Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第八大陸:サイバー大陸の発見とデジタル・アイデンティティ / The 8th Continent: Discovery of the Cyber Continent and Digital Identity

第八大陸:サイバー大陸の発見とデジタル・アイデンティティ / The 8th Continent: Discovery of the Cyber Continent and Digital Identity

LINE Developers

May 29, 2019
Tweet

More Decks by LINE Developers

Other Decks in Technology

Transcript

  1. 第⼋⼤陸:サイバー⼤陸の発⾒とデジタル・アイデンティティ The 8th Continent: Discovery of Cyber Continent and Digital

    Identity Nat Sakimura (@_nat_en) Research Fellow, Nomura Research Institute Chairman of the board, OpenID Foundation www.kuppingercole.com _nat_en https://nat.Sakimura.org/youtube.php https://www.linkedin.com/in/natsakimura https://nat.sakimura.org © 2019 by Nat Sakimura.
  2. We have gone through several phases of industrial revolutions u

    1765: 1st industrial revolution u Coal, Steam Engine, Iron u 1870: 2nd industrial revolution u Oil, Electricity, Steel u 1969: 3rd industrial revolution u PLC, Automation u 1993: 4th industrial revolution u The internet, Mobile Network, PC, IoT, AI
  3. We spend so much time in the new ”space” 4

    (出所)総務省情報通信⽩書H.30年版、およびe-Statより筆者作成 15% 44% 9% 32% Time distribution of a Japanese in 20s Internet Work TV Others
  4. 第⼋⼤陸は⾼成⻑ The growth rate of the 8th continent is high

    6 -5% 0% 5% 10% 15% 20% 2011 2012 2013 2014 2015 2016 2017 B2C市場の成⻑率 EC市場 全体 (出所)経産省ニュースリリース(2018/4/30)「電⼦商取引に関する市場調査の結果 を取りまとめました」をもとに筆者
  5. DBS’s income from Digitial increasing rapidly 7 SME businesses in

    Singapore and Hong Kong (after neutralising the impact of net interest margin changes) improved one percentage point a year since 2015 to 45% in 2018. Digital segment continues to be material • Increasing share of customers, income, Digital segment continues to be valuable • Sustained higher income per customer, lower CIR Overall Consumer and SME (SG, HK) contribute 46% of Group income Income per customer (SGD ’000) 1.4 1.3 Cost-income ratio (%) 34 36 Return on equity (%) 32 27 58 40 55 35 57 36 54 34 18pp 20pp 20pp 22pp Delta D T Digital • 27% YoY • 32% ROE 63% (2017) 68% (2018) Traditional • (1)% YoY • 23% ROE 46% • 17% YoY • 29% ROE Cost-income ratio (%) Digital (D) vs Traditional (T) 2018 income (Source) P.23 of DBS Annual Report (2018)
  6. 10

  7. 13 Real Name Professional qualification department Geo-location Employee number Entity

    Authenticated Identity Authentication Server Provides claims username password Geo-location Device info Etc. Identity Register Verification (authentication)
  8. 14 (source)Created by the author based on ISO/IEC 24760-1 Identity

    management framework: Part1 Unknown※ Established Active Archived Suspended suspend reactivate maintain delete archive activate adjust register Re-establish delete Identity Management
  9. 15 Real Name Professional qualification department Geo-location Employee number Entity

    Authenticated Identity Authentication Server Provides claims username password Geo-location Device info Etc. Identity Register Verification (AuthN)
  10. Authenticated Identity is used for Attribute Based Access Control (ABAC)

    u Note: RBAC and IBAC is a special case of ABAC Real Name Professional qualification department Geo- location Employee number Entity Authenticated Identity Authentication Server Provides Claims username password Geo-location Device info Etc. Identity Register AuthN Log Audit Anomaly Detection Resource Policy PAP PDP PEP metadata PEP2 Admin
  11. III. プライバシーの尊重 プライバシーの尊重の根底にあるのは⼈権規定であり、そこを根幹において対策をする必要がある。 護るべきは⼈権でありデータではない。(データ保護は単なる⼿段。) 欧州⼈権条約第8条(1950) •(1)すべての者は、その私⽣活、家族⽣活、住居および通信の尊重を受ける権利を有する。 •(2)この権利の⾏使に対しては、法律に基づき、かつ国の安全、公共の安全もしくは国の経済的福利のため、混乱もしくは犯罪の防⽌のため、 健康もしくは道徳の保護のため、または他者の権利および⾃由の保護のため⺠主的社会において必要な場合以外、公的機関による⼲渉があっ てはならない。 •(出所)総務省「プライバシー保護に関する先進諸外国の対応状況」

    ⽇本国憲法13条「幸福追求権」にもとづくプライバシー権(1964) •すべて国⺠は、個⼈として尊重される。⽣命、⾃由及び幸福追求に対する国⺠の権利については、公共の福祉に反しない限り、⽴法その他の 国政の上で、最⼤の尊重を必要とする。 •→ 宴の後事件(1964):東京地裁が憲法13条に基づくプライバシーの権利を認め、それが侵されたときは⺠法709条による損害賠償請 求ができるとした。 ⽶国プライバシー権利章典(2012) •個⼈毎のコントロール:消費者は、どのような個⼈情報を組織が収集し、どのように使うかということにに対して、コントロールする権利を 持っている。
  12. III. プライバシーの尊重 (原⽂:Good relationship keeps us happier and healthier) 1)社会とのつながりは⾮常に良い影響を与える

    2)⾝近な⼈たちとの関係の質が重要 3)良い関係は体だけでなく脳を守る (出所)ロバート・ウォールディンガー「⼈⽣を幸せにするのは何? 最も⻑期に渡る幸福の研究から」TEDxBeaconStreet (参考)Waldinger, R.J., & Schulz, M.S. (2010). Whatʼs love got to do with it? Social functioning, perceived health, and daily happiness in married octogenerians, Psychology and Aging 25, 422-431. 「私達を幸福に健康にするものは、良い⼈間関係 に尽きる。」 (Robert Waldinger)
  13. III. プライバシーの尊重 u ※ Entity – Identity Model われわれは実体を直接観測できず、様々な属性を観測してその実体を推測している※。 関係性を築くために、⼈は⾃らの様々な属性を選択的に提⽰して⾏っている

    実体 (Entity) ⾃⼰像 (Identity) ⾃⼰像 (Identity) 誕⽣⽇ 性別 メアド ⾝⻑ 呼び名 恋⼈ 性別 ⾝⻑ 本名 社員番号 住所 他観 他観 ⾃観 ⾃観 ⾃観と他観のずれ =対⼈関係の悩み ⾃観と他観のずれ =対⼈関係の悩み 住所 資格 役職 実績 関係性 関係性 コンテキスト コンテキスト
  14. … and in the 8th Continent, we do this through

    authenticated identity 21 Real Name Professional qualification department Geo-location Employee number Entity Authenticated Identity Authentication Server Provides claims username password Geo-location Device info Etc. Identity Register Verification (authentication)
  15. 25 Real Name Professional qualification department Geo-location Employee number Entity

    Authenticated Identity Authentication Server Provides claims username password Geo-location Device info Etc. Identity Register Verification (authentication)
  16. MIT’s CTSS system (1961) used LOGIN & PASSWORD – An

    example of individual password 26 (Source) http://en.wikipedia.org/wiki/IBM_7090#mediaviewer/File:IBM_7094_console2.agr.JPG
  17. 29

  18. Federated identity 31 Service 1 Service 2 Service N IdP

    IR Password etc. ID Token ID Token for S1 ID Token for S2
  19. 32 OpenID Authentication 2.0 (key=value) 2002 2005 2014 2012 SAML

    2.0 (XML, XML SIG, SOAP) SAML 1.0 2007 OAuth 1.0 (Key=value) Dave Recordon (Facebook)
  20. 34

  21. 35

  22. 36

  23. 37

  24. 38

  25. 39

  26. Early design decisions: 1. No canonicalization 2. ASCII Armoring 3.

    JSON 4. REST 41 JSON Simple Signature (JSS) & Encryption (JSE)
  27. Then, there was a parallel work Magic Signature & JSON

    Token 42 John Panzer Dirk Balfanz
  28. And there came Mike Jones u “You guys should come

    together and standardize it at IETF. Don’t worry. I can take care of the editing!” 43 JSON Simple Signature (JSS) & Encryption (JSE) Magic Signature & JSON Tokens JWx
  29. Early design decisions: 1. No canonicalization 2. ASCII Armoring 3.

    JSON 4. REST 5. JWx 45 Dick Hardt Allen Tom
  30. Early design decisions: 1. No canonicalization 2. ASCII Armoring 3.

    JSON 4. REST 5. JWx 6. Base on OAuth WRAP 46 2.0 Dick Hardt Allen Tom
  31. 47 OAuth 2.0 OpenID Authentication 2.0 (key=value) 2002 2005 2012

    SAML 2.0 (XML, XML SIG, SOAP) SAML 1.0 2007 2014 OpenID Connect (JSON, JWS, REST) OAuth 1.0
  32. That is perfectly fit for modern identity and access control

    frameworks Real Name Professional qualification department Geo- location Employee number Entity Authenticated Identity Authentication Server Provides Claims username password Geo-location Device info Etc. Identity Register AuthN Log Audit Anomaly Detection Resource Policy PAP PDP PEP metadata PEP2 Admin ID Token
  33. Over 90% of Azure AD App Authentication are Over OpenID

    Connect as of April 2018 53 Alex Simmons at EIC 2018
  34. 55 & Mutual signature protocol – conceived as a mechanism

    to achieve “Contract Exchange (CX)”, which is the original use case for OIDC.
  35. “Too Complex. Nobody is going to use it!” It was

    quite unpopular during the drafting.
  36. what about in the case of entering a binding contractual

    relationship like payment? 57 … but
  37. 58 It is now being used as the foundation of

    OpenID Financial-grade API (FAPI) Security Profile https://www.openbanking.org.uk/provider-categories/account-providers/ ABN AMRO Bank NV AIB Group (UK) plc Bank of Cyprus UK Ltd Bank of Ireland (UK) Plc Bank of Scotland plc Barclays Bank Plc Clydesdale Bank PLC HSBC UK Bank Plc ICBC (London) plc Lloyds Bank PLC etc…
  38. 59

  39. Self-issued OP – Never taken away 63 HOSTED ON YOUR

    LOCAL MACHINE. NO NEED FOR IDP DISCOVERY BECAUSE IT IS LOCAL. USER IDENTIFIER IS THE HASH OF THE PUBLIC KEY GENERATED BY THE SOFTWARE.
  40. Challenges that “Self Hosted” IdPs are facing 64 u Establishing

    trust in Keys used in the past. u Key recovery (esp. for Self-Issued OP) u RPs are not accepting it. u To date, my own services are pretty much the RPs that is accepting my own IdP. u Could I login to my PC/Mac/Phone with it?
  41. 65

  42. 67

  43. 68

  44. Granular Claims Request and Consent Management 69 “policy_uri” etc. are

    defined in OpenID Connect Dynamic Registration 1.0
  45. Claims request model specified in 5.5 of OIDC • Allows

    granular specification of claims for “Collection Minimization” • Can mark “essential” • Forms the basis for cosent management system in conjunction with claims: • “usage policy (policy_uri)” and • “ToS (tos_uri)” registered during the client registration. 70
  46. Note that policy_uri and tos_uri is bound to the client

    and not to the authorization request. 72 u This makes revoking of the consent easy. u Just revoke the authorization to the client. i.e. Exiting OAuth mechanism works.
  47. Aggregated claims 75 Signed Claims (Token) Signed Claims (Token) ID

    Token IdP Claims Provider Claims Provider Client Claims are Verifiable
  48. An example of on- going activities on the claims-set 49

    u Minimum Viable eKYC Framework (eID/KYC Expert Group @ EC)
  49. O2O: Online Authentication for Offline Transaction -- CIBA: Client Initiated

    Backchannel Authentication u Use-case 1: Customer authentication @ Call centers 78
  50. O2O: Online Authentication for Offline Transaction -- CIBA: Client Initiated

    Backchannel Authentication u Use-case 2: IoT including Smart Speakers 79
  51. O2O: Online Authentication for Offline Transaction -- CIBA: Client Initiated

    Backchannel Authentication u Use-case 3: Payment at PoS 80
  52. Map of the 8th Continent 82 State of Apple Church

    Republic of Google Facebook Kingdom Microsoft Empire eIDAS Union 2.3 B 2.2 B 0.7 B 1.2 B 0.22 B 0.35 B 1 B IndiaStac kdom 1 B Smaller Nations
  53. Free Flow of Data with Trust u By 2025, Data

    Economy will form 5.4% of GDP. u By just removing the regulations barring free movement of non-personal data, it is estimated that it could generate up to €8 billion in GDP a year u 2014: 56 Laws forced data localization u 2020: ZERO laws. 84
  54. “ ” Electronic identification (eID) and electronic Trust Services (eTS)

    are key enablers for secure cross-border electronic transactions and central building blocks of the Digital Single Market. (SOURCE) HTTPS://EC.EUROPA.EU/DIGITAL-SINGLE-MARK ET/EN/TRUST-SERVIC ES-AND-EID 85 Free Flow of Data with Trust
  55. 86 eIDAS regulation contents Trust Services eIM electronic Identification Means

    Seal Certificates Signature Certificates Website authenticati on Certificates Signature Creation Services Signature Validation Services Time stamping Services Electronic delivery Services Preservation Services Qualified Seal Certificates Qualified Signature Certificates Qualified Website authenticati on Certificates Qualified Signature Validation Service Qualified Time stamping Services Qualified Electronic delivery Services Qualified Preservation Services Indirectly related to personal identity Directly related to personal identity (Source) Wim Coulier: Using eIDAS to drive mass adoption of identity solutions (2019)
  56. 洋務運動 (1861 - 1890年代前半) u 「中学」を「体」となし「西学」を「用」となす 「中体西用」論 u 曾國藩、李鴻章 ~

    洋務派 u 西洋諸国の進んだ技術の導入に主眼 既存の体制を維持したまま、 最新の技術をツールとして導入 。
  57. 北洋艦隊(北洋水師) • 1888年、李鴻章により設 立。 • 当時東洋一の規模、 最新式の軍艦を擁す。 • 甲申政変や長崎事件での 日本の敗北の背景にも。

    甲申政変 1884年(明治17年)12月 • 立憲君主派と国王によるクーデター。国王につい ていた日本軍の抵抗むなしく、清軍により、わず か3日で鎮圧。 • 日本人居留民、特に婦女子30余名は清兵に陵辱さ れ虐殺 • 開化派人士や、幼児等も含むその近親者への残酷 な処刑 長崎事件 1886年(明治19年) 8月 • 定遠、鎮遠、済遠、威遠の四隻の軍艦が長崎港に 入港 • 500人からなる清国水兵が乱暴狼藉開始、警察官 と清国水兵が双方抜刀して市街戦に発展etc. • 事件の当事者については所属国の法律により処分 、また撫恤料として日本からは52500円、清国か ら15500円を支出
  58. • 総理海軍事務衙門が海軍を統括→ 頤和園建造に予算転用、北洋艦隊 は設備更新や艦隊新規購入が出来 ず老朽化、日清戦争で大敗 • 生産管理方式は清朝の官僚主義に 基づく旧来型 • 官需のみなので、採算度外視、資

    本蓄積できず衰退 • エリート教育 • 民衆の底上げ効果は? 北洋艦隊 軍事工場 教育事業 Photo: Foochow arsenal in Mawei, PD (画像)鎮遠 パブリック・ドメイン (画像)総理衙⾨(パブリック・ドメイン)
  59. 「藩」なんて 無かった。 あったのは多 数の「國」 (出所) Wikimediaコモンズ「 Ancient Japan Provinces Map

    in Japanese Kanji」 https://commons.wikimedia.org/wiki/File:Ancient_Japan_provinces_map_jap anese.gif CC-BY
  60. 教育制度 | Education System • 1871年(明治4年):⽂部省設置(⼤学ヲ廃シ⽂部省ヲ置ク。) • 1872年(明治5年):学制公布 • 1886年(明治19年):学校令公布

    ← 義務教育 一般国民にまで広く門戸 を開いた、全国一律の教 育制度:義務教育 女子教育の推進 森有礼 (出所) Wikipedia パブリック・ドメイン
  61. 郵便制度 u 1871年に一連の太政官布告、郵便制度が開始される。 u 東京〜京都〜大阪間62箇所の郵便役所・郵便取扱所で官吏が引き受け・ 管理を行い、配送時間は厳守 u 1890年には電話を開始。 144 78

    ⾶脚 郵便 東京〜⼤阪(時間) 東京〜⼤阪(時間) ほぼ半分 (出所)Wikipedia『郵便』をもとに、NRI (画像)日本近代郵便の父・ 前島密の肖像を使った1円切手 パブリック・ドメイン
  62. その結果… 1895 • 日清戦争〜台湾・遼東の割譲+2億両の賠償金 1898 • 膠州湾租借(ドイツ) • 旅順、大連租借(ロシア) •

    九龍半島、香港、威海衛租借(英国) 1899 • 広州湾租借(フランス) 列強による分割と亡国
  63. electronic delivery service central registers and ELAK- Backoffice Help.gv portal

    (出所)Rupp, C.:E-Government in Austria (2009)
  64. delivering documents is key for eGovernment a consistent model of

    electronic delivery has to complete such effort Application independent electronic delivery Official signatures serve to facilitate recognition of the fact that a document originates from an authority. electronic documents need the potential for being authentic - even if printed on paper such documents shall keep validity (出所)Rupp, C.:E-Government in Austria (2009)
  65. 技術的要件 p 主たる顧客窓口はデジタルチャネル(Web, App, etc.)。 p これらチャネルは計測可能で、継続的に改善可能。 p やり取りは、構造化されたデータとしてモデル化されてやってく る。

    p 構造化されたデータは、複数組み合わせて自動処理可能。 p 人工知能との組合せで、これまで知られていなかったことの発見と効率 化も。 p シミュレーションによって、実際にやらないでも結果を出せる。 p 工場にデータをダウンロードして、新製品の製造を開始…etc. p その結果返されたデータは、受け取った側(人・組織)でも有効 活用可能。 p 組織をまたがったデータの流れと処理が加速。
  66. 29867 32486 35343 37045 37675 40107 40997 42390 43332 43603

    43724 43771 49866 50855 50962 51351 52114 52888 55805 0 10000 20000 30000 40000 50000 60000 27. イタリア 26.⽇本 25. イスラエル 23. ニュージーランド 22. フランス 21. ベルギー 20. ドイツ 18. ⾹港 17. カナダ 16. オランダ 15. オーストリア 14. イギリス 12. スウェーデン 11. アイスランド 10. オーストラリア 9. アイルランド 8. デンマーク 7. シンガポール 6. アメリカ 2015年⼀⼈あたりGDP (単位: USD) (出所)世界経済のネタ帳(http://ecodb.net/)を元にNRI