocardシステムは、Webサイトがどんな個人情報を要求していて、ユーザー側で用意しているもののどれに合致するかを判断する。そして、これをユーザーに表示して見せる。ユーザーは承認したうえで、Infocardを使用してサイトに情報を送る――。

 つまり、ユーザー情報は、ユーザー自身が保管しながら、誰に対してどういう情報を開示するのかを毎回確認し、それを承認する仕組みとなっている。

 Infocardは、このプロセスを実行するために、Microsoftが中心となって推進しているWebサービスの相互運用標準「WS-*」の各プロトコルを採用した。そして、LDAP、スマートカードで使われている「X.509」、UNIX環境などで使われている暗号認証方式のKerberos、さらにOASIS標準でLiberty Allianceの基盤技術であるSAMLもサポートするという。

 Microsoftは、Identity Metasystemの開発にあたって、新しい認証サービスに求められる項目を「アイデンティティの原則」(The Laws of Identity)としてまとめた。Passportでの反省点といえるものだ。

 すなわち「ユーザー自身によるコントロールと同意」「最小限の情報開示」「正当な関係者への情報開示」「IDの方向性」「複数のIDプロバイダーと複数のID技術での相互運用性」「明確なマンマシンコミュニケーション・メカニズムによる人間(ユーザー)の統合」「シンプルで一貫性のあるユーザー体験」――。

 昨年のMicrosoftとSun Microsystemsの和解を受け、PassportとLiberty Allianceの両方に対応するシングルサインオンの仕様づくりが進行している。これらとInfocardがどういう関係になるのか、またユーザーの前にいつ登場するのか、これまでのところ公式な発表はない。

関連情報
(行宮翔太=Infostand)
2005/6/6 11:56
ページの先頭へ▲