2024年5月30日木曜日

Identiverse 2024クィックレビュー Day2

こんにちは、富士榮です。

時差ぼけする暇もなく朝から夕方まではUS時間でカンファレンス、夕方から深夜までは日本時間、、と得した気分になれるUS出張ですが今日もIdentiverseのレビューをしていきます。

今日からBreakoutセッションを含め本番、ということで多くのセッションが目白押しです。なお、朝の時間帯にKeynoteがありましたが、OpenID FoundationのWGのミーティングなどがあったので、途中からしか参加しておらず内容はスキップします。

ということで午前中のBreakoutセッションから。

ACR - the Missing Security Control - Pamela Dingle

食物アレルギーを例にACRを説明してくれました。

アレルギーがある場合は代替物を探すかキッチンの衛生状態(アレルギー物質と同じ鍋で料理をしていないか?など)を確認する。レストランに入ったとき、アレルギーの指定をするとお店はそのコンテキストの中で料理をするが、最終的に客がサニタリーチェックを行う、という例をまずは提示します。

その上で、アレルギー物質をパスワードに置き換え、客(リライングパーティ)はお店(Identity Provider)に対してパスワードは食べられない(使えない)よ、というアレルギー指定をし、お店(IdP)から出てきた料理(IDトークンやSAML Assertion)には、パスワードの代替として他の認証器が、キッチンの衛生状態の証明としてセキュリティ状態が含まれる状態で客(リライングパーティ)へ返される、このクレームがACRだよといったところです。さすがです、話が上手い。

また、

  • Authentication Context Minimum Interoperable Protocol
  • ITEF RFC8176 factors + a few missing terms

など新たな標準化に向けた取り組みを始めていることも紹介されました。これまでIIWで議論してきた内容がようやく形になりつつありますね。

ちなみに昨日書いた通り、今回snapsightを使ったリアルタイム分析が導入されており、セッションが終わった直後から要約やワードクラウドなどが提供されるようになりました。ちなみに日本語でも要約をしてくれるのですが、おそらく文字数制限の関係でうまくいっていなかったので英語の要約をDeeplで訳す方がいいっぽいです。

このセッションの要約はこんな感じでした。

Pamela Dingle of Microsoft led a session at Identiverse 2024 titled "ACR: The Missing Security Control," where she emphasized the critical need for Authentication Context (ACR) in SAML and OpenID Connect protocols. She explained the concept of ACR using an allergy metaphor, illustrating the necessity for strict security akin to avoiding a deadly food allergy. Dingle highlighted the importance of having acceptable security alternatives to passwords and ensuring strict enforcement of authentication methods to avoid security breaches. The talk also covered the need for accurate validation of authentication assertions, pointing out common failures in this area. She proposed steps to address inconsistencies between SAML and OpenID Connect's handling of ACR requests and responses, aiming to standardize essential ACR processing across both protocols. Additionally, Dingle suggested refining semantic interpretations of ACR terms to improve security controls and advocated for automated and scalable certification processes. The session concluded with discussions on advancing ACR implementation to enhance federated security controls effectively.

MicrosoftのPamela Dingle氏は、Identiverse 2024で「ACR: The Missing Security Control」と題したセッションを行い、SAMLおよびOpenID ConnectプロトコルにおけるAuthentication Context(ACR)の重要な必要性を強調した。彼女は、アレルギーの比喩を使って ACR の概念を説明し、致命的な食物アレルギーを避けるような厳格なセキュリティの必要性を説いた。ディングル氏は、パスワードに代わる許容可能なセキュリティ手段を持ち、セキュリティ侵害を避けるために認証方法を厳格に実施することの重要性を強調した。講演では、認証アサーションの正確な検証の必要性も取り上げ、この分野でよくある失敗を指摘した。彼女は、SAMLとOpenID ConnectのACRリクエストとレスポンスの処理の不一致に対処するためのステップを提案し、両プロトコル間で本質的なACR処理を標準化することを目指した。さらに Dingle 氏は、セキュリティ管理を改善するために ACR 用語の意味論的解釈を改良することを提案し、自動化されたスケーラブルな認証プロセスを提唱した。セッションは、連合セキュリティ管理を効果的に強化するための ACR 実装の推進に関する議論で締めくくられた。(DeepLで機械翻訳)


Privacy Enhancing Mobile Credentials - A Report from the Kantara Working Group - John Wunderlich


Identityとプライバシーについて考えているKantara Initiativeのワーキンググループ(PEMC WG)のレポートです。

トラスト、という言葉にも2つの使われ方があり、その間にはギャップがあるということです。

  • 個人と組織の間の信頼関係
  • テクニカルな文脈での「ゼロトラスト」

そして、トラストに関してこんなリードから話は始まりました。

  • 私たちは電話を愛しているが信頼していない
  • 愛のない信頼はAbusive Relationship(虐待関係)である

そう、今回はモバイルクレデンシャルの話なのです。


モバイルクレデンシャルに関連するエコシステムにおけるトラストモデルの定義であるPEMC Trust Triangleが紹介されました。いいですね、この図。わかりやすいです。

こちらで参照することができます。

https://kantara.atlassian.net/wiki/spaces/PEMCP/overview


なお、今後はPlmDL(mDLエコシステムのプライバシーにフォーカスしたレポート)やモバイルクレデンシャルのガイダンスレポート、要求事項リストなどを作っていく予定ということです。
こちらがsnapsightの要約です。
At Identiverse 2024, John Wunderlich led a session on Privacy Enhancing Mobile Credentials, focusing on the Kantara Working Group's progress in developing privacy requirements for mobile credential stakeholders. The session reviewed the Implementors Report published by the group and provided updates on current requirements being developed. Wunderlich emphasized the importance of respecting individual privacy by allowing people to control their personal information sharing, which is a fuzzy, contextual, and variable concept. He discussed the socio-technical challenge of ensuring privacy while protecting identity information, highlighting the trust gap between technical trust and organizational trust. He also addressed the issues of data use, consent, and the balance between privacy enhancing and invasive technologies. Wunderlich proposed that purpose specification is paramount: organizations should collect information solely for defined purposes and dispose of it once those purposes are fulfilled. The session covered key concepts like selective data release and the socio-technical aspects of privacy, emphasizing the need for industry participation in developing privacy standards.

Identiverse 2024 では、John Wunderlich が「Privacy Enhancing Mobile Credentials(モバイル・クレデンシャルのプライバシー強化)」というセッションを担当し、モバイル・クレデンシャル関係者向けのプライバシー要件開発における Kantara ワーキンググループの進捗状況に焦点を当てた。このセッションで は、同グループが発表した実装者レポートがレビューされ、現在開発中の要件に関する最新 情報が提供された。Wunderlich氏は、人々が個人情報の共有をコントロールできるようにすることで、個人のプライバシーを尊重することの重要性を強調した。同氏は、ID情報を保護しながらプライバシーを確保するという社会技術的な課題について議論し、技術的信頼と組織的信頼の間の信頼ギャップを強調した。彼はまた、データ使用、同意、およびプライバシーを強化する技術と侵襲的な技術の間のバランスの問題を取り上げた。ヴンダーリッヒ氏は、目的の特定が最も重要であり、組織は定義された目的のためだけに情報を収集し、その目的が達成された時点で情報を廃棄するべきだと提案した。このセッションでは、選択的データ公開やプライバシーの社会技術的側面といった重要な概念が取り上げられ、プライバシー標準の開発における産業界の参加の必要性が強調された。 (DeepLによる機械翻訳)


ちなみに私は上記のセッションに参加したので同時間帯にあった以下のセッションは聞けていないのですが、snapsightのおかげで概要はわかるようになりました。便利です。

This Is The Sign You Have Been Looking For - Katryna Dow

MeecoのCEOのセッションです。
こちらがsnapsightの要約です。
In a recent session titled "This Is The Sign You Have Been Looking For" at Identiverse 2024, the conversation centered around the impending expansion of identity and data networks, with a focus on digital wallets becoming the main channel for citizens and customers, potentially replacing apps. The session, led by Katryna Dow, emphasized the significant market potential for reusable identity, projected to reach $266.5 billion by 2027. The dialogue highlighted the concerted efforts by governments globally to invest in digital identity frameworks and the push for interoperability by standards bodies. The session pondered upon the European Union's commitment to reusable identity and the evolving standards, including the anticipated eIDAS regulations. Questions were raised about whether major operating systems like those from Google and Apple would dominate this new channel or if initiatives like the Open Wallet Foundation would set the standard for interoperable services. The keynote aimed to address how to leverage the coming years to ensure the scalability and interoperability of trusted digital networks. 
Identiverse 2024の「This Is The Sign You Have Looking For」と題された最近のセッションでは、デジタルウォレットが市民や顧客の主なチャネルとなり、アプリに取って代わる可能性があることに焦点を当て、差し迫ったアイデンティティとデータネットワークの拡大を中心に話が進められた。カトリーナ・ダウが主導したこのセッションでは、2027年までに2665億ドルに達すると予測される、再利用可能なIDの大きな市場可能性が強調された。この対話では、デジタルIDフレームワークへの投資に対する世界各国政府の協調的な取り組みと、標準化団体による相互運用性の推進が強調された。このセッションでは、欧州連合(EU)の再利用可能なIDへのコミットメントと、予想されるeIDAS規制を含む進化する標準について熟考した。グーグルやアップルのような主要なオペレーティング・システムがこの新しいチャネルを支配するのか、それともOpen Wallet Foundationのようなイニシアチブが相互運用可能なサービスの標準を設定するのかについて質問が出された。基調講演では、信頼できるデジタル・ネットワークの拡張性と相互運用性を確保するために、今後数年間をどのように活用すべきかを取り上げることを目的とした。(DeepLで機械翻訳)

 

Decoding Mobile ID Ecosystem Dynamics through Public-Private Partnerships - Teresa Wu, Rob White, Lori Daigle, William Fisher

 IDEMIAのTeresaさんがモデレータを務めるパネルディスカッションです。パネル苦手です。

とはいえAAMVA(AMERICAN ASSOCIATION OF MOTOR VEHICLE ADMINISTRATORS)の方やNISTの方がパネリストになっている貴重な機会なのでsnapsightに頼りつつ聞いていきます。

ちゃんとAAMVAにアイデンティティをやっている人がいるっていうのが素晴らしいですね。会場にモバイルドライバーライセンスを使える国や州にいる人?って質問をされていましたが、おおよそ3分の1くらいの方が手を挙げていました。もちろん私は挙げませんでしたが。

AAMVAの役割としてモバイル運転免許証に関する各種標準の定義に関与していくことも挙げられていました。こういう組織がちゃんと自分ごととして関わっているのは素晴らしいと思います。そりゃ導入が早いわけです。

NISTの方もW3CやOIDF、IETFなど各種標準化団体で進む標準を含むエコシステムをどのように成長させるか?を中心に考えているということです。こういう機関がちゃんと考えているのは素晴らしいです。

mDLのプライバシーについてAAMVAの方が昨日デンバーからラスベガスに来た時の話をベースに説明がありました。その中では、昨日飛行機に乗る時にmDLを提示し、自分の情報をTSAへ提示した。その際、送信する情報が何なのかちゃんと確認もあったし、mDLの発行元は自分がTSAにmDLを提示したことを記すべもない、ということが紹介され真sチア。

次のユースケースは何になりそうか?という質問がされました。

  • KYCは重要なユースケースになりそうだ
  • 行政サービスを中心に導入するべきだ
  • オンボーディングシナリオ
  • 高い保証レベルが求められるユースケース
  • レンタカーの保険
  • 年齢確認

まぁ、想像通りですが、色々と出てきますね。

例によってこちらがsnapsightによる要約です。

In the "Decoding Mobile ID Ecosystem Dynamics through Public-Private Partnerships" session at Identiverse 2024, a panel led by Teresa Wu from Idemia, Lori Daigle from AAMVA, Bill Fisher from NIST, and Rob White from Samsung dissected the evolution of Mobile ID issuance, adoption, and the strategic perspectives of various stakeholders. They discussed the importance of creating a consistent, secure, and interoperable Mobile ID ecosystem, emphasizing the role of AAMVA's Digital Trust Service in ensuring legitimacy and the privacy benefits for users. NIST's efforts in facilitating the integration of standards and technology for Mobile IDs were highlighted, as was Samsung's contribution to the development and market awareness of Mobile IDs. The panel also acknowledged TSA as a key partner in advancing Mobile ID usage at airports, and potential use cases in KYC, law enforcement, and DMV transactions were explored, suggesting a future where Mobile IDs are widely accepted and used.

Identiverse 2024の「Decoding Mobile ID Ecosystem Dynamics through Public-Private Partnerships」セッションでは、IdemiaのTeresa Wu氏、AAMVAのLori Daigle氏、NISTのBill Fisher氏、SamsungのRob White氏が率いるパネルが、モバイルID発行の進化、採用、さまざまな利害関係者の戦略的視点について解説した。彼らは、一貫性があり、安全で、相互運用可能なMobile IDエコシステムを構築することの重要性について議論し、正当性を保証するAAMVAのDigital Trust Serviceの役割と、ユーザーにとってのプライバシーの利点を強調した。モバイルIDの標準と技術の統合を促進するNISTの努力と、モバイルIDの開発と市場認知に対するサムスンの貢献が強調された。パネルディスカッションでは、TSAが空港でのモバイルID利用を促進する上で重要なパートナーであることも認められ、KYC、法執行機関、DMVでの取引における潜在的な利用事例が検討され、モバイルIDが広く受け入れられ利用される未来が示唆された。(DeepLによる機械翻訳)


Authlete presents: Striking the Right Balance–Compliance, Security and User Experience - Ali Adnan, Tatsuo Kudo

お昼休みの時間帯を利用したExpo出典企業によるプレゼンです。日本が世界に誇るAuthleteのAliさんと工藤さんが従来のIDaaSを買うかDIYで作るか、いやAuthleteはそのいいところ取りができるんだよ、という素晴らしいプレゼンをしていました。

事例も多く紹介され先日のOpenID Summitで講演いただいたブラジルのnu BankのOpenBankingの事例や日本ハムファイターズの事例が紹介されていました。もっと大谷翔平選手が最初に在籍したチームってことを強調した方がウケたと思います。



Two Bankers Walk into a Bar: Tales of Customer Digital Identity - Linden Dawson, Allan Foster, Steve Hutchinson

オーストラリアのナショナルバンクとMUFGの話です。Identity界で著名なSteve HutchinsonがMUFGのDirector of Security Architectureをやっているのをみなさんご存知でしたか?私はSteveにはIDProのBoKを日本語に翻訳するプロジェクトを立ち上げる時に結構お世話になりましたが、こういう方が日本企業グループにいらっしゃるのは素晴らしいですね。

スピーカー陣、飲んでるw。タイトル通りwalk into a bar、ですね。楽しそうに話をしています。


Risk & Governanceの話では、CIAMということもありGDPR, CRPAなど考えることは多く、まずはログをどこまで取るか(ログインだけでなくさまざまな振る舞いについても)などの対応もしていったということです。

他にもSecurity、Customer Experienceの面からも知見が語られました。まぁ、トランザクションのレベルとセキュリティ・ユーザ体験のバランスを撮りましょう、っていうよくある話ですね。

またFAPIなどを使って顧客のさまざまなデータをAPIで他の企業と安全に共有する、など標準がビジネスを後押しする場面についても語られたりしました。

例によってsnapsightの要約です。飲んでる割にはまともな話をした風にまとめてくれるっていうのは便利ですね。

At the Identiverse 2024 conference, Allan Foster, a seasoned Identiverse veteran, hosted a session with Linden Dawson from National Australia Bank and Steve Hutchinson, director of Identity at Mitsubishi Bank of Tokyo. They discussed the multifaceted challenges of implementing digital identity solutions in tier one banks. The dialogue revolved around balancing risk, governance, security, and user design to deliver seamless digital identity experiences to customers. Dawson and Hutchinson shared stories of navigating these complexities, including the tension between product innovation and compliance with regulations like GDPR and open banking standards. They highlighted the need for strong partnerships across different lines of defense within banks and the integration of adaptive authentication to enhance security without compromising user experience. The session also touched on the difficulties of dealing with legacy systems and the importance of clear communication with stakeholders, especially when preparing board papers or dealing with executive-level discussions. The conversation concluded with a recognition of the importance of security in banking and an open invitation for further discussion on these topics.

Identiverse 2024 カンファレンスでは、Identiverse のベテランであるアラン・フォスター氏が、National Australia Bank のリンデン・ドーソン氏、三菱東京銀行のアイデンティティ・ディレクターであるスティーブ・ハッチンソン氏とのセッションを主催した。両氏は、Tier1銀行におけるデジタルIDソリューションの導入における多面的な課題について議論した。対話は、顧客にシームレスなデジタルID体験を提供するためのリスク、ガバナンス、セキュリティ、ユーザー・デザインのバランスを中心に展開された。ドーソンとハッチンソンは、製品イノベーションとGDPRやオープン・バンキング標準などの規制遵守の間の緊張を含め、これらの複雑性をナビゲートするストーリーを共有した。両氏は、銀行内のさまざまな防衛ラインにわたる強力なパートナーシップの必要性と、ユーザー体験を損なうことなくセキュリティを強化するための適応型認証の統合を強調した。セッションはまた、レガシー・システムを扱うことの難しさや、特に取締役会報告書の作成や経営幹部レベルの議論に対処する際の、利害関係者との明確なコミュニケーションの重要性にも触れた。対談は、銀行業務におけるセキュリティの重要性を認識し、これらのトピックについてさらなる議論を行うよう呼びかけ、幕を閉じた。(DeepLによる機械翻訳)


Getting Intentional About Intentions: A Conversation About the Ethics Imperative in Digital Identity - Michelle Dennedy, Nishant Kaushik, Eve Maler


Nishantさんのセッションは久しぶりにみました。UXを中心にIdentityシステムを見てきた人ですね。

今回はデジタルIDシステムを開発する際に開発者の善意だけに頼るのではなくプライバシー等に関する倫理観を持って製品開発をしないとダメだよねぇ、という話がありました。

デジタルアイデンティティの倫理に関するドキュメントをまとめてくれています。

https://blog.talkingidentity.com/downloads/resources-related-to-ethics-in-identity

要約はこんな感じです。

In the Identiverse 2024 session "Getting Intentional About Intentions," Michelle Dennedy, Nishant Kaushik, and Eve Maler engaged in a rich discussion on the intersection of ethics and digital identity. They examined the challenges and strategies for integrating ethical principles into identity solutions amidst rapid innovation. The conversation highlighted the importance of operationalizing ethics beyond mere good intentions to avoid pitfalls and unintended consequences. Dennedy, a privacy engineering author, emphasized the possibility of operationalizing ethics, drawing parallels with privacy engineering practices. Maler, from Venn Factory, introduced the idea of a data value chain to enhance transparency and accountability. Kaushik, from Uniken, shared insights on the practical challenges of ethical decision-making in identity systems, particularly in projects involving financial inclusion and national identity, where legal requirements can conflict with privacy-by-design principles. The panelists agreed on the need for a more holistic approach to ethics in identity, considering the complexities of legal, business, and technological factors. They also discussed the potential of ethical frameworks and the role of transparency in fostering responsible identity solutions. The dialogue concluded with a call for continued conversation and action towards developing and applying ethical guidelines in the identity field.

Identiverse2024のセッション「Getting Intentional About Intentions」では、Michelle Dennedy、Nishant Kaushik、Eve Malerが倫理とデジタルIDの交差点について豊富な議論を交わした。彼らは、急速な技術革新の中で、倫理原則をアイデンティティ・ソリューションに統合するための課題と戦略について検討した。対談では、落とし穴や意図しない結果を避けるために、単なる善意を超えて倫理を運用することの重要性が強調された。プライバシー・エンジニアリングの著者であるデネディ氏は、プライバシー・エンジニアリングの実践との類似性を示しながら、倫理を運用する可能性を強調した。Venn FactoryのMaler氏は、透明性と説明責任を強化するためのデータ・バリュー・チェーンのアイデアを紹介した。UnikenのKaushik氏は、IDシステムにおける倫理的意思決定の実際的課題、特に法的要件がプライバシー・バイ・デザインの原則と相反する可能性のある、金融包摂や国民IDに関わるプロジェクトにおける課題について洞察を共有した。パネリストは、法的、ビジネス的、技術的要因の複雑性を考慮し、アイデンティティにおける倫理に対するより総合的なアプローチの必要性に同意した。また、倫理的枠組みの可能性や、責任あるIDソリューションの育成における透明性の役割についても議論された。ダイアログは、アイデンティティ分野における倫理的ガイドラインの開発と適用に向けて、継続的な対話と行動を呼びかけることで締めくくられた。(DeepLによる機械翻訳)

ちなみにセッションが終わった後、Nishantさんと廊下でばったりあい、久しぶりに話し込んでしまいました。日本でもWallet流行ってるの?っていう話からW3C VCDMとIETF SD-JWT-VCの話は不毛な感じだよねぇ、、、みたいな世間話をしていてどこでも一緒だなぁ、、と。


Federation Bubbles - Justin Richer


私たちの世界はモバイルになってきている。そしてセキュリティの視点においてアイデンティティシステムに堅牢で耐久性が求められている。というあたりから入ってきました。

一つのボートにRPとユーザがのっている状態(要するにファイアウォールの中のイメージ?)だとボートの中にIdPを集中的に管理すれば良かった。しかしIdPを外部に置く必要が出てくるとボートはIdPにつながれている状態でどこにも行けなくなってしまう。そうするとIdPを衛星通信で接続する必要が出てくるのか、、つまり現在すべてのシステムがオンラインで繋がっていることが前提としてFederationシステムが構築されているのである。

接続されていない状態でもRPが使えるようにするにはIdPのコピーをボートの中に保持する必要が出てくる。しかしアンカーがない状態となるためIDの鮮度の問題が発生する。

これが複数のボート(Federation)を跨いでシステム連携をする場合、つまりセキュリティドメインを跨ぐFederationを考慮するとさらに複雑化する。ブロックチェーンやハッシュチェーンで同期されているから良いって話じゃない。Source of truthはどこにあるのか?をちゃんと考えないといけない。

Federationとアカウントについて考え直す時が来たのかもしれない

別のボート(バブル)からクレデンシャルを受け取るパターンにおいて別のボート(バブル)のFederationを信頼する必要がある。

これは接続が切れている場合、再接続された場合の同期(シグナリングなどによる非同期操作も含む)という仕組みも考える必要があるかもしれない。

これらの仕組みは一つのプロトコルスタックでは解決できない。

世界はヘテロジーニアスであるが、オープンスタンダードはこの世界における相互接続を支援する。

We need to build in layers, connect with standards, and embrace diversity to survive this world.

ということである。

相変わらずビジョナリーで面白いプレゼンテーションでした!

要約はこちらです。

In the "Federation Bubbles" session at Identiverse 2024, Justin Richer introduced a dynamic, context-sensitive federation concept, challenging the static nature of traditional federation agreements. He proposed "Federation Bubbles," an ecosystem of isolated yet interconnected environments or "bubbles," each with its own identity and access management. These bubbles can operate independently or federate with others, adapting as trust levels change. Using OpenID Connect and OAuth for authentication within bubbles, and technologies like SPIFFE and Verifiable Credentials for secure communication between bubbles, the system ensures security even when disconnected from a central IDP. Richer's model emphasizes local authority and the flexibility to incorporate new users dynamically, allowing for a responsive identity architecture that adapts to mobile and varying contexts. The prototype, developed with Uber Ethernet, showcases the feasibility of this approach, which relies on federation for initial provisioning and authentication technologies like WebAuthn for subsequent verifications. The session highlighted the need for open standards and diverse technologies to support this decentralized, dynamic federation model.

Identiverse 2024の 「Federation Bubbles 」セッションで、Justin Richer氏は、従来のフェデレーションアグリーメントの静的な性質に挑戦し、動的でコンテキストセンシティブなフェデレーションのコンセプトを紹介した。彼は「フェデレーション・バブルズ」を提唱し、それぞれが独自のアイデンティティとアクセス管理を持つ、分離されながらも相互接続された環境または「バブル」のエコシステムを提案した。これらのバブルは独立して運用することも、他とフェデレーションすることも可能で、信頼レベルの変化に応じて適応する。バブル内の認証にはOpenID ConnectとOAuthを使用し、バブル間のセキュアな通信にはSPIFFEやVerifiable Credentialsといった技術を使用することで、中央のIDPから切り離された状態でもセキュリティを確保する。Richerのモデルは、ローカルな権限と新しいユーザーを動的に取り込む柔軟性を重視しており、モバイルやさまざまなコンテキストに適応する応答性の高いIDアーキテクチャを可能にしている。Uber Ethernetとともに開発されたプロトタイプは、このアプローチの実現可能性を示すもので、最初のプロビジョニングにはフェデレーション、その後の検証にはWebAuthnのような認証技術に依存している。このセッションでは、この分散化されたダイナミックなフェデレーション・モデルをサポートするためのオープン・スタンダードと多様な技術の必要性が強調された。(DeepLで機械翻訳) 


なお、この時間帯は聴きたかったセッションが被りまくったのでsnapsightの力を借りまくります。

A New Approach to Inclusive, Accessible ID Verification Using Vouching - Chloe Coleman, Jaye Hackett

OpenID Connect for Identity AssuranceでもVounchが手法として存在するんですがあんまりイメージが湧かないんですよね。

At the Identiverse 2024 conference, Jaye Hackett and Chloe Coleman presented a session on creating an inclusive and accessible ID verification system using vouching, aimed at helping the billion people worldwide who struggle due to a lack of reliable ID. They discussed the barriers faced by these individuals in the UK, citing the prohibitive costs of passports and driving licenses, and the limitations of traditional ID methods that fail to account for the lives of diverse populations, such as those experiencing homelessness or domestic abuse survivors. Hackett and Coleman introduced VouchSafe, a tech startup working with the Scottish Government to reform ID verification by leveraging vouching, where personal testimony can suffice where official documents cannot. They emphasized the need to move beyond occupation-based and credit history-dependent ID verification, pointing out the inclusivity of digital footprints. The speakers highlighted that their solution aligns with the UK's Good Practice Guide 45 and the upcoming Digital Identity Attributes Trust Framework, aiming to provide a viable alternative to traditional ID verification methods. The session concluded with a Q&A, addressing concerns about affordability and access to services, underscoring the potential of their vouching system to provide a more equitable approach to identity verification.

Identiverse 2024カンファレンスで、ジェイ・ハケットとクロエ・コールマンは、信頼できるIDがないために苦労している世界中の10億人を支援することを目的とした、保証を利用した包括的で利用しやすいID検証システムの構築に関するセッションを発表した。彼らは、パスポートや運転免許証にかかる法外な費用や、ホームレスや家庭内虐待を経験した人々など、多様な人々の生活を考慮できない従来のID方法の限界を挙げ、英国でこうした人々が直面している障壁について議論した。ハケットとコールマンは、スコットランド政府と協力し、公的書類では不可能な個人の証言を活用したID認証の改革に取り組んでいるハイテク新興企業、VouchSafeを紹介した。彼らは、職業ベースや信用履歴に依存したID確認から脱却する必要性を強調し、デジタルフットプリントの包括性を指摘した。講演者たちは、自分たちのソリューションが英国のGood Practice Guide 45や今後予定されているDigital Identity Attributes Trust Frameworkに合致していることを強調し、従来のID確認方法に代わる実行可能な方法を提供することを目指した。セッションの最後には質疑応答が行われ、手頃な価格やサービスへのアクセスに関する懸念が取り上げられ、身元確認により公平なアプローチを提供する同社の保証システムの可能性が強調された。(DeepLによる機械翻訳)

こちらも聴きたかったけど聞けなかったセッションです。

Lessons Learned: Nationwide eID Recovery With Remote Identity Proofing - Stian Svedenborg

リモートでeIDのリカバリをする、っていうシナリオですね。今後日本でもこういうケースへの対応をしないと行けなくなる可能性があるなぁ、、と思っています。

Stian Svedenborg, the security architect at BankID Norway, presented at Identiverse 2024 on the introduction of remote identity proofing for eID recovery, specifically discussing the challenges and solutions associated with account recovery and takeover. BankID, serving over 90% of Norwegians, transitioned from hardware tokens to an app-based solution, aiming for mobile apps and ID wallets. The session highlighted the implementation of a four-step remote identity proofing process, including SMS OTP, ID document chip scan, and biometric verification with liveliness detection, to improve security and reduce phishing risks. The new system, resistant to remote phishing and deepfake attacks, has led to significant cost savings in customer service and hardware distribution, with estimated savings of $3 million every 1.5 months for possession elements and $75,000 for password resets. User data showed high adoption rates, particularly among seniors, and a drop-off rate of 77% through the process. Svedenborg differentiated between EID issuance and delivery, citing compliance and risk concerns for not using the process for issuance. Lastly, he addressed questions about fraud procedures, cost savings sources, passport renewal handling, and the process impact on non-Norwegian citizens.

BankIDノルウェーのセキュリティ・アーキテクトであるStian Svedenborg氏は、Identiverse 2024でeIDリカバリのためのリモートIDプルーフ導入について発表し、特にアカウントのリカバリと乗っ取りに関連する課題とソリューションについて議論した。ノルウェー国民の90%以上にサービスを提供しているBankIDは、モバイルアプリとIDウォレットを目指し、ハードウェアトークンからアプリベースのソリューションに移行した。このセッションでは、セキュリティの向上とフィッシングリスクの低減のため、SMS OTP、ID文書チップスキャン、ライブ性検出による生体認証を含む4段階のリモートID証明プロセスを導入したことが紹介された。リモート・フィッシングやディープフェイク攻撃に耐性のあるこの新システムは、顧客サービスやハードウェア配布の大幅なコスト削減につながっており、推定では1.5カ月ごとに所持要素で300万ドル、パスワード・リセットで7万5000ドルの節約につながっている。ユーザー・データでは、特に高齢者の間で高い採用率が示され、プロセスを通じて77%の脱落率が見られた。スヴェデンボルグ氏は、EIDの発行と交付を区別し、発行のためのプロセスを使用しない場合のコンプライアンスとリスクの懸念を挙げた。最後に、不正行為の手続き、コスト削減源、パスポート更新の取り扱い、ノルウェー国民以外へのプロセスへの影響についての質問に答えた。(DeepLによる機械翻訳)

うーん、読んだだけだと普通にeKYCで国民IDのリカバリができて良いんだろうか・・・という気がして仕方がないのですが。。。

ということで2日目も終了です。


しかし派手な街です。砂漠の真ん中にテーマパークを作った感じですね。

0 件のコメント: