2024年10月11日金曜日

SIDI Hub - ベルリンレポートを読む(6)

こんにちは、富士榮です。

なかなかボリュームがあってなかなか終わらないベルリンレポートを引き続き見ていきます。


GAP分析の途中からです。ガバナンスの部分ですね。
We then discussed three essential points about governance:
  • The need to think long-term: We cannot yet define what we will establish. A good starting point is champion use cases. 
  • Possible precedent for governing entity: there are organizations like the Global Fund or Gates Foundation set up to avoid complexity and time in inter-government negotiation & rule-making.
    • a. Another good example is GAVI, which was set up to channel vaccines from the rich north to the south with a focus on malaria and other diseases. Complex structure. 
  • Engage the Global South: We cannot create use cases for them. We need to go to them and ask their needs; otherwise, how can we expect them to engage?

 そして、ガバナンスについて3つの重要なポイントを議論した:

  • 長期的に考える必要性: 長期的な視点が必要である。出発点としては、チャンピオン・ユースケースが良い。
  • 世界基金やゲイツ財団のように、政府間の交渉やルール作りの複雑さや時間を避けるために設立された組織がある。
    • a. もう一つの良い例はGAVIで、マラリアやその他の病気に焦点を当て、豊かな北から南へワクチンを流すために設立された。複雑な構造。
  • グローバル・サウスを巻き込む: グローバル・サウスとの関わり:彼らのためにユースケースを作ることはできない。彼らのところに行き、彼らのニーズを聞く必要がある。
これはなかなか難しいお題ですね。
SIDI Hub自体が現状は特定の法人ではなく国際コミュニティでしかないため、まずはこの状態をどうしていくのか?の戦略が必要になりそうです。そのためには成果物をどういう位置付けで何に使ってもらうことを想定するのか、という団体としての目指す姿、存在目的ですね。

The group then returned to the problem statement and how we might hone in on a methodology.

その後、グループは問題提起に戻り、どのように方法論に磨きをかけるかについて話し合った。

We discussed a number of risks inspired by the European Union’s EIDAS 2.0:

  1. EU national ID: every country establishes and manages its own list and
  2. Do people want to use credentials across borders beyond Europe, e.g., California DL accepted by the Estonian gov?
  3. It seems that some are assuming that all these rules are going to be on the wallet. That’s not going to scale.
  4. We need to think about what kind of policies an issuer can give to a wallet
  5. There are a large number of trust marks, some regional, some functional. Agents in the wallets that will give users advice. How can we have wallets to work across jurisdictions?  

EUのEIDAS2.0に触発された多くのリスクについて議論した:

  1. EUの国民ID:すべての国が独自のリストを作成し、管理する。
  2. 例えば、カリフォルニア州のDLがエストニア政府によって受け入れられるような。
  3. これらのルールはすべて財布の中にあると思い込んでいる人がいるようだ。それでは規模が拡大しない。
  4. 発行者がどのようなポリシーをウォレットに与えることができるかを考える必要がある。
  5. トラストマークは地域的なものから機能的なものまで数多くある。ユーザーにアドバイスを与えるウォレットのエージェント。どのようにすればウォレットが法域を超えて機能するのか?
Walletモデルを考えるとやはり先行しているEU/eIDAS2.0を分析するアプローチになるのは自然かと思います。越境シナリオについても現実味がある地政学的な特色もありますし。

A member of the group asked, “Do we want RP registration at all?” and suggested a vote and working to clarify the problem statement. If yes, are we reinventing the wheel, or do we have what we need somewhere in the public sector?

グループのメンバーは、「RP登録を本当に必要としているのか?」と問いかけ、投票を行い、問題の明確化に取り組むことを提案した。もし必要だとしても、私たちは同じことを繰り返すのか、それとも必要なものは公共部門のどこかにあるのか?

リライングパーティの管理とスケーラビリティ・ガバナンスの問題はしばしば議論されてきましたが、ユースケース次第じゃないの?っていういつもの結論になりそうな予感しかしません。

The final discussion points in this section included:

  • User Protection: we need to identify the RP for every transaction. That does not mean that the RP is registered. We have a mechanism called attestations. We can replicate what we have today.
  • RP Entitlement: In the EU, we are heading to Registration. Someone has to make a decision about who is entitled to do what. Recommendation to explore that question rather than the how. We need to solve this fundamental question now.
  • BOLTS: Catalog business, Operational, Legal, Technical, and Social practices with respect to the Champion Use Cases and map risks.

このセクションの最後の議論のポイントは以下の通りです。

  • ユーザー保護:すべてのトランザクションの RP を特定する必要があります。ただし、RP が登録されるということではありません。アテステーションと呼ばれる仕組みがあります。現在行っていることを複製することができます。
  • RP 権限:EU では登録に向かっています。誰が何を実行する権利を有するのかについて、誰かが決定する必要があります。方法ではなく、その問題を調査することを推奨します。この根本的な問題は今すぐ解決する必要があります。
  • BOLTS:チャンピオンユースケースに関する業務、運用、法務、技術、および社会慣行をカタログ化し、リスクをマッピングする。

確かにRPが特定される状況でないとユーザは安心してサービス利用できません。そういう意味ではガバナンスが重要、っていう話(このセクションがそういうセクションですし)でしょう。

We did not cover the other two major rocks in detail and will return to those items in the workstreams and in future summits.

他の2つの主要な岩については詳しく取り上げなかったが、それらの項目についてはワークストリームや今後のサミットで再び取り上げる予定である。


まぁ、結局は業界やユースケースによってもガバナンスの主体や対象が異なるのに、国際的な相互運用ができるのか?っていうことです。そういう意味ではユースケースを特定してステークホルダーを明確化、その中で合意可能な範囲を探していく、というアプローチはしばらく続けないといけない気がします。


ようやく次はテクニカルな要求に関するセクションです。 




 

 









2024年10月10日木曜日

Windowsのパスキー対応の今後

こんにちは、富士榮です。

いよいよ来週はAuthenticate 2024ですね。残念ながら参加できませんが。


ということで、Authenticateに向けて各社パスキー周りの話題が進んできていそうです。


MicrosoftからもWindowsのパスキー対応について記事を公開しています。

Passkeys on Windows: Authenticate seamlessly with passkey providers

https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/


こちらの機能がWindows Insiderチャネルで配信されるようです。久しぶりにWindows PCでも触ろうかな・・・

  • A plug-in model for third-party passkey providers
  • Enhanced native UX for passkeys
  • A Microsoft synced passkey provider


サードパーティプロバイダとの連携では1Passwordなどとの連携ができるようになるようです。3点目のMicrosoftが提供する同期ファブリックと連携できたりすると面白そうです。Credential Exchange Specificationが実装されてくると面白いと思います。

いずれにしても来週のAuthenticateで詳しく言及されるのかと思います。楽しみですね。

2024年10月9日水曜日

SIDI Hub - ベルリンレポートを読む(5)

こんにちは、富士榮です。

引き続きSIDI Hubベルリンレポートを読んできましょう。


今回はユースケースをベースにしたGap分析です。Deboraがレポートしてくれています。

相互運用性を担保する上で大きな障壁になりそうな課題として以下を挙げています。


We focused on three topics:

  • Relying Party Registration: it is tackled in the scope of EUDIW and covered by Aadhaar, NIMC, and others on a country-by-country basis. But how does this interoperate across borders on a global scale?
  • Issuing Authority Discovery: ICAO centralized this for passports after many years. But how will this work for public and private sector issuers?
  • Legal Entity Identifiers: the LEI (GLEIF) and DNS (ICANN) are two current examples. What is the best way to achieve legal entity linking?

We then facilitated a discussion, and the following summarizes the key points addressed in the room.

我々は3つのトピックに焦点を当てた:

  • リライングパーティの登録:EUDIWの範囲内で取り組まれており、AadhaarやNIMCなどが国ごとにカバーしている。しかし、世界規模で国境を越えてどのように相互運用するのか。
  • 発行機関の発見: ICAOは何年も経ってから、パスポートのためにこれを一元化した。しかし、公的機関や民間企業の発行者にとってはどのように機能するのだろうか。
  • 法的実体識別子:LEI(GLEIF)とDNS(ICANN)が現在の2つの例である。取引主体の連結を実現する最善の方法は何か?

その後、ファシリテーターによるディスカッションが行われ、その中で取り上げられたポイントを以下に要約する。

どれも頭の痛い問題ですね。特に2点目、3点目は答えが出そうにない課題ですねぇ。。いつまで経ってもIssuerのディスカバリは難しい問題です。ここで言っているのは単純に公開鍵を取得するためのURLのディスカバリだけじゃないですからね・・・どうやってIssuerが正当な機関であることを信じられるか、みたいな話です。また、識別子も非常に難しい問題です。DNSは比較的成功したモデルではありますが、それでも過去に使っていたドメインを別の機関が取得するという問題などもありますので、長期的に運用する上では非常に難しいかと思います。

それぞれ深掘りしていきます。

Relying Party (RP) Registration:

The group discussed the nature of Registration, its requirements, and how Trust establishment could work globally.

  • Are we focused only on foundational identity, or do we include functional identity systems?
    • Example from Nigeria: the agency responsible for ID management is NIMC. In the case of foundational identity, one of the first things they do is a process of due diligence called Verification. RPs are registered mainly for the foundational part. It is specific to the country.

依拠当事者(RP)登録:

このグループでは、登録の性質、要件、および信頼性確立がグローバルにどのように機能するかについて議論した。

  • 私たちは基盤的 ID のみに焦点を当てているのか、機能的 ID システムも含めるのか。

    • ナイジェリアの例:ID 管理を担当する機関は NIMC である。基盤的 ID の場合、最初に行うことの 1 つは、検証(Verification)と呼ばれるデュー・ディリジェンス・プロセスである。RP は主に基礎部分のために登録される。これはその国特有のものである。
  • Why are RPs registering? What are the requirements? What are the types of problems we are trying to solve?

    • Example of the mDL standard: the Trust ecosystem is only for Issuers. If I share my mDL with you, why should I trust you? This concern is especially relevant for a commercial vendor, e.g., Aadhaar they have to register all RP fingerprint devices with governments to know they are trusted 

  • なぜRPは登録するのか?要件は何か?どんな問題を解きたいのか? 

    • mDL標準の例:トラスト・エコシステムは発行者のためだけのもの。mDLを共有した場合、なぜ信用しなければならないのか?この懸念は特に商業ベンダーに関連する。例えば Aadhaar の場合、信頼できることを知るためにすべての RP 指紋デバイスを政府に登録しなければならない。
  • Should the solution be based on use cases? Should it be a risk-based approach?
    • It depends on the type of credentials, e.g., education with entity categories. A commercial entity doesn’t need your entire transcripts.
  • ソリューションはユースケースに基づくべきか。リスク・ベースのアプローチにすべきか?
    • クレデンシャルのタイプ(例えば、エンティティ・カテゴリーを持つ教育)によって異なる。営利団体は成績証明書全体を必要としない。 
  • Should it be public or private-led, or a combination of both? 
    • Example, more public-led: ICAO 
    • Example, more private-led: ICANN
  • 公共主導か民間主導か、あるいは両者の組み合わせか? 
    • より公共主導の例:ICAO 
    • より民間主導の例:CANN
  • Governance relates to funding the operating costs: would it be self-funded like ICAO? Should it be external funding? What are good reference models? 
  • ICAOのように自己資金で運営するのか?外部資金とすべきか?良い参考モデルは何か? 
  • Should it be global or regional? 
    • AAMVA is in North America and only about driver's licenses 
  •  グローバルかリージョナルか 
    •  AAMVAは北米にあり、運転免許証に関するものだけである。 
  • How would we approach the following: 
    • Lifecycle management? 
    • Type of data? 
    • Legitimacy & KYB? 
    • Policy enforcement? 
  • 以下について、どのようにアプローチしますか? 
    • ライフサイクル管理? 
    • データのタイプ? 
    • 正当性およびKYB? 
    • ポリシーの施行?
  • Should we pursue an academic analysis of the options?
  • オプションについて学術的な分析を行うべきでしょうか? 
  • Who are the decision-makers, and why?
  • 意思決定者は誰で、その理由は? 
  • Is there a hierarchy or a pre-existing way to navigate views?
  • 階層やビューをナビゲートする既存の方法はあるのでしょうか? 
  • What is the appropriate role for: 
    • Governments? 
    • NGOs like the UN? Is the UN sufficiently independent? 
    • Standards Organizations? 
  • 以下について適切な役割とはどのようなものか: 
    • 政府? 
    • 国連のようなNGO?国連は十分に独立しているか? 
    • 標準化団体?
  • What is required to achieve consensus?
  • コンセンサスを得るために必要なことは何でしょうか? 

We discussed that the Champion Use Cases will indicate the breadth of the issues we have to face if we go for the widest possible interoperability

チャンピオンユースケースは、最大限の相互運用性を実現しようとする場合に直面する問題の広がりを示すことになるだろう、という点について話し合いました。

当然ですが、相互運用を考えるとかなり幅広い議論が必要となりますね。

もう少しスコープを絞って議論をシャープにしていかないとまとまらない気もします・・・(少なくとも一気に全体ミーティングでまとまる量じゃない)

リライングパーティだけで上記ボリュームだったので、他にもガバナンスなどもあるので、この辺りは明日以降に。


 

2024年10月8日火曜日

SIDI Hub - ベルリンレポートを読む(4)

こんにちは、富士榮です。

引き続きSIDI Hubベルリンイベントのレポートを見ていきます。


今回はユースケース分析です。相互運用性を目指しましょう、といっても具体的なユースケースを見つけてボトムアップで考えていかないと進まないので、このワークストリームでは有用なユースケースを各地域ごとに発見して分析して行きます。

Champion Use Cases: Process and Progress to Date - Elizabeth



The Champion Use Case workstream is in the process of identifying champion use cases and then prioritizing using an agreed framework. In Berlin, the Champion Use Cases workstream sought to do three things throughout the day:
  1. Ground Minimum Requirements conversations in salient use cases
  2. Add more use cases and more texture to the data already gathered
  3. Gain input on prioritization criteria

チャンピオン・ユースケース・ワークストリームは、チャンピオンのユースケースを特定し、合意されたフレームワークを用いて優先順位を決定しているところである。ベルリンでは、チャンピオン・ユースケース・ワークストリームは、一日を通して3つのことを行おうとした:

  1. 重要なユースケースにおける最低要件の会話の基礎固め
  2. より多くのユースケースを追加し、すでに収集されているデータにさらに質感を加える。
  3. 優先順位付けの基準について意見を得る 

これまでパリ、ケープタウン、ベルリン、ワシントンDC、そして東京の企画を通して見てきていますが、やはりユースケースに関する関心度、優先順位の置き方は地域によってかなり異なるイメージです。その意味で各地域を回りながら状況をヒアリングして回る、というSIDI Hubのアプローチは理にかなっていると思います。(どうしてもUSとEUだけで話が決まっていく傾向がある世界ですし)

つまり、せっかくなのでアジアからも意見を出していかないとダメですよ、ってことです。


Early in the day, we reviewed the inputs from other sources and past SIDI Hub events:

  • Paris Summit and write specific user stories
  • W3C credentials working group
  • EU Wallet use cases
  • EU + US TTP bilateral analysis
  • SIDI Hub Cape Town
  • New input from SIDI Berlin

Wishing to spend the morning on technical requirements, SIDI Hub Berlin grounded further discussions in two use cases: Refugees and Opening a Bank Account. In this early session, presenters reviewed the outputs from the deep dive conducted at SIDI Hub Cape Town.

その日の早い段階で、他の情報源や過去のSIDI Hubイベントからのインプットを見直した:

  • パリサミットと具体的なユーザーストーリーの作成
  • W3Cクレデンシャル・ワーキンググループ
  • EU ウォレットのユースケース
  • EUと米国のTTP二国間分析
  • SIDIハブ・ケープタウン
  • SIDI ベルリンからの新しいインプット

SIDIハブ・ベルリンは、午前中を技術的な要件に費やすことを希望し、2つのユースケースでさらなる議論を行った。「難民」と「銀行口座開設」である。この早いセッションで、発表者はSIDI Hub Cape Townで行われたディープダイブからのアウトプットをレビューした。

ベルリンでは先に書いたようにこれまでの取り組みについて確認し、その後、さらなるテーマの深掘りをしていっています。日本にいると難民のユースケースはリアリティがない人も多いと思いますが、これまで移民を受け入れてきたドイツや欧州諸国においては重要なキーワードなんだと思います。


こちら、難民のユースケースですね。

特徴として、自国の法的な身元証明が受けられない状況にあるので、UNHCRが発行する証明書を利用できるか?というのが大きなポイントになります。これはワシントンDCでも話があり、先日のクィックレビューでも書きましたが、どうしても出生からの流れを含め身元を証明することが困難であり、Identity Verificationをする際の照合先がないところから身分を付与していくことになります。その付与プロセス自体がどこまでの保証レベル(IAL/Identity Assurance Level)を持つのか?テロリストが混入している可能性や身元ロンダリングに悪用されていないかを踏まえて、どこまでVerifierが受け入れることができるのか?人権や人道支援の文脈を含めてどのように判断していくのかは非常に難しい話です。ただ、世界的に助けを求めている人々の数がますます増えている昨今、目を背けるべき案件ではありませんね。


こちらは銀行口座の開設のユースケースです。

こちらも移民のケースにも少々関わってきますが、国境を超えて別の国で銀行口座を開設するのは非常に難しい状態です。KYCが難しいのはもちろん、CDDについても元となる実績情報などが取得しにくい状態にあるので、どうしてもリスクベースで考えるとリジェクトもしくはネガティブな判断が下されがちです。こちらもAML/CFTの観点も踏まえて良い落とし所を作っていく必要がありそうです。


今回はここまでです。

この後、ギャップ分析が続きます。




2024年10月7日月曜日

Entra IDを使ったパスワードレスでのオンボーディングシナリオ

こんにちは、富士榮です。

Entra IDもVerified IDやFIDOなど色々な要素が組み合わさってきているので、それらの機能をどうやって組み合わせて使うのが良いのか?という疑問が湧いてきます。

そんな時にパスワードレスでオンボーディングをするというシナリオに基づくデザイン〜実装ガイドがMicrosoftから発行されていますので、見てみようかと思います。

Phishing-resistant passwordless authentication deployment in Microsoft Entra ID

こちらのドキュメントです。

全体像はこんな感じですね。


Onboarding step 1: Identity verification

最初のステップではEntra Verified ID(+3rdパーティソリューション)を使って政府発行のIDなどで本人確認するところからスタートします。その後、PCのBootstrapではTAP(Temporary Access Pass)を使ってドメイン参加〜認証器のエンロールをする、という流れですね。(もしくは、最近PreviewになったGraph APIで事前にFIDO認証器をプロビジョニングしておく、という方法もありますね)

関連資料)
前のフェーズでTAPでBootstrapし、最初のクレデンシャルのエンロールをするタイミングです。ここで重要なのはデバイスにバインドされたクレデンシャルではなくポータブルなクレデンシャルをエンロールすべきである、という点です。当然働き方・デバイスの使い方によって事情は異なりますが、最初のクレデンシャルがデバイスにバインドされてしまうと後々困ることになるからですね。

Onboarding step 3: Bootstrap local credentials on computing devices

ポータブルなクレデンシャルがエンロールされれば、あとは個別のデバイスのセットアップを自由にできるわけです。この段階でデバイスごとのローカルクレデンシャルをエンロールしていきます。典型的にはWindows HelloのPINの生成ですね。要するにローカルの鍵ストアをオープンするための手段を作っていくところです。


まぁ、非常に典型的な話ではありますが、ドキュメントではもっと細かくパターン分けされたデザインが出てきますので、みなさんの仕事の仕方、デバイスの種類を考えて適切なデザインをしていってください。

2024年10月6日日曜日

SIDI Hub - ベルリンレポートを読む(3)

こんにちは、富士榮です。

粛々とSIDI Hub Tokyoの準備は進んでいるわけですが、始まるまでにちゃんとベルリンのレポートを読み終わっておきましょう。


前回まででPart Oneの概要が終わったので今回からはPart Twoのセッションごとの詳細レポートを見ていきます。

SIDI Summit Introduction - Mark Haine

まずはイントロです。Markがレポートしてくれています。 

Debora Comparin (SIA), one of the founders and organizers of SIDI Hub, opened the day and welcomed participants to the third convening of SIDI Hub before EIC in Berlin. Afforded by its association with EIC, SIDI Hub is pleased to have expertise in the room that spans deep technical knowledge of transnational governance. Further attesting to this, representatives from Germany’s Federal Ministry of the Interior & Community and SPRIN-D, Germany’s Federal Agency for Disruptive Innovation, spoke to the importance of SIDI Hub’s focus on cross-border interoperability and open standards.

SIDIハブの創設者の一人であり、主催者でもあるデボラ・コンパリン(SIA)は、ベルリンのEICの前に開催されたSIDIハブの第3回会合への参加者を歓迎し、開会を宣言した。EICとの提携により、SIDIハブはトランスナショナル・ガバナンスに関する深い技術的知識を持つ専門家を会場に迎えることができた。このことをさらに証明するように、ドイツ連邦内務・地域省およびドイツ連邦破壊的イノベーション機関SPRIN-Dの代表者は、国境を越えた相互運用性とオープンスタンダードに焦点を当てたSIDI Hubの重要性を語った。

私も現地で参加しましたが、ドイツ政府の100%出資の機関であるSPRIN-Dのオフィスでイベントは開催されました。そのため、最初のWelcome keynoteはSPRIN-Dの方が担当しました。

Nick Mothershaw (OIX) reviewed the agenda, which emphasized the following:

1. Identifying Champion Use Cases

2. Identifying Major Barriers to Interoperability

3. Minimum Technical Requirements for Interoperability

4. Deepening our Trust Framework Analysis

5. Critical Research Questions

Nick Mothershaw(OIX)は、以下の点を強調したアジェンダをレビューした。

1 チャンピオンのユースケースの特定

2. 相互運用性に対する主な障壁の特定

3. 相互運用性のための最低技術要件

4. 信頼フレームワーク分析の深化

5. 重要な研究課題

そのあとはNickによるアジェンダの紹介がありました。


SIDI Strategy and Structure - Mark

続いてGailによるSIDI Hubのストラテジーとストラクチャの話です。
Gail Hodges provided an overview of the origins of SIDI Hub, which derived from an ID4Africa presentation and the “Human-Centric Digital Identity” paper. In particular, the problem of cross-border interoperability in the context of national Digital Identity strategies encompassing a wide range of technical architectures and governance models.
Gail Hodges は、ID4Africa のプレゼンテーションと「人間中心のデジタル ID」論文から派生した SIDI ハブの起源について概要を説明した。特に、広範な技術アーキテクチャーとガバナンス・モデルを包含する各国のデジタル ID 戦略の文脈における国境を越えた相互運用性の問題について述べた。


この辺りはいつものGailのセッションなのですが、各国のデジタルID戦略をPublic Governance-Private Governance、Centralized-Decentralizedの2軸で4象限に分類し、現状のばらつきを表現しつつ、この環境のもとで国境を超えた相互運用性を達成することの必要性について話しているわけです。

Despite these challenges - and the ongoing need for domestic sovereignty - can one’s Digital Identity be as easy to present as an email, a phone number, or a passport? SIDI Hub seeks to build a blueprint for how we build Digital Identity ecosystems within and across ecosystems. The goal is for implementers to build interoperable Digital Identity credentials by default. But this, of course, requires measurement and metrics, policies, open standards, open source code (in many jurisdictions), and scientific analysis for best practice security.

このような課題があるにもかかわらず、そして国内主権の継続的な必要性があるにもかか わらず、デジタル ID は電子メール、電話番号、パスポートのように簡単に提示することができるのだろうか?SIDI ハブは、エコシステム内およびエコシステム間でデジタル ID エコシステムを構築する方法の青写真を構築することを目指す。目標は、実装者がデフォルトで相互運用可能なデジタル ID クレデンシャルを構築することである。しかし、これにはもちろん、測定と測定基準、ポリシー、オープン・スタンダード、オープン・ ソース・コード(多くの法域で)、およびベスト・プラクティスのセキュリティのための科学 的分析が必要である。


こんなバラバラな状態の中でもデジタルIDをメールや電話やパスポートのように国境を超えて世界中で相互運用できる状態にするにはやることがたくさんありますね。まさにこれがSIDI Hubがやろうとしていること、というわけです。



SIDI Hub is self-organized into five workstreams:

  • Champion Use Cases
  • Trust Framework Mapping
  • Minimum Requirements for Interoperability
  • Metrics of Success
  • Governance

As referenced above, SIDI Hub has no governance authority of its own. We therefore discussed where decisions are made, which remain unchanged as a result of SIDI Hub, and how SIDI aims to support them.

SIDI Hubは、以下の5つのワークストリームから構成される。

  • チャンピオンのユースケース
  • トラストフレームワークマッピン
  • 相互運用のための最低要件
  • 成功の指標
  • ガバナンス

上記で言及したように、SIDI Hub はそれ自体のガバナンス権限を持たない。そのため、SIDI Hubの結果として変わることのない意思決定がどこで行われるのか、また、SIDIがどのようにそれをサポートすることを目指しているのかについて議論した。


こちらはいつものSIDI Hubとは何なのか、という話と構成するワークストリームの話ですね。 非常に難しい部分なのですがコミュニティなのでコンセンサスを取りながら意思決定をしていくというのが特徴でもあります。この辺りは今後変わっていくかもしれません。


今回はこのくらいです。ユースケース分析のセッションについて次回解説します。

2024年10月5日土曜日

Kim Cameron Awardの受賞者によるIdentiverseへの参加レポート

こんにちは、富士榮です。

先日お知らせしたVittorio Bertocciアワードと並行してDIAF(Digital Identity Advancement Foundation)が提供する個人向けの世界2大アイデンティティ・アワードであるKim Cameronアワードの受賞者であるMatthew SpenceがIdentiverse 2024への参加レポートを書いています。


https://digitalidadvancement.org/news/2024-kim-cameron-awardee-reflections-matthew-spence/

DIAFではアワード受賞者にIdentiverseやIIW、EICなどのカンファレンスへの参加をサポートしており、有能でやる気があっても費用面で課題がある若手などへのスポンサーをしています。

ダイバーシティを確保のためにはこのような取り組みは非常に有用ですね。日本でも何かやれないかなぁ、、、と思いますが、まずは日本からもDIAFのアワードにApplyしてみる方が出てくることに期待です。






2024年10月4日金曜日

OpenID Connect for Identity Assuranceの仕様が承認されました

こんにちは、富士榮です。

Great newsです。
先日より投票が開始されていたOpenID Connect for Identity Assuranceの仕様が最終化、承認されました。
投票のお知らせ)

最終化に関する公式アナウンス)


今回承認された仕様は以下のとおりです。

皆さん、使っていきましょう。

2024年10月3日木曜日

SIDI Hub東京、前々夜祭を開きます

こんにちは、富士榮です。

いよいよ今月末はSIDI Hub東京イベントです。
が、小規模でのディスカッション中心、かつ英語イベントということもあり招待者に限りご参加いただくという形となります。

そのため、日本のアイデンティティ関係者の皆さんにも概要を知っていただく場として前々夜祭としてイベントを開くことにしました。

こちらは日本語で、かつ実際に活動をしている方からも話をしてもらえるようにしたいと思いますので、ぜひご参加ください。

2024年10月2日水曜日

Death and the Digital Estate(DADE)CGが発足

こんにちは、富士榮です。

DADE CG(Death and the Digital Estate Community Group)の発足がアナウンスされています。死後のデジタルアイデンティティや遺産について扱うコミュニティグループです。

4月のIIWの前日のOpenID Foundation Workshopで触れられていたコミュニティですね。


当時AWSにいたDean Saxe(右から二人目。今はBeyond Identityに移籍)がChairを務めるようです。

メーリングリストへの参加なども受け付けていますので参加してみてはいかがでしょうか?

2024年10月1日火曜日

SIDI Hub - ベルリンレポートを読む(2)

こんにちは、富士榮です。


しばらく別のネタばかりでSIDI Hubについてかけていませんでしたが、10月に入ったので東京開催秒読みということでベルリンレポートの続きを読んでいきます。


前回からしばらく開きましたが、今回は続きです。

Users of a Trust Framework Analysis Tool

A major output of the SIDI Hub 2024 strategy, led by the Open Identity Exchange (OIX), will be a Trust Framework Comparison Tool. This will be bolstered by further analysis and normalization of Trust Frameworks supported by SIDI Hub. At the SIDI Berlin session, breakout groups shaped the value proposition and requirements for such a comparison tool, which will directly influence the final deliverable. Further information is found in the Rapporteur’s notes (next section).

信頼フレームワーク分析ツールのユーザー 

Open Identity Exchange (OIX) が主導する SIDI Hub 2024 戦略の主な成果のひとつは、信頼フレームワーク比較ツールです。これは、SIDI Hub がサポートする信頼フレームワークのさらなる分析と標準化によって強化されます。SIDI Berlin セッションでは、分科会がこのような比較ツールの価値提案と要件を策定し、最終成果物に直接影響を与えることになります。詳細は、ラポータのメモ(次項)をご覧ください。 

トラストフレームワークのマッピングに関して書かれていますね。

現在、各国で制定が進んでいるトラストフレームワークの相互運用が可能な状態にならないと国の間で相互運用性の担保ができなくなるのでここでいうマッピングは非常に重要です。OpenIDファウンデーションジャパンではOIXに協力する形で日本のトラストフレームワークのマッピングを支援しています。

BOLTS: Business, Operational, Legal, Technical, and Social

Given the above take-aways, which span Business, Operational, Legal, Technical, and Social forces that impact the global interoperability effort, the group will use a “BOLTS” framework as a core part of its Champion Use Case analysis.

BOLTS:ビジネス、運用、法律、技術、社会

グローバルな相互運用性への取り組みに影響を与えるビジネス、運用、法律、技術、社会の各分野における上記の要点を踏まえ、当グループは「BOLTS」フレームワークをチャンピオンユースケース分析の中核として使用します。

相互運用性を考える上では技術だけを考えていたは不十分です。ここにあるようにビジネス、運用、法律、社会を含めて考える必要がある、ということです。

Government Participation

A final point of reflection relates to the audience for SIDI Hub events. Given the light attendance from government officials in Berlin, the agenda skewed towards a technical audience that discussed technical possibilities. This is not ideal.

政府の参加

最後に、SIDI Hubのイベントの聴衆について考察したいと思います。ベルリンでの政府関係者の出席が少なかったため、技術的な可能性について議論する技術的な聴衆に偏ったアジェンダとなりました。これは理想的ではありません。

先に記載した通り、法律や社会についても検討が必要です。ベルリンでは政府機関の設備で開催したにもかかわらず確かにあまり多くの政府関係者が参加したわけではありませんでした。この辺りは日本開催をする際のバランスに関する考慮点となるでしょう。

SIDI Hub was founded to unite global audiences to define the users, benefits, and overall business case for globally interoperable digital identity to normalize approaches and define minimum requirements. It was, therefore, somewhat premature to attempt a solution-oriented agenda. With that said, the lessons were valuable, and SIDI Hub has had valuable contributions from European stakeholders through other avenues, e.g., the SIDI Paris Summit, eIDAS 2.0 documentation, etc. Regardless, the SIDI organizers have determined that baseline government participation will be a critical go/no-go criterion for the events planned in Washington, D.C., Tokyo, and Brazil.

SIDI Hubは、世界中のオーディエンスをまとめ、世界規模で相互運用可能なデジタルIDのユーザー、利点、全体的なビジネスケースを定義し、アプローチを標準化し、最低限の要件を定義するために設立されました。そのため、ソリューション志向のアジェンダを試みるには時期尚早でした。とはいえ、そこから得られた教訓は貴重であり、SIDIハブは、SIDIパリサミットやeIDAS 2.0文書など、他の手段を通じて欧州の利害関係者から貴重な貢献を得ることができました。それでも、SIDIの主催者は、ワシントンD.C.、東京、ブラジルで計画されているイベントについては、政府の基本的な参加が実施の可否を決定する重要な基準となると判断しました。

ベルリンでもユースケースの取りまとめ要件整備を行いました。次のワシントンDCや東京・ブラジルでの開催に向けて議論をしていく必要がありそうです。なお、ここに記載がある通りソリューションとして自立させるためのきっかけには早すぎるイメージはありました。しかし読者の皆さんは気にせずにアプライしてくださいね。