発売日に買ったものの、積ん読にしてしまっていたデジタルアイデンティティを読みました。いや、これ本当に良いので、ITに携わる人も、ビジネスをしている人も、まず読んでみましょう。
著者の崎村さんについて
まず最初に書籍レビューの公平性の観点から、著者の崎村さんと私の関係について説明しておきます。崎村さんは、元野村総合研究所上席研究員で、私が小僧の時に少しだけ同じプロジェクトに参画していたことがあります。当時からとてつもない天才で、何気なく呟いている問題意識や関心事項の殆どが理解できませんでした。自分もある程度経験を積んで、10年ほどして当時この事を言っていたのかとようやく理解できたと言う事が度々あったという次第です。そんな事もあって、ブログやTwitterをずっとフォローして、今の関心領域は何なのか参考にさせて頂いています。ということで、公平性の観点ではかなりバイアス掛かっていますので、それを前提としてお読みください。
崎村さん自体の経歴としては、Wikipediaにまとめられているとおり世界で活躍しています。特にOpenID Foundationの理事長でもあり、OpenID ConnectやJWT、JWS、OAuth PKCEなど認証に関わる様々な規格の策定者でもあります。あと国内の政府関連検討会にも、随分参加されているようです。
本書について
本書は、9章構成です。前半のアイデンティティとは何かから始まり、それをデジタル上で扱うための規格の一つである「OpenID Connect」と「アクセス制御」の実際的な概念と紹介と続いていきます。アイデンティティの基本的な概念の解説が終わった後の5章以降で、具体的な課題と解決策についての解説と続いています。
第1章 GAFAの中心戦略「デジタルアイデンティティー」
第2章 アイデンティティー管理
第3章 アイデンティティー連携フレームワーク「OpenID Connect」
第4章 アイデンティティー管理によって可能になる「アクセス制御」
第5章 企業にとってのアイデンティティー管理
第6章 高度化するアイデンティティー管理
第7章 プライバシー保護とアイデンティティー管理
第8章 個人情報の取り扱いにおける「告知」と「同意」
第9章 信頼、ブランド、そしてトラストフレームワーク
内容については、私が誤って伝えると困るので、本書を読んでくださいで済ませておきます。
気になったところを、ピックアップして紹介
本書を読んでいて幾つか心に響いたところがあります。読んでいるうちに、付箋だらけになりました。その中の幾つかピックアップして紹介しておきます
アイデンティティー管理をする理由3 生産性の向上
AmazonもGoogleも、最初はそれぞれのサービスごとに認証のシステムを作って密結合の一枚岩だった。ビジネスの急成長に追いつかなくなって、疎結合のマイクロサービス化していったそうです。その際にアイデンティティー管理の仕組みも独立させていったとのこと。個々のシステムでアイデンティティー管理を実装するのは非効率なのは間違いないですが、生産性向上に寄与する説明として、この説明の仕方は簡潔かつ解りやすくて良いですね。
ユーザー認証の種類と対策の変遷
ユーザー認証の種類の整理とその変遷が上手くまとまっています。メールアドレスとパスワードによるログインから、リスト型攻撃やパスワードスプレー攻撃の出現。それに対応するための最近の認証方法のトレンド。実際にWebシステムを運用している人は実感できると思いますが、ちょっと大きなサイトになるとリスト型攻撃といのは頻繁に受けるのが今の世の中なんですね。自分のところを幾ら堅牢にしていても、全く別の人が作っているシステムでIDとパスワードが漏れてしまったら影響を受ける恐れがあります。世の中、同じIDとパスワードを使いまわす人が、思った以上に多いのです。なので、それ以外の対策が必要ですよね。
収穫逓増と収穫逓減からみる産業革命
第1次産業革命から今の第4次産業革命まで。収穫逓増と収穫逓減や銀行の制度と投資資金の観点からの解説。成功したところには、仕組み的な優位性があったのだよなぁと納得ができます。
トークン≒乗車券(コイン・切符)
OpenID Connectなどの認証の流れを解説する際に、必ずトークンが出てきます。ただ、これを説明していても腹落ち感が無いよなぁと思っていました。本書でトークンとは(海外で)電車に乗る際に使うコインだという説明がありました。日本だと切符ですね。この説明でトークンについて、まとめて説明できることが解りました。トークンは認証ではなく、認可を受けていることを表すこと。そのトークンが他人に奪われることの危険性とか。
契約の同意の課題について
サービスの利用規約や個人情報の提供の同意についての課題感。その前提としては自由意志が必須なので、ゴッドファーザーのドン・コルレオーネのように銃を突き付けて断れない状況の同意は、本来有効ではないと。これに関していろいろな事例やどうあるべきか。ここは是非読んでみてください。
ブランドとトラストフレームワークについて
なぜブランドに意味があるのか。ブランドの効力を分解して、仕組み的に再構築したトラストフレームワークについて。ここの理解はビジネスを考える上で必須です。
感想
デジタルアイデンティティを一通り読みましたが、おそらく理解度としては40%くらいです。この後も何度か読み返そうと思います。情報は一次情報にあたれと言われますが、実際には一次情報を読み解くのはなかなか困難です。OpenID Connectの規格など一次情報を作り出している本人の解説なので、1次情報の解りにくさを回避した上で正確な情報を知ることができます。いつかハウツー本じゃなくて、こんな本を書けるようになりたいなと絶望しながら終わりとします。
