2024年1月18日木曜日

OpenID Foundation Hybrid Workshopクイックレビュー

こんにちは、富士榮です。

今日はOpenID Foundation Hybrid Workshopに参加しています。

こちらのポストで紹介したものですね。


私もスピーカーなのであまり余裕はありませんでしたが今後ポイントになりそうなところをピックアップしていきたいと思います。

崎村さんのご挨拶から始まり、まずは各ワーキンググループからのUpdateが始まりました。全体アジェンダはこんな感じです。


AuthZEN Working Group

まずはAuthZEN WGです。


認可(Auhorization)を管理するのって結構難しいですよね。というところから話は始まります。サイロ化されていたり、広く使われている認可コンポーネントが存在しないことなどが原因です。ABACとかXACMLとか。またSaaSやクラウドサービスが利用できる外部の認可サービスもありませんし。。

ということでこのワーキンググループでは組織の内外、コンポーネント間、システム間を繋ぐ認可プロトコルとフォーマットについて、既存の標準や考え方との相互運用性を考慮しながら考えていく感じになるそうです。例えばポリシーベース言語やグラフベースなど、また標準的な認可のパターン(PAP、PDP、PEP、PIP)やNISTのABACのアーキテクチャなども考慮するということですね。

仕様としては、

  • 標準的な認可パターン、ユースケース、コミュニケーションパターン、インテグレーションパターンなどを定義する
  • 認可リクエストと認可決定を行うためのAPIを定義する
  • 認可ポリシーと認可に利用するデータの間でコミュニケーションを行うAPIを定義する
などを2024年のIdentiverseあたりを次のマイルストーンに決めていこうとしているようです。

Shared Signals Working Group

次はShare Signalsです。

認証ばっかり守るんじゃなくて継続的にリスクを検知して緩和してかないとダメでしょ、というのがこの仕様のモチベーションの一つです。
うーむ、まさに。

IETFと密にやりとりしていて、OpenID FoundationとしてCAEP、RISC、Shared Signal Frameworkを、IETFではSET(Security Event Token/RFC8417)やベースとなるJWTなどのトークンの仕様を決めている、という役割分担です。

昨年の12月にShared Signal FrameworkのImplementer's draft 2が承認されたのが大きなUpdateです。また、相互運用性に関するイベントが3月にロンドンで企画されていたり、明日のOpenID SummitやIIW、Identiverse、European Identity and Cloud Conferenceなどのイベントでのプレゼンテーションも予定されています。

Apple、Okta、SGNL、MicrosoftなどさまざまなベンダーもShared Signalsのサポートを表明しています。また、CISA/NSAやUK Digital Identity and Attribute Trust Frameworkからのレポートも発表されています。

途中でプライバシーに関する取り組みに関する質問がありましたが、すべてのやりとりはJWEなどで暗号化されている前提の元、シグナル自体のやり取りは事前の法的合意に基づきやりとりされるよ、という話がありました。この辺りのTrust Frameworkに関しては政府の役割も重要ですね。

OpenID Foundation 2024 Strategic Initiatives

次はGailからOpenID Foundation全体の戦略的な話です。


こうやってみるとすごい量のアクティビティですね。

FAPIやeKYC、OID4VCなどの仕様のUpdateやFinalizeはもちろん、認定プログラムで認定されたサービスやプロダクトがずいぶん増えました。そしてEU ARFやカリフォルニア州のDMVでのOID4VCの採用、GainやSIDI Hubなどのコミュニティーでの活動、NIST SP800-63-4へのコメントなど、とても忙しい一年になったということです。

デジタルアイデンティティは通貨と同じように簡単にやり取りすることはできるのか?という問いかけもありました。通貨の世界ではクレジットカードなどが国による通貨の違いを吸収する仕組みが確立されていますが、デジタルアイデンティティにはそのような相互運用の仕組みがありません。この辺がこれから解かないといけない課題なんでしょう。

また、前のセッションでTomさんから話のあったShared Signalsにも触れ、ゼロトラストなどの文脈ではもはや国家レベルのセキュリティのキモになってきている話である、と。


次にDimaからOpenID Foundation Strategic Taskforceの2024のロードマップの紹介がされました。

FAPIなどはすでにインターネットスケールでの展開を行う段階に位置づけられています。
IDAやShared Signalはキャズムを超える段階にようやく到達しつつある感じですね。
また、DCPやGAINなどは基礎を作る段階、SIDI HubやAuthZENなどは合意が取れてきている段階、今後はAI MonitoringやPostクォンタムなどはこれから、という感じですね。


とここで私の番だったので、スキップ。
わたしはOpenIDファウンデーションジャパンの最近の活動について話をしました。



ここでWorking GroupのUpdateに戻ります。

OpenID Connect Working Group

Mike JonesからConnect Working GroupのUpdateです。


メインのワーキンググループということもありスペックがてんこ盛りです。

(自分の番が終わると力尽きてきた・・・)

個人的にはOpenID for Verifiable Credentials関連のドラフトのUpdateが一番気になってますが、大きいのはOpenID Connect spec for ISO Public Available Specification(PAS)でしょうね。詳しくないのですがOpenID Connectの仕様をISOが認める公開仕様書とするということなんだと思います。

eKYC & Identity Assurance Working Group


次はMark HaineによるeKYC & Identity Assurance Working GroupのUpdateです。
すでにImplementer's Draft 4まで来ているのでそろそろFinalizeですよね・・・

ニュースとしては、IDAのClaimをIANAレジストリに登録ができたこととか、この前の10月ごろに大きくなりすぎたIDAスペックを4つに分割する意思決定をしたことが挙げられています。

分割した理由の一つとしてはClaim SchemaはIDAだけではなくVerifiable Credentialsなどでも使えるよね、というあたりもありました。
実はこのIDAの仕様って結構日本人が関与していて、日本での展開が期待されている分野の
一つなんですよね。ということでそんな期待値も語られました。

MORDNA Working Group

次はMORDNAについてBjornから語られました。

モバイルオペレーターが提供するIdentity Serviceのプロファイルを考えるワーキンググループですね。
CIBAのMODRNA Authentication ProfileやAccount Porting、User Questioning APIのImplementer's draftについて触れられました。
また、ETSIとのリエゾンの合意や、eKYC & IDA WorkingもKYCの文脈では関係するCAMARA Project(Linux Foundationのプロジェクト)とのリエゾンでのアクティビティなど外部との協業によるアウトリーチの拡大なども主要な活動だったようです。

Digital Credentials Protocol Working Group

次はTorstenによるDCPワーキンググループの話です。

元々はDecentralized Identityの3パーティモデル(Issuer/Holder/Verifier)に関連するプロトコルを策定するために設立されたワーキンググループです。
考え方はOpenID Connectと類似ですが、OAuthの上に構築されたプロトコルでCredentials formatには関係なく利用できるプロトコルを作っています。
また、プロトコルとCredentials formatの組み合わせをプロファイルとして定義していたり、トランスポートもBLEチャネルを使うケースを想定した仕様の策定もしています。

コンフォーマンステストに関しても開発が進んでいたり、OID4VP mdocプロファイルのテストが成功したり、Formal Security Analysisが完了したり、とかなり活発なワーキンググループです。

Aries JavaScript Frameworkや.NET Wallet FrameworkがOpenID for VC/VPをサポートしてきているのも良い傾向ですね。(元々はDIDCommしかサポートしていなかった)

その辺りも含めて相互運用性テスト(Plugfest)などの必要性などについても活発な議論が起きていました。

FAPI Working Group

次は崎村さんによるFAPI Working GroupのUpdateです。

ざっくりいうと高いセキュリティレベルのプロファイルをOpenID Connect/OAuthの上に作りましょう、というのがFAPIですね。
FAPI1.0関連の仕様はすでに発行されていますが、FAPI CIBA ProfileやFAPI2.0 Security ProfileなどImplementer's draftの状態の仕様も多数存在し、活発に議論が行われています。

FAPI2.0のスペックのファイナライズを2024 Q1に、という野望も語られましたがなかなかチャレンジングなんでしょうねぇ。

同じくFAPIのエコシステムに関してMike Leszczから語られました。





ひろがってますね。素晴らしいことです。
明日のOpenID SummitでもブラジルからNuBankの方が来日、FAPIの実装について話していただけることになっていますので、本当にグローバルで注目されているプロファイルなんだなぁ、と実感できます。

続いてElcioからOpen Finance BrazilのFAPI採用の話もありました。


最初はFAPI1.0から始めてどんどん進化させて行った感じですね。
どんどん複雑化して行ったところを標準を使うことでシンプル化していった、と。この辺りの意思決定は非常に重要ですね。

Certification Program


次はJosephによる認定プログラムの話です。
これまでもOpenID Connect、OpenID Connect logout、FAPI関係の認定テストが開発されてきましたが、今はOpenID for Verifiable PresentationやIdentity Assurance、Verifiable Credential Issuanceなどの開発が進んでおり、日本政府もサポートを表明しているのはとても素晴らしいことです。

SIDI Hub


最後はSIDI (Sustainable Interoperable Digital Identity)HubについてGailから紹介です。
明日のOpenID Summitでも紹介されるので簡単に、ということです。

日本政府を含む各国政府やOpenID Foundationを含む標準化団体が多数参加していますね。


もうこのスライドに尽きると思います。

今年も忙しくなりそうです、とのこと。



ということでおしまいです。
明日のOpenID Summitでお会いしましょう!

0 件のコメント:

コメントを投稿