こんにちは、富士榮です。
前回、前々回と見てきたOIX(Open Identity Exchange)のレポートを今回も見ていきたいと思います。
これまでのおさらいはこちらです。
- 第1回:エグゼクティブサマリー
- 第2回:パターン1
今回は2つ目のパターンについて見ていきます。
- 政府が発行したクレデンシャルのみを格納するためのウォレットを政府が提供する
- 政府および民間が発行したクレデンシャルを格納するためのウォレットを政府が提供する
- 上記1に加えて認定された民間企業が提供するウォレットに政府が発行したクレデンシャルを格納することを許可する
- 政府はウォレットを提供せず、認定された民間企業が提供するウォレットに政府が発行したクレデンシャルを格納することを許可する
このモデルでは前回と同様に「トラスト・アンカー」となる政府発行のクレデンシャルを同じく政府発行のウォレットに入れるのに加えて企業等の発行するクレデンシャルも政府発行のウォレットに保存できるようにしましょう、という話です。しかしながら前回と同じく企業の発行するウォレットに政府の発行するクレデンシャルを保存することは許可しているわけではありません。民間企業は政府が発行したクレデンシャルを本人確認等のために受け入れることもできますし、逆に政府が民間企業の発行したクレデンシャルを受け入れることも可能となります。(この場合はおそらく政府発行のウォレットを使うと思われますが)
レポートではこのモデルの課題として以下を挙げています。
- 政府が政府のウォレットにすべての民間企業のクレデンシャルを保持することを認めない場合、結局ユーザは民間企業のウォレットも持つことになる
- プライバシーに関する懸念により、政府がどれだけ保証をしたとしても、ユーザは政府のウォレットに民間企業のクレデンシャルを保持することに抵抗を感じる可能性がある。例えば、銀行の詳細情報、旅行の詳細情報、口座へのアクセス情報など、ユーザが政府に渡したくない情報は存在している
- 政府は、民間企業によって発行されたクレデンシャルを管理しなければならず、セキュリティの観点からウォレットの運用コストが高くなる。民間企業に存在するすべての種類のクレデンシャルをサポートするのはキリがなくコストを政府が企業に請求しない限り実質運用は不可能である。そうなると結局政府のウォレットはよくあるクレデンシャルだけをサポートするにとどまる可能性が高い
前回と同様に各視点から見た利点・欠点は以下の通りとなります。
政府の目線
- 利点:政府発行のクレデンシャルを政府発行のウォレットの中でコントールできる
- 欠点:
- 政府自身がウォレットの発行や管理のためのコストを負担することになる
- 政府が民間クレデンシャルへアクセスすることをユーザの懸念
- 要求されるセキュリティの複雑化
ユーザの目線
- 利点:
- 政府発行の信頼できるウォレットを利用できる
- 政府発行のウォレットをいろいろなところで利用できる可能性がある
- 欠点:
- まだまだ複数のウォレットを利用せざるを得ない可能性が高い
- 提示する際に複雑な操作を行う必要がある
- 政府がどこでクレデンシャルを提示したかなどのトラッキングの心配がある
- 政府が民間のクレデンシャルを政府発行のウォレットに入れることには消極的
リライングパーティ(提示先)の目線
- 利点:
- 政府発行のクレデンシャルを信頼しやすい(信頼できる特定のウォレットにのみ格納されるため)
- 政府発行のウォレットをいろいろなところで利用できる可能性がある
- 欠点:
- 複数のウォレットを利用することになるので複雑な操作が必要でユーザ体験が悪い
- 複数の複雑なインタラクションに対応するための実装・運用が高コストになる
結局複数のウォレットを持たざるを得ないのは嫌ですねぇ。。前回も少し触れましたがカスタムURLスキーム問題も発生しますし。
ということで引き続き見ていきたいと思います。
投稿
0 件のコメント:
コメントを投稿