このブログはこちらの英語ブログの機械翻訳です。
分散型アイデンティティとは、中央機関に依存することなく、個人が自身のデジタルアイデンティティを安全に管理できる方法論です。
分散型アイデンティティの必要性
従来のアイデンティティモデルは、ユーザーの利益を保護せず、個人情報を脆弱な状態にする可能性があります。分散型アイデンティティは、増加し続けるデジタルアイデンティティに関する懸念のギャップを埋めるのに役立ちます。
- データ侵害:組織は、認証のために機密性の高い個人データを集中的な場所に収集することが多く、頻繁かつ高度化するデータ侵害のリスクにユーザーをさらしています。
- 断片化されたオンライン体験:ほとんどの人は、依然として断片化されたオンラインアイデンティティ体験に苦労しており、多くのサービスプロバイダーで個別に認証を行っています。
- デジタル機会の不平等: デジタルインクルージョンへの取り組みが進んでいるにもかかわらず、世界中で約8億5000万人もの人々が、依然として自身のアイデンティティの所有権を主張できず、必要不可欠なサービスや技術の進歩に十分に参加することができません。
- 高まる規制圧力:GDPRやCCPのような厳格なデータ保護法は、プライバシー重視のアイデンティティソリューションの必要性をさらに強調しています。
分散型アイデンティティの仕組み
分散型アイデンティティ(DCI)により、個人はデジタルアイデンティティを検証および管理し、個人情報(PII)を保護できます。
コアコンポーネント:
- 資格情報: 個人またはエンティティを一意に識別し、記述する情報
- デジタルウォレット: ユーザーが自分の資格情報と識別子を保存および管理するための安全なソフトウェアリポジトリ
- 発行者: IdentityプロバイダーやOpenIDプロバイダーと同様に、検証可能な資格情報を作成してユーザーに提供する信頼できるエンティティ
- 検証者: 提示された資格情報の有効性を認証する当事者
- ブロックチェーンまたは分散型台帳技術:多くの分散型アイデンティティソリューションを支える、分散型で改ざん防止のシステム
- 分散型識別子(DIDs): 検証可能な分散型デジタルIdentity管理のための、ユーザーが管理する一意の識別子
- 検証可能な資格情報(VC):暗号的に保護されたデジタル資格情報
他の Identity and access management(IAM)構造と同様に、これらのコンポーネントが連携して、ユーザーのアイデンティティを検証しながら、重要な情報へのアクセスを安全に促進します。
動作の仕組み:
- ユーザー(またはホルダー)は、さまざまな発行者(政府、教育機関、雇用主など)から資格情報を受け取ります
- 安全なデジタルウォレットは、資格情報を保存します
- ユーザーは、ユーザーの主張または属性を確認する必要がある検証者に自分の資格情報を提示します。
- 検証は、ブロックチェーンベースの台帳またはその他の分散型システムを介して行われます
- 暗号証明は、不必要な情報を明らかにすることなく、資格情報の信頼性と完全性を保証します。
分散型Identityにおけるブロックチェーンの役割
多くの分散型アイデンティティシステムにおけるブロックチェーン技術の機能:
- 不変性: ブロックチェーンは、トランザクションおよびアイデンティティ関連データの変更不可能な記録を提供します
- 分散化:アイデンティティを管理するための中央機関の必要性を排除します
- プライバシー: ゼロ知識証明およびその他の暗号化方法により、情報の選択的な開示が可能になります
- 相互運用性: ブロックチェーンは、異なるアイデンティティシステムが相互作用するための共通のインフラストラクチャとして機能できます
分散化がデータとアクセスをどのように民主化するか
人々は通常、金融、政治、社会、文化活動に参加するために、存在の証明となる文書を必要とします。Identityの証明により、教育、医療、銀行、住宅、国の支援を含む、市民の権利を行使し、不可欠なサービスにアクセスすることができます。しかし、避難、貧困、官僚主義、教育の欠如は、アクセス基盤となる国が発行したIdentity文書の取得を妨げています。
アクセスへの障壁を取り除く
分散型Identityシステムは、ユーザーの情報へのアクセスを大幅に容易にします。オンラインのブロックチェーンベースの暗号システムにより、誰でもデジタルウォレットを確立し、自分のデジタルIdentityにアクセスできます。個人に必要なのは、インターネット接続 と スマートデバイス だけで、デジタルデバイドを解消するにつれて、新興経済国でますます一般的になっているツールです。分散化プロジェクトは、広範なデジタルIdentityとサービスアクセスを提供する有望な慈善的アプローチを提供します。
ユーザーの自立性の向上
ユーザーの自律性は、分散型アイデンティティが民主化を促進するもう1つの分野です。新しいオンラインサービスに登録する場合、ユーザーは従来、組織が処理、共有、または第三者に販売する可能性のある一連の個人データを提供する必要があります。分散型システムでは、ユーザーは代わりにDIDを受け取り、各サービスプロバイダーで自分のアイデンティティを検証します。ユーザーは、自分だけが知っている秘密の暗号化によってこれらの資格情報を保護し、各サービスプロバイダーで検証できます。
このモデルは、次の2つのことを実現します:
- ユーザーは各サービスへのアクセスに関連し、必要な情報のみを共有できます
- 組織が認証のためにのみ個人のデータにアクセスできるようにするのに役立ちます。
デフォルトでは、ユーザーは自分のデータに対するより高度なプライバシーと制御を持つことができます。
例を次に示します。
- ジェーンは大学の卒業証書の物理的なコピーを持たずに米国に移住したばかりです。彼女は確認済みの求人オファーを受けるために、自分の専門分野を証明する必要があります。
- 大学は彼女にDID資格情報(この場合はジェーンの卒業証書)を発行し、彼女はそれをデジタルウォレットに保存します。
- DID資格情報を使用して、ジェーンは自分の卒業証書を潜在的な雇用主に提示し、雇用主は発行大学にその信憑性を個別に確認できます。
分散型Identityの利点
分散型Identityは、データがユーザー、組織、開発者にとって有利になるように保存および保護される方法を再構築します。
ユーザーへのメリット:
- 安全な資格情報ストレージ: デジタルウォレットは、暗号化とバイオメトリクスを使用した保護されたリポジトリです。
- 強化されたプライバシー: システムは、資格情報の共有に関するインフォームドコンセントを要求し、追跡を防ぐためにメタデータを隠します。
- 改善されたセキュリティ:ブロックチェーンのような暗号化された分散型ストレージシステムは、不正アクセスやデータ盗難のリスクを軽減します。
- より大きな制御:ユーザーは自分のアイデンティティを管理し、共有する情報とその共有相手を決定します。
組織へのメリット:
- 責任の軽減:収集および保存するデータが少ないほど、規制違反およびサイバー攻撃のリスクを最小限に抑えることができます。
- 簡素化されたコンプライアンス: 組織は、データストレージの責任が軽減されるため、規制上のハードルが少なくなります。
- 信頼性の向上: 必要な資格情報のみを要求し、ユーザーの同意を得ることで、ユーザーとの透明性が高まります。
- 強化されたセキュリティ: 分散型システムは、大規模なデータ侵害のリスクを軽減します。
開発者へのメリット:
- 改善されたアプリ設計: 分散型アイデンティティにより、よりユーザーフレンドリーなアプリケーションを作成できます。
- 簡素化された認証: システムは、パスワードまたは複雑な認証プロセスを必要としません。
- オープンなエコシステム: 開発者は標準ベースのエコシステムに参加し、イノベーションとコラボレーションを促進できます。
- 相互運用性:標準化されたプロトコルにより、異なるプラットフォームおよびサービス間でシームレスなアイデンティティ検証が可能になります。
集中型と分散型Identity管理の比較
集中型Identity:
集中型のデジタルアイデンティティ管理は、ユーザーデータを1つの環境に保存および制御することに依存しています。
このモデルでは:
- 組織は、生年月日、社会保障番号、ユーザー名、パスワードなど、ユーザーのデジタルIdentityを形成するさまざまなデータ属性を収集および管理します。
- IAMシステムには、組織がユーザーIdentityを検証し、アクセスレベルを管理できるようにするポリシー、サービス、テクノロジーが含まれています。
- ユーザーは通常、個人データの保存、使用、または共有を制限されています。
分散型Identity:
対照的に、分散型アイデンティティは制御を個人に移します。
機能は次のとおりです。
- ユーザーは、組織と共有するデータを制御し、アクセスを取り消すことができます。
- デジタルウォレットは、認定された発行者が提供するアイデンティティおよび資格情報を保存します。
- 複数のサービスプロバイダーが暗号化された識別子を検証できます。
|
機能 |
集中型アイデンティティ管理 |
分散型アイデンティティ管理 |
|---|---|---|
|
後 |
すべてのアプリケーションに対するSingle Sign-On(SSO) |
アプリケーションごとの個別の認証 |
|
環境 |
すべてのIAMが1つの環境で行われます |
IAMは複数の環境に分散しています |
|
徹底した制御 |
一元管理 |
分散制御 |
|
故障点 |
潜在的な単一障害点 |
単一障害点なし |
|
ユーザーエクスペリエンス |
シンプルなユーザーエクスペリエンス |
より複雑なユーザーエクスペリエンスですが、より優れた制御が可能です |
|
データストレージ |
データは中央の場所に保存されます |
複数の場所に分散されたデータ |
|
プライバシー |
データに対するユーザーの制御が少ない |
個人データに対するユーザーの制御が向上 |
|
セキュリティリスク |
大規模なデータ侵害のリスクが高い |
大規模なデータ侵害のリスクが軽減されます |
集中型およびフェデレーションデジタルIdentityシステムのリスクへの対処
フェデレーションIdentityは、Identity管理システム全体でユーザーのIdentityをリンクし、利便性とセキュリティを提供します。
ただし、フェデレーションおよび集中型のデジタルアイデンティティシステムは、以下を含む脆弱性を生じさせる可能性があります。
- 大量の個人情報を危険にさらす可能性のある単一障害点
- 不正アクセスおよび個人情報の悪用の可能性
- 個人データの保存および共有方法に対するユーザー制御の欠如
分散型アイデンティティシステムは、これらの問題に対処します。中央機関への依存を減らすことにより、分散型システムは、従来のアイデンティティ管理アプローチに関連する多くのリスクを軽減します。
分散型Identityと自己主権型Identityの比較
多くの場合、同じ意味で使用されますが、分散型アイデンティティと自己主権型アイデンティティ(SSI)には微妙な違いがあります。SSIは、個人が自分のアイデンティティを完全に制御することを重視していますが、分散型アイデンティティは、アイデンティティインフラストラクチャの分散型性質に焦点を当てています。どちらの概念も基本的な要素を共有していますが、アイデンティティ情報の制御および管理へのアプローチが異なります。
分散型アイデンティティのユースケース
分散型アイデンティティは、多くの業界でプライバシー、セキュリティ、およびユーザー制御を強化する可能性を秘めています。これらのプロトコルや標準は以下を含みます。
Eコマースおよび小売
- オンラインショッピングのためのパスワードレスログイン
- 制限された製品の年齢確認
- プライバシーが強化されたロイヤルティプログラム
教育
- 検証可能なデジタル卒業証書と証明書
- 生涯学習記録
- 機関間の簡素化された学生転送
金融
- 合理化されたKnow Your Customer(KYC)プロセス
- 簡素化された国境を越えた取引
- デジタルバンキングにおける不正防止の強化
政府サービス
- 公共サービスにアクセスするためのデジタル市民アイデンティティ
- 合理化された投票システム
- 社会福祉の効率的な分配
ヘルスケア
- プロバイダー間の医療記録の安全な共有
- 患者が管理する健康データ管理
- 合理化された保険金請求処理
モノのインターネット(IoT):
- コネクテッドデバイスのアイデンティティ管理
- 安全なマシン間通信
- プライバシー保護スマートホームシステム
旅行およびホスピタリティ:
- シームレスな空港チェックインと国境管理
- 非接触型ホテルチェックイン
- 旅行書類の安全な共有
workforce management:
- 分散型従業員資格情報
- 簡素化された身元調査
- 物理的およびデジタル資産の安全なアクセス制御
分散型アイデンティティの現在の課題と開発
- 導入のハードル: 関心が高まっているにもかかわらず、広範な実装は依然として限られています
- 規制の整合性: 分散型アイデンティティシステムが既存のデータ保護法に準拠するようにするための取り組み
- UXと教育: 使いやすさを向上させ、非技術的なユーザーを教育する
- 相互運用性: プラットフォーム間の互換性を確保するためのW3CのDIDsやVCなどの標準に関する継続的な作業
分散型アイデンティティの未来
Identityは、分散型アーキテクチャがどのように発展するかの中心にあります。AI対応のサイバー攻撃とIdentity詐欺に対する防御として、ますます重要になっています。
Security Magazineの最近の調査によると、より多くの組織が分散型Identity戦略を実装しており、前年から13%増加しています。
分散型アイデンティティを形成する組織
分散型アイデンティティはまだ進化していますが、一部の世界をリードする組織は、信頼と民主化を高める可能性を証明しています。
背景では、多数の組織が分散型Identityの標準化と構造化に取り組んでいます。主要なプレーヤーは次のとおりです。
- Decentralized Identity Foundation (DIF): DIFは、オープンな標準ベースの分散型アイデンティティエコシステムを構築するためのイニシアチブの開発、議論、管理の中心地です。
- World Wide Web Consortium(W3C): 2000年代初頭から、W3Cはオープンスタンダードを提供し、ブラウザーの開発と相互運用性に焦点を当てています。
- Internet Engineering Task Force (IETF) : IETFは、メインのインターネットプロトコルスイートを含む、コアインターネットテクノロジーを標準化しています。
- Hyperledger: Linux FoundationのHyperledgerコミュニティは、分散型台帳とブロックチェーンをデプロイするためのフレームワーク、ツール、およびライブラリを開発しています。
よくある質問:
Q:分散型識別子とは何ですか?
A: W3Cによって概説されているように、DIDsは、検証可能な分散型デジタルアイデンティティを促進する識別子です。この用語は、DIDのコントローラーによって決定される、あらゆる主題(人、組織、物、データモデル、抽象エンティティなど)を意味します。
Q: ブロックチェーンにおける分散型Identityとは何ですか?
A:ブロックチェーンシステムでは、分散化により、単一の権限ポイントから権限が移行します。意思決定を行い、運用を管理するために中央エンティティに依存する代わりに、分散型システムはこれらの責任を参加者のネットワーク全体に分散します。このアプローチにより、制御と意思決定権限が多数のノードに分散されます。
Q:集中型アイデンティティの例は何ですか?
A: 集中型Identityシステムの典型的な例は、組織の内部ネットワークまたは従業員管理システムです。これらのシステムは、すべて従業員のIdentity情報を保存するために中央データベースに依存しています。
このシナリオでは、従業員は通常、1つの資格情報セットを使用して、さまざまな会社のリソースおよびアプリケーションにアクセスします。IT部門がシステムを管理し、アカウントの作成からプロビジョニング解除までのタスクを処理します。
このアプローチには、いくつかの利点があります。ユーザーアクティビティの監視を簡素化しながら、組織全体で一貫したアイデンティティ管理を保証します。また、従業員のオンボーディングおよびオフボーディングプロセスを合理化します。ただし、単一障害点を作成することもできます。中央データベースが侵害された場合、すべてのユーザーアカウントとアクセスに影響を与える可能性があり、重大なセキュリティリスクが生じます。
Oktaで顧客のアイデンティティ保護を強化
Okta Customer Identity ソリューションがすべてのクリックを保護し、チームを強化し、組織を成長させる方法をご覧ください
