デジタルアイデンティティ

デジタルアイデンティティ: Digital identity)は、人間などの主体(entity/subject)をコンピュータで処理するためのアイデンティティ情報であり、それぞれの属性情報から成る。

ISO/IEC 24760-1は、アイデンティティを「実体に関する属性情報の集合(set of attributes related to an entity)」と定義している [1]

定義

編集

人、組織、デバイス、サービスなど、属性を管理する単位のことをエンティティ(主体)といいIPA2013(p5)、システムに登録されたエンティティに関する属性情報の集合をアイデンティティ情報というIPA2013(p5)。アイデンティティを電子的に表現したものをデジタルアイデンティティというIPA2013(p5)

 

属性情報はその真正性により、以下の3種類に分類できるIPA2013(p7-8)

  • 権威ある源泉からの属性情報
  • 検証された属性情報
  • 未検証の属性情報

エンティティが人である場合、個人識別可能な属性情報の組み合わせをPII(Personally Identifiable Information)というIPA2013(p6)

クレデンシャルは、そのエンティティが確かにアイデンティティ情報と結びついたエンティティであることを証明するための情報を指すIPA2013(p26)

ネットワーク上に存在する様々なエンティティやリソースを管理する範囲をドメインといいIPA2013(p40)、ディレクトリ・サービスで運用管理するエンティティやリソースの範囲を運用管理ドメインというIPA2013(p40)

対象

編集

ひとつのデジタルアイデンティティとして扱われる対象は、実社会に存在する主体(entity)であり、対応するように属性情報が含められる。 アイデンティティ情報を構成する属性情報の管理方法は任意であり、当該アイデンティティ管理システムによる。 しばしば、ひとつの実体についてのアイデンティティ情報が、複数のアイデンティティ管理システムによって別々に保持される。

対象となるのは多くの場合、人間(個人)であるが、それ以外の実体(NPE:non-person entity)が対象とされる場合もある。NPEの例としては、次のものが挙げられる。

  • グループや組織(法人)
  • コンピュータ・サービス(Web API 等)やデジタルなリソース(ファイル等)
  • センサーやデバイス(IoT 等)

関係における属性情報

編集

何らかの実体の属性をオブザーバーが認識する際には、避けがたくオブザーバーの主観に左右される。 ある実体の属性(attribute)をデジタル表現・処理するとき、属性を判定する者(オブザーバー)は、その表現がその実体に実際に付随していると確証できるものである必要がある(後述する認証(authentication)の節を参照)。 逆に、その実体はオブザーバーに対して、特定の属性情報のみを提供したい。 このような意味合いで、デジタルアイデンティティは、主体に固有な属性というよりも「相互関係において属性情報が決まる」と理解する方が適することがある。 このようにデジタルアイデンティティには文脈依存(contextual)な性質がある。

アイデンティティ情報を証明する手続き(identity proofing)を客観的に説明できるようにするためには、手続きについての基準を文書化して公表する必要がある。

認証(authentication)

編集

認証(authentication)は、コンピュータの利用局面における機能であり、ひとつのデジタルアイデンティティがある実体に対応することの確証を伝える。

実体が人間である典型的な場合、その知識、持ち物および身体的特徴か動作に基づいて処理される。

  • 知識はパスワード等であり、事前に登録された知識に基づく属性情報と対比して検証される。
  • 持ち物による場合、よりコストがかかるが、暗号技術を応用したデバイス等が用いられる。
  • 身体的特徴として、虹彩認識掌紋声紋に基づく処理があり、筆跡等の動作に基づく処理もある。これらは、「バイオメトリック認証(biometric authentication)」と呼ばれる。

識別子(ID/identifier)

編集

アイデンティティ情報は、識別子に基づいて管理される。 識別子は、所定の管理ドメイン内(特定のレルム/コミュニティ/ディレクトリ/アプリケーション内やグローバルな範囲)で一意な文字列が割り当てられ、IDと表記される。 識別子は、それが表す実体のキーとして使われる。

識別子には、無指向性(omnidirectional)と一方向性(unidirectional)がある[1]。 無指向性識別子は公開され、容易に発見できることを意図している。一方、一方向性識別子は特定の識別関係でのみ使われるものである。

識別子の分類には、解決可能(resolvable)か否かという分類もある。 解決可能な識別子としては、ドメイン名メールアドレスがあり、その識別子が表している実体を取得したり、実体の状態を取得したりできる。 解決可能でない識別子としては、人間の実際の名前や主題/話題の名前などがあり、等価性の比較は可能であるが、それ以外にマシン上で何かすることはできない。

インターネット上で広域に用いられるリソース識別子には、様々なスキームやフォーマットがある。 広く使われているものとして、URI(Uniform Resource Identifier)とそれを国際化したIRI(Internationalized Resource Identifier) がある。 これらはWorld Wide Webにおけるリソース識別子の標準である。 抽象化された構造化識別子についてのOASISによる標準として、XRI(Extensible Resource Identifier)がある。 これはURIやIRIにデジタルアイデンティティシステムに特に便利な機能を追加したものである。

属性情報の構造化と表現

編集

デジタルアイデンティティの属性情報は、実体についてのオントロジーとも関連する。 例えば、「ネコ動物の一種である」という集合論的な表現があるとする。 オントロジー的に「ネコ」と表現された実体は、常に「動物」とも見なされる。 アイデンティティ情報を構成する属性情報は、オントロジーにおける関係に基づいて表現できる。

XMLは、いったんは構造化されたデータ表現のデファクトスタンダードとなった。 属性情報の交換にはXMLに基づくSAMLのみならずJSONも用いられるようになってきている。

ネットワーク上のデジタルアイデンティティ

編集

ネットワークにおけるデジタルアイデンティティ間の関係には、複数の実体(entity)が関わる。 インターネットのような分散ネットワークでは、それぞれの実体間の関係とは独立した信頼できる関係が存在して、そのような個別の関係をより大きな単位で統合して保証する手段が必要になる。

ネットワークにおけるアイデンティティ管理の古典的な形態として、個人別電話帳(ハローページ)のようなディレクトリ・サービスがある。

アイデンティティプロバイダ(IdP)は、インターネット越しにある複数の管理ドメインに対して、ユーザ認証機能と属性情報を提供する。 アイデンティティプロバイダが提供するユーザ認証機能と属性情報の信頼性を保証するために、トラストフレームワークを制度設計する試みが先進各国で進められている[2][3]

パーソナルデータ・サービス(PDS)は、実体としての個人が自らのアイデンティティ情報をコントロールできる機能を提供する。

プライバシー

編集

人間のデジタルアイデンティティについては次のふたつのプライバシー権の観点からの論点がある。

  • 古典的プライバシー権(right to be let alone)の観点
  • 自己情報をコントロールする権利の観点

古典的プライバシー権の論点

編集

顧客のアイデンティティ情報を集積したデータベース中の属性情報には識別子(ID)以外にも実体を識別できてしまうもの(PII)が含まれることがある。 集積された属性情報から実体を識別しにくくする情報加工処理を「デアイデンティフィケーション(de-identification)」 [4]という。

自己情報をコントロールする権利の論点

編集

自己のアイデンティティ情報をコントロールできるようにするシステムが設計されて(プライバシーバイデザイン)、実装されている。 例を挙げる。

  • パーソナルデータ・サービス(PDS)
  • 管理ドメインを超えて個人の属性情報を送信する際に、個人としての実体自身の許可を求める(SAMLのアサーション、OpenIDのIDトークン 等)
  • 識別子(ID)を提示せずに仮名しか提示しなくても(Pseudonymity)ユーザ認証が行えるシステム

関連項目

編集

脚注

編集
  1. ^ ISO/IEC 24760-1: A framework for identity management - Part 1: Terminology and concepts”. ISO (2011年). 2015年12月5日閲覧。
  2. ^ National Strategy for Trusted Identities in Cyberspace (NSTIC)”. NIST. 2015年12月4日閲覧。
  3. ^ 山田 達司 (2013年12月19日). “認証連携普及のために~信頼フレームワークの構築~”. NTT DATA. 2024年8月1日閲覧。
  4. ^ しばしば用いられている「匿名化(anonymize)」という用語が多義的になってしまっている現状を踏まえて用いている用語

外部リンク

編集
  • [IPA2013] アイデンティティ管理技術解説” (PDF). IPA (2013年1月29日). 2015年11月28日閲覧。
  • The Identity Dictionary
  • Digital Identity Glossary
  • Windley, Phil (2005). Digital Identity. O'Reilly. ISBN 0596008783 
  • Smith, Richard 著、稲村 雄 訳『認証技術 パスワードから公開鍵まで』オーム社、2003年。ISBN 4274065162 
  • FutureID Shaping the future of Electric Identity
  • FIDIS (Future of Identity in the Information Society) Network of Excellence
  • Sullivan, Clare (2012). “Digital Identity and Mistake”. International Journal of Law and Technology.