長年にわたり、テクノロジー企業はブロックチェーン技術を、安全で分散化されたIDシステムを開発する手段として宣伝してきました。その目標は、実際の文書や詳細情報を保有することなく、公的データに関する情報を保管できるプラットフォームの構築です。例えば、出生証明書のスキャンを保管するだけでなく、分散型IDプラットフォームは、その情報を証明する検証済みトークンを保管するかもしれません。そうすれば、バーで身分証明書の提示を求められた時や市民権の証明が必要になった時、実際の文書やデータではなく、これらの事前検証済みの認証情報を共有できるようになります。マイクロソフトはこの分野で先駆的な存在であり、現在、分散型デジタルIDというビジョンに向けた具体的な進捗状況を詳細に発表しています。
マイクロソフトは本日開催されたIgniteカンファレンスにおいて、「Azure Active Directory 検証可能認証情報」のパブリックプレビューを今春開始すると発表しました。このプラットフォームは、Apple PayやGoogle Payのようなデジタルウォレットのようなものですが、クレジットカードではなくID認証のためのものです。マイクロソフトはまず、大学の成績証明書、卒業証書、専門資格などの情報から認証を開始し、二要素認証コードと共にMicrosoft Authenticatorアプリに追加できるようにします。既に東京の慶応義塾大学、ベルギーのフランダース州政府、英国の国民保健サービス(NHS)でこのプラットフォームのテストが行われています。
「分散型IDがあれば、例えばどこの学校に通っていたかなどを確認できます。すべての情報を送る必要はありません」と、マイクロソフトのクラウドおよびエンタープライズID部門のコーポレートバイスプレジデント、ジョイ・チック氏は語る。「必要なのはデジタル認証情報を取得することだけです。すでに認証済みなので、信頼できるのです。」
マイクロソフトは、今後数週間以内にソフトウェア開発キットをリリースする予定です。これにより、組織は認証情報の発行と要求を行うアプリケーションの構築を開始できます。同社は長期的には、このシステムが世界中で、アパートの賃貸から書類のない難民の身元確認まで、あらゆる用途に利用されることを期待しています。これは、事実上すべての分散型身分証明の取り組みの夢です。
例えば、NHSのパイロットでは、医療提供者は既存のNHS医療従事者に専門資格へのアクセスをリクエストでき、医療従事者はアクセスを許可するかどうかを選択できます。これにより、以前はより複雑なやり取りを必要としていた他の施設への転籍プロセスが効率化されます。Microsoftのシステムでは、受信者がアクセスを必要としなくなった場合、資格情報へのアクセスを取り消すこともできます。
「NHSシステムでは、医療従事者が勤務する各病院において、資格確認に数ヶ月を要し、その後は業務に就くことができませんでした」とチック氏は語る。「今では、病院に登録して患者の治療を開始するまで、文字通り5分しかかかりません。」
分散型IDスキームの普及を阻む大きなハードルは相互運用性だ。10もの競合フレームワークが存在するようでは、誰にとっても容易なことではない。現在、マスターカードがまだテスト段階にある製品など、潜在的な競合はいくつか存在する。マイクロソフトの普及率は、クリティカルマスのユーザーを獲得する上で有力な候補となる可能性がある。この点を念頭に、同社はワールドワイドウェブコンソーシアム(W3C)のWebAuthnといったオープン認証標準をベースに、Azure Active Directoryで検証可能な認証情報を開発。これにより、顧客はプラットフォームを導入しやすくなり、他の大手テクノロジー企業も自社製品での利用をサポートしやすくなるはずだ。現在、マイクロソフトはデジタルIDパートナーであるAcuant、Au10tix、Idemia、Jumio、Socure、Onfido、Vu Securityと提携し、プラットフォームの試験運用を進めている。チック氏によると、今後はパートナーリストを急速に拡大していくことが目標だという。
「これを正しく実現するには、コミュニティ全体の参加が必要だと考えています。一つの組織だけでこれを実現できるわけではありません」と、マイクロソフトのセキュリティ、コンプライアンス、アイデンティティ担当コーポレートバイスプレジデント、ヴァス・ジャッカル氏は述べています。「一歩一歩、私たちはこのビジョンに向かって進んでいます。」
Microsoft Authenticator に保存された、検証済みの分散型 ID。ユーザーは、組織からのこれらの認証情報の表示要求を許可または拒否することができ、また、いつでも取り消すことができます。
マイクロソフト提供マイクロソフトは2017年に分散型IDスキームの開発に正式に着手し、ここ数年でインフラを着実に構築してきました。このシステムはビットコインブロックチェーンをベースとしており、Sidetreeと呼ばれるオープンプロトコルを用いて取引記録(今回の場合はID検証)をブロックチェーンに追加します。マイクロソフトによると、Azure Active Directoryの検証可能な認証情報は、Sidetreeのカスタム実装でありながらオープンソースであるIdentity Overlay Network(IDオーバーレイネットワーク)を使用しています。組織は独自のION「ノード」を運用し、市民、学生、従業員などのメンバーのIDを検証・保存できるようになります。
「一夜にして実現するわけではないことは承知していますが、ユーザーと組織の両方にとって魅力的なものになると考えています」と、マイクロソフトのチック氏は述べています。「すべての組織が個人情報の管理者になりたいわけではありませんが、情報の検証やビジネス取引を行うためには個人情報が必要です。個人情報の取得は義務と責任を伴いますが、データの検証のみが必要な組織にとっては魅力的な選択肢となるでしょう。」
マイクロソフトは、分散型アイデンティティスキームの一部としてユーザーデータを直接保持することはありませんが、このアプローチは、既にMicrosoftアカウントを狙う攻撃者にとって、その価値をさらに高める可能性があります。最近のSolarwindsへの侵入と、ロシアの関与が疑われるハッカーによる関連するハッキングキャンペーンは、組織がMicrosoftの既存のアイデンティティ管理サービスを安全に実装する際に直面する課題を浮き彫りにしています。ハッカーは、サードパーティのITサービス企業であるSolarwindsへのアクセスを利用して標的に侵入しました。そこから多くの場合、ハッカーは組織がMicrosoftのActive Directoryを設定する方法の欠陥を悪用し、Microsoft 365のメールシステムやAzureクラウドストレージにさらに深く侵入しました。ハッカーはMicrosoftを直接標的とし、厳重に保護されている同社のソースコードの一部を閲覧しました。
「脅威の攻撃者は、Windows の認証アーキテクチャにおける体系的な弱点を悪用した」と、脅威インテリジェンス企業 CrowdStrike の CEO、George Kurtz 氏は先週の議会証言で述べ、Active Directory と Azure Active Directory の「認証アーキテクチャの限界」を指摘した。
マイクロソフトによれば、新しい分散型アイデンティティプラットフォームは、たとえアカウントが侵害されたとしても、攻撃者が検証済みの認証情報を使用して購入時に学生割引を取得したり、本人の名前でローンを申請したりできないように設定されるという。
「アクセス制御だけでなく、開発者は分散型識別子のキーを使ってデータを暗号化することで、ユーザーデータをさらに安全に保護できます」と、マイクロソフトの広報担当者はWIREDへの声明で述べた。「このようなアプローチでは、悪意のある人物がシステムやデータストアにアクセスできたとしても、個々のユーザーが持つキーがなければデータを復号化することはできません。」
実際には、Azure Active Directory で検証可能な認証情報を導入している組織は、学生の成績証明書や専門資格の認証情報にアクセスする際に、物理トークンなどの追加認証を要求するシステムを構築できることを意味します。しかし、組織ごとに実装が若干異なる場合があり、保護に一貫性がない可能性があります。分散型IDスキームの長年の課題として議論されてきたのは、既存のリスクを軽減する一方で、新たな種類のリスクを生み出す可能性があることです。
「プライバシー、分散化、そして信頼性を同時に実現するのは非常に困難です。ブロックチェーンはプライバシーの確保を困難にし、分散化は信頼できる認証情報の特定を困難にします。また、エコシステムには様々なボトルネックがあり、これらの技術へのアクセスは最終的に中央集権的なポータルを経由することになる可能性も十分にあります」と、コーネル大学暗号通貨・契約イニシアチブの共同ディレクターでコンピューター科学者のエミン・ギュン・シラー氏は述べています。「しかし、さらに重要なのは、これらの技術はアイデンティティの概念を再考する必要があるということです。そして、ほとんどの企業がここで挫折してしまうのです。なぜなら、彼らのビジネスモデルは本質的に、ユーザーに関するあらゆるデータを把握し、収益化することに結びついているからです。」
ギュン・シラー氏は、これは実用的な分散型IDプラットフォームが不可能だという意味ではないと指摘する。そして、マイクロソフトのような企業は、確かに新技術の普及を促進できる立場にある。しかし、分散型IDサービスは、データ収集を止めたくない組織にとっても、マイクロソフトのような既に強力な企業が提供する新たな基本サービスを受け入れたくない組織にとっても、受け入れにくいものになるかもしれない。
「適切に実装された分散型デジタルIDソリューションは、ユーザーにさらなる制御力を提供することを約束します」とギュン・シラー氏は語る。「私たちが必要とするブレークスルーが、中央集権的なソフトウェアベンダーからもたらされるかどうか、根本的に疑問に思います。」
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- セックステープ、口止め料、そしてハリウッドの秘密経済
- きらめくブラックホールが銀河の目に見えない雲を明らかにする
- ビデオゲームの最も厳しいDRMをブルドーザーで破壊する女性
- OOO: 助けて!みんな私の散らかった寝室を批判してる
- 自宅に常備しておくべき最高の緊急用具
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください
