Upgrade to Pro — share decks privately, control downloads, hide ads and more …

相互運用可能な学修歴クレデンシャルに向けた標準技術と国際動向

 相互運用可能な学修歴クレデンシャルに向けた標準技術と国際動向

2025/8/1に1EdTech様主催のLearning Impact Japan 2025で講演した際の資料。
学修歴クレデンシャルの相互運用性についての考察です。

Avatar for Naohiro Fujie

Naohiro Fujie

August 01, 2025
Tweet

More Decks by Naohiro Fujie

Other Decks in Technology

Transcript

  1. 自己紹介 デジタルアイデンティティ分野で約20年の経験を持ち、大手自動車製造業のグローバルID基盤に関するコンサルティ ング~PMなどを歴任。 2018年よりOpenIDファウンデーション・ジャパンの理事に就任、KYC WGを設立。2020年1月より米国OpenID FoundationにてeKYC and Identity Assurance Working

    Groupの設立および共同議長に就任。2021年6月 よりOpenIDファウンデーション・ジャパンの代表理事に就任。 CTCでは研究部門の責任者を務める。 各種役割 OpenIDファウンデーション・ジャパン代表理事/KYC WG発起人 米OpenID Foundation/eKYC&Identity Assurance WG共同議長 日本ネットワークセキュリティ協会/デジタルアイデンティティWG, ISOリエゾン 各種政府委員会構成員(Trust、デジタルアイデンティティ関連) 慶應義塾大学SFC研究所/研究員、大阪大学/客員教員 富士榮 尚寛(ふじえ なおひろ) Copyright © 2025, Naohiro Fujie, All Rights Reserved 2
  2. 私たちが望むもの 6 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    国家、管轄、社会システム、業界などを跨いだコミュニケー ションが成立すること Source: SIDI Hub 2024 Strategy
  3. エンティティとアイデンティティの関係性 12 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    出典)@_NAT ZONE https://www.sakimura.org/2011/06/1124/ • エンティティ(主体・実体)は直接 観測できない • アイデンティティ(属性の集合)を 通じて認識・観測する • 自観:提供する属性を通じ、他人に 見てほしい「自己像」 • 他観:提供された属性を通じ、実際 に感じ取った「自己像」 • 提供する相手毎に提供する属性を変 えて「自己像」を形成 (コンテキストの切り替え) 余 談
  4. コンテキスト毎に自己像を構築し、やりとりを行う 13 国 地域 現在の 職場 取引先 出身校 以前の 職場

    家族 XX大学出身 YY社での実績 ⇒採用 ZZ社所属 ⇒取引 XX大学出身 ⇒採用 A県出身 ⇒入寮許可 家族構成 ZZ社所属 ⇒補助金 XX大学出身 ZZ社所属 ⇒結婚 コンテキスト・関係性 余 談
  5. コンテキスト侵害→プライバシー侵害 14 国 地域 現在の 職場 取引先 出身校 以前の 職場

    家族 親戚関係の構造 ⇒労働には無関係 A県出身 XX大学出身 ⇒取引には不要 職場での姿 ⇒家族に知られたく ない? 学生時代の交友関係 ⇒労働には無関係 ◦◦地区出身 ⇒採用には無関係 職場での姿 ⇒家族に知られたく ない? 余 談
  6. コンテキスト侵害→プライバシー侵害 15 国 地域 現在の 職場 取引先 出身校 以前の 職場

    家族 親戚関係の構造 ⇒労働には無関係 A県出身 XX大学出身 ⇒取引には不要 職場での姿 ⇒家族に知られたく ない? 学生時代の交友関係 ⇒労働には無関係 ◦◦地区出身 ⇒採用には無関係 職場での姿 ⇒家族に知られたく ない? コンテキスト毎に自己像を 自身の意思で形成することが 必要 コンテキストごとに識別子を 分けられることが重要 余 談
  7. スキーマ 属性の種類、型 ネームスペース 署名アルゴリズム 署名形式とアルゴリズム クレデンシャルフォーマットにも依存 JSON-LDベース(W3C VC Data Modelなど):Data

    Integrity Proof JSONベース(IETF SD-JWT-VCなど):JSON Web Signature CBORベース(ISO/IEC 18013-5など):COSE 余談)JSON-LDには正規化の課題(一般論として脆弱な実装になりやすい) データモデル(スキーマ、署名アルゴリズム) 17 Copyright © 2025, Naohiro Fujie, All Rights Reserved Technical
  8. 様々な標準化団体による標準化が推進(以下は例) 18 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    Technical 対象 標準化団体 技術仕様等 識別 W3C(World Wide Web Consortium) Decentralized Identifiers(DID) core 認証 FIDO Alliance FIDO2, CTAP W3C(World Wide Web Consortium) WebAuthn アクセス認可 OASIS Open XACML OpenID Foundation AuthZEN API認可 IETF(Internet Engineering Task Force) OAuth2.0 フェデレーション OASIS Open SAML OpenID Foundation OpenID Connect OpenID for Verifiable Credentials クレデンシャルフォーマッ ト、データモデル W3C(World Wide Web Consortium) Verifiable Credentials Data Model IETF(Internet Engineering Task Force) SD-JWT-VC ISO(International Organization for Standardization) ISO 18013-5(mdoc)
  9. OpenID4VC HAIP(High Assurance Interoperability Profile) OpenID Foundation DCP WGが策定 クレデンシャルフォーマット:IETF/SD-JWT-VC、ISO/IEC

    18013-5 トランスポートプロトコル:OpenID for Verifiable Credential Issuance/Presentations トークン発行:Self-Issued OpenID Provider v2 欧州DIWのArchitecture and reference frameworkに採用 JWT VC Presentation Profile Decentralized Identity Foundationが策定 クレデンシャルフォーマット:W3C JWT VC(W3C VC Data Model1.1) トランスポートプロトコル:OpenID for Verifiable Presentations(ID1) トークン発行:Self-Issued OpenID Provider v2 技術プロファイルの例 20 Technical
  10. IAL/AAL/FALの3軸でリスクに応じて採用強度を決定 例)NIST SP800-63-3 25 Copyright © 2025, Naohiro Fujie, All

    Rights Reserved 63A:IAL(Identity Assurance Level) ユーザが申請者(Applicant)として新規登録 (SignUp)する際に、CSP(Credential Service Provider)が行う本人確認 (Identity Proofing)の厳密さ、強度を示す 63B:AAL(Authenticator Assurance Level) 登録済みユーザー(Claimant)がログインす る際の認証プロセス(単要素認証or多要素認 証、認証手段)の強度を示す 63C:FAL(Federation Assurance Level) IDトークンやSAML Assertion等、Assertion のフォーマットやデータやり取りの仕方の強 度を示す Non-Technical
  11. 27 Copyright 2018 OpenID Foundation Japan - All Rights Reserved.

    出典)JICS2013 学認トラストフレームワーク 東京大学 佐藤先生 学生、教職員 大学、機関 電子ジャーナル などのアプリ 国立情報学研究所 (NII)が運営 Non-Technical
  12. 本人確認は身元確認と当人認証より構成される 本人確認と身元確認 36 Copyright © 2025, Naohiro Fujie, All Rights

    Reserved 出典)民間事業者向けの業界横断的なデジタル本人確認のガイドライン/OpenIDファウンデーションジャパン、2023年 https://www.openid.or.jp/news/2023/03/kycwg.html 参考
  13. 主にデジタルクレデンシャルが関係するのは身元確認 デジタルクレデンシャルとの関係性は? 37 Copyright © 2025, Naohiro Fujie, All Rights

    Reserved 出典)民間事業者向けの業界横断的なデジタル本人確認のガイドライン/OpenIDファウンデーションジャパン、2023年 https://www.openid.or.jp/news/2023/03/kycwg.html 参考
  14. 主にResolutionとValidation(NIST定義)で利用される 身元確認プロセスの分解とデジタルクレデンシャル 38 Copyright © 2025, Naohiro Fujie, All Rights

    Reserved Resolution 属性とエビデンス収集 Validation 属性とエビデンスの真正性確認 Verification エビデンスと提示者の同一性確認 出典)NIST SP800-63A https://pages.nist.gov/800-63-3/sp800-63a.html 参考
  15. 一般的な期待事項 OB3はW3C Verifiable Credentials Data Model(W3C VCDM)をベースに 構成されており、グローバル標準に準拠しているため、相互運用性が高い 実はそうでもない OB3では、あくまでデータモデルとしてW3C

    VCDMを利用しているだけ APIはOpen Badges独自で一般的なVCを扱うトランスポートプロトコルとの互換性はない Verifiable Credentialsと一言で言ってもW3C VCDM 1.1(JWT/JSON-LD混在)/2.0 (JSON-LD)、IETF SD-JWT VC、もっと広義ではISO/IEC 18013-5のmdocや anonCreds(Hyperledger)などを含めVCと呼んでしまっているケースがあり、「VCだから 大丈夫」にはならない Open Badges 3.0(OB3)に対する期待と誤解 41 Copyright © 2025, Naohiro Fujie, All Rights Reserved
  16. OB3の標準技術仕様への準拠 識別子(Subject):URL、IRI、DID(Issuer IdentifierはURI、DID) クレデンシャルフォーマット:W3C VCDM 2.0 他のエコシステムとの相互運用性における課題 W3C VCDM 2.0を参照ではなくコピーしている?

    W3CではJSONベースのシリアライズは削除されているがOB3の仕様には残ってしまっている 結果VC DM 2.0準拠といっているが相互運用性がない状態となっている トランスポート(発行・提示)は独自APIベース(Open Badges API) VCを使っているからと言って一般的なIdentity Walletへ格納できるわけではない あくまでOpen Badgesエコシステムの中での標準 Open Badges 3.0と相互運用性 42 Copyright © 2025, Naohiro Fujie, All Rights Reserved
  17. Copyright © 2025, Naohiro Fujie, All Rights Reserved 一般的なVCのトランスポートプロトコル 44

    IssuerからWalletへのVC発行 OpenID for Verifiable Credential Issuance Walletに格納したVCの提示 OpenID for Verifiable Presentations https://openid.net/sg/openid4vc/specifications/
  18. Validation:VPの署名検証、VCの署名検証 Verification:VP Issuer/VC Subjectの一致検証 一般的なVCのValidationとVerification 45 署名検証 HolderとVC Subjectの 同一性検証

    これで検証できるのは、 VCが発行後に改ざんされていないこと VCが発行されたウォレットから移動していないこと のみ。 ウォレットが別の人に操作されていないか等、ウォレットの利 用者が意図した人かどうかは検証できず、VC発行時の ユーザ認証やVC提示前のウォレットのロック解除の仕組み に依存している Copyright © 2025, Naohiro Fujie, All Rights Reserved ※本ドキュメントにおけるValidation/Verificationの用法はNIST SP800-63 をベースとする。ISO9000等における一般的な定義とは異なる点に注意
  19. トランスポート あくまでOBプロトコル(発行系はあるが提示系は存在しない) DCC@MITのLearners WalletプロジェクトではOpenID for VCI/VPを試行 Validation/Verification Validation OB3の仕様としてはスコープ外(W3C VCDMに定義された方式を利用)

    Verification Verifier側で取得した識別子とSubjectのidentityHashの一致を検証 結局はVerifierで検証できる識別子(メールアドレスなど)を渡す必要がある (IdentifierTypeEnumにdidがない) OB3におけるトランスポートとVerification 46 Copyright © 2025, Naohiro Fujie, All Rights Reserved
  20. ID基盤の3つのタイプ Federated:学認など Wallet Based:EU DIWなど API Based:Open Badgesなど 接続パターン Direct

    Proxy/Broker SIDI Hubの相互運用性パターン 47 Copyright © 2025, Naohiro Fujie, All Rights Reserved Federated API Based Wallet Based SIDI Hub(Sustainable and Interoperable Digital Identity Hub): サステイナブルで相互運用性のあるデジタルアイデンティティについて検討する国際コミュニティ
  21. クレデンシャルの段階の例(原本~派生まで) 50 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    現実世界 発行者が直接発行したもの(例:パス ポート) 発行者が直接発行したもの(発行者が 複数発行することが可能なもの。原本と して扱うことができるもの) コピー機等で複写されたもの(例:パス ポートのコピー) 原本の発行者以外の第三者が原本を 元に別途発行したもの(例:「本人確 認済み」のスタンプが押された書類) デジタル世界 電子署名とタイプスタンプを組み合わせ て作成以後改ざんされていないことが証 明できるもの 原本を電子的に複製したもの(原本と 明確な差異はない) 原本の発行者以外の第三者が原本を 元に別途発行したもの
  22. クレデンシャルの段階の例(原本~派生まで) 51 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    現実世界 発行者が直接発行したもの(例:パス ポート) 発行者が直接発行したもの(発行者が 複数発行することが可能なもの。原本と して扱うことができるもの) コピー機等で複写されたもの(例:パス ポートのコピー) 原本の発行者以外の第三者が原本を 元に別途発行したもの(例:「本人確 認済み」のスタンプが押された書類) デジタル世界 電子署名とタイプスタンプを組み合わせ て作成以後改ざんされていないことが証 明できるもの 原本を電子的に複製したもの(原本と 明確な差異はない) 原本の発行者以外の第三者が原本を 元に別途発行したもの 複製(Duplicate) 派生(Derived) 原本(Original)
  23. 全体構成)ゲートウェイアプローチ 54 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    学認LMS (Moodle) OB2VC Gateway 学認IdP Wallet SP Connector Wallet 学認RDM d. Get OpenBadge via API b. SAML Federation b. SAML Federation e. SAML Federation b. SAML Federation a. Sign in to Gateway c. User authentication a. Sign in to GakuNin LMS e. Show and scan QR code f. Store badge as a VC d. Get badge c. User authentication a. Sign in to GakuNin RDM c. User authentication d. Access restricted page f. Show and scan QR code g. Present VP/VC h. Send SAML Assertion(via user agent) i. Get badge information from SAML Assertion • 学認LMSでOBを発行 • 利用者のWalletへOBを埋め込んだVCを発行 • Wallet SPコネクタを経由して学認RDMへVC(OBを含む)を提示
  24. 既存のトラストフレームワークの拡張検討 with NII 55 Copyright © 2025, Naohiro Fujie, All

    Rights Reserved 学術機関 Issuer 認定サービス Verifier ウォレットプロバイダー ウォレットインスタンス 例 在学証明書 Status List プロバイダー 利用者 提供・維持 使用・有効化 参照 登録・維持 発行 提示 参照 トラストリスト プロバイダー 参照 非認定サービス Verifier 例 在学証明書 教育資格基準準拠 教育機関レポジトリー 質評価機関 Trust Framework Qualification Framework 信頼評価機関 評価を実施し、参加エンティティが定められた 基準に準拠して運用していることを担保 教育資格基準 への準拠品質 参加エンティティ運用基準への準拠品質 Framework の保証対象 関連する Framework と そのエンティティ 学術機関 Issuerを 運営する 機関が 定められた 教育資格 基準を 満たすことの 信頼アンカー としてQF を参照 評価を実施し、学術機関が定められた 教育資格基準に準拠していることを担保