20260513 エンタープライズID管理を支えるID関連技術の最新動向

Transcript

1. Copyright OpenID Foundation Japan - All Rights Reserved. エンタープライズID管理を支える ID関連技術の最新動向

   第8回 Okta勉強会 by JOUG 2026/05/13

2. Copyright OpenID Foundation Japan - All Rights Reserved. 目次 •

   プロビジョニング・フェデレーション（SSO）関係 • 本人確認関係 • Agentic AI 関係 テーマ：エンタープライズ ID 管理を支える ID 関連技術の最新動向

3. Copyright OpenID Foundation Japan - All Rights Reserved. 自己紹介 •

   Yuu Kikuchi • @ 株式会社オプティム • 自社サービスの共通認証・ID基盤を立上げ〜運用 • @ OIDF-J • EIWG3、KYC WG 1-7 • エンタープライズID管理や本人確認の調査・検討活 動に参加 • TG40 WG サブWGリーダー

4. Copyright OpenID Foundation Japan - All Rights Reserved. 自己紹介 •

   名古屋 謙彦（なごや よしひこ）/ あよくら @ayokura • @ GMOサイバーセキュリティ byイエラエ株式会社 • デジタルアイデンティティ関連のアドバイザリを含むセ キュリティのアドバイザリ • 社内ネットワークの設計支援等の情シス業務の一部 • @ OIDF-J • 事務局メンバ / TG40WG サブWGリーダー

5. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Foundation

   Japan のご紹介

6. Copyright OpenID Foundation Japan - All Rights Reserved. OpenIDファウンデーション・ジャパンとは？ インターネットにおけるユーザー認証技術である

   「OpenID」技術の国際化を支援するため、 日本国内において「OpenID」技術を普及、啓発 し、 もって社員ならび会員に共有する利益を図ることを 目的とするとともに、その目的に資するため、 事業を行っています！

7. Copyright OpenID Foundation Japan - All Rights Reserved. OIDF-Jの主な活動 ワーキンググループの活動をはじめ、デジタルアイデンティティに関わる内容の普及、

   啓発を行っています。 ワーキンググループ による活動 ▪人材育成推進 WG 　技術調査や調査報告会の実施を通じて、プロフェッショナル人材の 　育成を目的としている。 ▪KYCWG 　本人確認・eKYC の現状の課題の分析を通じて、民間事業者による 　社会実装へつなげていくことを目的としている。 ▪TG40WG 　デジタルアイデンティティ業界の次世代を担うトップガンの育成・成長 イベント開催による 情報発信 ▪OpenID Technight 　技術者・開発者向けのイベント ▪OpenID Bizday 　ビジネス企画者向けのイベント コンテンツによる 情報発信 ▪ホワイトペーパー＆最新情報翻訳 　米国OpenID Foundationが公開しているホワイトペーパーや最新情報の 　日本語訳を実施

8. Copyright OpenID Foundation Japan - All Rights Reserved. OIDF-J 参加企業一覧

   社員企業 会員企業

9. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID TechNight

   vol.23 のご紹介 5/25(月)19:00よりOIDF-J主催でイベントを開催します。 AI×API×Enterpriseの課題や将来の展望等をお話しいただきます。

10. Copyright OpenID Foundation Japan - All Rights Reserved. ご興味のある方は... OIDF-J

    事務局までお問合せください https://www.openid.or.jp/inquiry/

11. Copyright OpenID Foundation Japan - All Rights Reserved. プロビジョニング・フェデレーション（ SSO）関係

12. Copyright OpenID Foundation Japan - All Rights Reserved. フェデレーション（SSO）関係 •

    セキュリティ要求の高度化 • ID連携は認証時にしか機能しないため、認証以降の情報共有が行われない • ID連携の複雑化・相互運用性の課題 • OpenID Connect や SAML 2.0 を設定する場合に、利用可能なパラメーターや 仕様が IdP/RP によって異なっている • SSO に限らず、プロビジョニングや認可制御、セキュリティ情報の連携など多数 の設定が必要・複雑化し、何をすれば最適か判断できない SAML 2.0 / OpenID Connect の利用が一般的となっている中で、新たな課題が発生し てきている

13. Copyright OpenID Foundation Japan - All Rights Reserved. Shared Signals

    Framework シングルサインオン（SSO）は一般的に普及してきたが、認証後の状態変化 を共有（継 続的に確認）する方法は存在していなかった ログインセッション ログイン ログアウト シングル サインオン ユーザーに対するイベント • アカウント情報やパスワードの変更 • アカウントの侵害や不審な動き • etc…

14. Copyright OpenID Foundation Japan - All Rights Reserved. Shared Signals

    Framework • イベントを伝達する方法や表現方法は IETF で策定した Security Event Token (SET) を利用 • SET の利用方法とペイロードを OpenID SSF 仕様にて規定 • OpenID Continuous Access Evaluation Profile：セッション状態やアクセストークンに関する状態を 共有（セッション無効化など） • OpenID RISC Profile: アカウントのライフサイクル変化やリスクインシデントを共有（アカウントの削除 など） OpenID Foundation にて、システム間でセキュリティイベントを共有する方法を標準化 （OpenID Shared Signals Framework） RISC アカウント状態/管理に関するイ ベント Push or Poll Transmitter Receiver CAEP セッション状態/管理に関するイベ ント

15. Copyright OpenID Foundation Japan - All Rights Reserved. Shared Signals

    Framework CAEP で定義されるイベント一覧 イベント名 概要 Session Revoked セッションが無効化（失効）されたことを通知 Token Claims Change トークン内のクレーム（権限や属性等）が変更されたことを通知 Credential Change 認証情報（パスワード等）の変更を通知 Assurance Level Change 認証強度（AAL等）の変化を通知 Device Compliance Change デバイスのコンプライアンス準拠状態の変化を通知 Session Established 新しいセッションが確立されたことを通知 Session Presented セッションが利用・提示されたことを通知 Risk Level Change ユーザー・デバイス等のリスクレベル変化を通知

16. Copyright OpenID Foundation Japan - All Rights Reserved. Shared Signals

    Framework RISC Profile で定義されるイベント一覧 イベント名 概要 Account Credential Change Required アカウントに対して認証情報変更（例：パスワード変更）が強制された Account Purged アカウントが完全削除された Account Disabled アカウントが無効化された Account Enabled アカウントが再有効化された Identifier Changed メールや電話番号など識別子が変更された Identifier Recycled 識別子（メール/電話）が別ユーザーに再割当された Credential Compromise 認証情報（パスワード等）が漏洩・侵害された Opt In RISCイベント共有にユーザーが参加した Opt Out Initiated RISCイベント共有からの離脱が開始された Opt Out Cancelled 離脱操作がキャンセルされ再参加状態に戻った Opt Out Effective RISCイベント共有から正式に離脱した Recovery Activated アカウント回復フローが開始された Recovery Information Changed 回復用情報（メール等）が変更された

17. Copyright OpenID Foundation Japan - All Rights Reserved. Shared Signals

    Framework { "iss": "https://idp.example.com/", "jti": "756E69717565206964656E746966696572", "iat": 1508184845, "aud": "636C69656E745F6964", "sub_id": { "format": "email", "email": "[email protected]" }, "events": { "https://schemas.openid.net/secevent/risc/event-type/iden tifier-changed": { "new-value": "[email protected]" } } } { "iss": "https://idp.example.com/3456789/", "jti": "07efd930f0977e4fcc1149a733ce7f78", "iat": 1615305159, "aud": "https://sp.example2.net/caep", "txn": "8675309", "sub_id": { "format": "iss_sub", "iss": "https://idp.example.com/3456789/", "sub": "[email protected]" }, "events": { "https://schemas.openid.net/secevent/caep/event-type/credential-chang e": { "credential_type": "fido2-roaming", "change_type": "create", "fido2_aaguid": "accced6a-63f5-490a-9eea-e59bc1896cfc", "friendly_name": "Jane's USB authenticator", "initiating_entity": "user", "reason_admin": { "en": "User self-enrollment" }, "event_timestamp": 1615304991 } } } 通知される JWT ペイロード例 RISC (Identifier Change) CAEP (New FIDO2 authenticator)

18. Copyright OpenID Foundation Japan - All Rights Reserved. IPSIE •

    エンタープライズでのユースケースにおいて、ID連携に関するプロトコルの「オプショ ナル」をどのように扱うかが IdP/RP によって異なり、相互運用の阻害要因となって いる • 得たい保証レベル感に応じて、既存仕様のプロファイル（何の仕様をどのオプション で利用するか）を定義し、セキュアにつながる状態の実現を目指している • 現状は IPSIE レベルとして、以下のレベルを検討中の模様 • Session Lifecycle (SL) 1/2/3 • Account Lifecycle (AL) 1/2/3 エンタープライズユースケースにおいて、相互運用性を高めるためのプロファイル を策 定中

19. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認関係

20. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認に関する基礎知識 •

    身元確認：実在性 = その人が存在するかの確認 • 当人認証：当人性 = 登録されている人と同じ人かの確認 本人確認は「身元確認」と「当人認証」によって構成される 出典：「行政手続等で本人確認におけるデジタルアイデンティティ取扱いに関するガイドライン (DS-511)」 （デジタル庁） 図 2-1 身元確認と当人認証概念図

21. Copyright OpenID Foundation Japan - All Rights Reserved. 身元確認に関する基礎知識 身元確認は「本人確認書類の検証

    」と「申請者の検証 」の組み合わせによって 実施される 出典：「行政手続等で本人確認におけるデジタルアイデンティティ取扱いに関するガイドライン (DS-511)」 （デジタル庁） 図 3-1 身元確認プロセス全体像

22. Copyright OpenID Foundation Japan - All Rights Reserved. 身元確認のトレンド •

    本人確認書類 • 偽装書類の精度向上 • 申請者の検証 • 偽装書類の精度向上に伴う 目視確認の精度低下 • ディープフェイク による攻撃 者へのなりすまし 近年の犯罪傾向に基づいて、ICチップまたは電子証明書を利用する方法に収斂しつつ ある 出典：「民間事業者向けデジタル本人確認ガイドライン 第1.2版 本人確認手法編」 （OIDF-J）

23. Copyright OpenID Foundation Japan - All Rights Reserved. 宣伝 本人確認の手法をまとめたガイドラインを出版しています

    https://www.openid.or.jp/news/2026/02/-12.html

24. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認に関する技術トレンド •

    OpenID Connect で提供する属性情報に対 して、「誰が」「どのように」「いつ」「何を基 に」確認したかを、メタデータとして付与 • 認証要求（RP → OP） • claims パラメータ or scope 値 を利用 して、必要な属性や本人確認に関する 情報を要求 • 認証応答（OP → RP） • UserInfo エンドポイント or ID Token の claim として返却 OpenID Connect for Identity Assurance : OpenID Connect の仕組みを使い、本人確認済みの情報を連携するための仕様

25. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認に関する技術トレンド •

    VC (Verifiable Credentials) と呼ばれる証明書を Wallet と呼ばれるアプリに格納 し、必要な情報を検証可能な形で提示する仕組み • プライバシー保護や身元確認の簡易化・迅速化の観点で、世界中から注目されて いる • EU においては、eIDAS 2.0 規則に基づいて EU Digital Identity Wallet (EUDIW) の導入が推進中 • 日本国内では、マイナンバーカード利活用事例として、在学資格証明デジタル化 実証実験などが実施 デジタルアイデンティティウォレット ：個人の身分証明書や資格、属性情報などを、ス マートフォンなどでユーザー自身が管理・提示できるようにする仕組み

26. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認に関する技術トレンド https://developer.apple.com/jp/wallet/get-started-

    with-verify-with-wallet/ より Verify with Wallet W3C Digital Credentials API https://developer.chrome.com/blog/digital-credenti als-api-origin-trial?hl=ja より

27. Copyright OpenID Foundation Japan - All Rights Reserved. 本人確認に関する技術トレンド •

    OpenID for Verifiable Credential Issurance • Wallet に対して VC を発行するための仕様 • OpenID for Verifiable Presentations • Holder から Verifier に対して VC を提示・検証を行うための仕様 デジタルアイデンティティウォレットの発行・検証に利用するプロトコルを OpenID Foundation でも策定中 https://developer.chrome.com/blog/digital-credentials-api-origin-trial?hl=ja より

28. Copyright OpenID Foundation Japan - All Rights Reserved. Agentic AI

    関係

29. Copyright OpenID Foundation Japan - All Rights Reserved. AI Agent

    • 生成AIは、検索・要約・相談・コード補助の道具として広がった • いまは、会議ツール、メール・カレンダー・チケット・コードなど、外部ツール・サービス とつながり始めている • つながることで、AIは「情報を返す」だけでなく、「人間の代わりに処理する」存在と なっている • そのとき問われるのは、 このAI Agentは、誰の代理として、どの権限で、どこまで動いてよいのか？ AI Agentは「話し相手」から「実行主体」へ と変化 →誰かの代理として、人間の代わりに処理

30. Copyright OpenID Foundation Japan - All Rights Reserved. ID運用から見たAI Agentの現在地

    AI Agentの行為は、まだ一貫した “主体”として見えていない • ユーザー本人の権限・セッション・OAuth grant・APIキーを使って動く • ログ上は「ユーザー」「アプリ」「サービスアカウント」に見える • Agentの意図・判断・目的までは見えにくい • 問題は、AIが突然強い権限を持つことではなく、既存の権限を高速・横断的に使うこと パターン ID管理側からの見え方 問題 Copilot/Gemini等のテナント内データ参照 ユーザー本人の既存権限で検索・要約 最小権限違反（過剰な共有・過剰な権限）がより明確な問題に OAuthでのコネクタ ユーザーがアプリ/Agent/connectorにgrantしたscopeで実行 scopeは広いことも多く、 「この具体的タスクを許可したか」までは見えにくい Agent用サービスアカウント 非人間ID・サービスプリンシパルとして見える 権限が広くなりがち。誰の依頼で動いたかが曖昧になりやすい ブラウザ/デスクトップ操作型 ユーザーのログイン済みセッションをそのまま利用 監査上ほぼ「本人操作」に見える

31. Copyright OpenID Foundation Japan - All Rights Reserved. AI AgentのIdentityや認可をめぐる検討

    団体・枠組み 主な関心 扱っているレイヤー NIST AI Agentの安全性・セキュリティ・相互運用性に関する 標準化課題の整理 公的な標準化・リスク管理・評価観点 IETF （OAuth WG / WIMSE WG等） OAuth等による委任・認可、workload / NHI の識別 認証・認可プロトコル、workload identity MCP Agentがツール・リソースへアクセスする認可モデル Agent-to-tool のアクセス境界 Linux Foundation（A2A） Agent同士の発見・相互運用・通信 Agent-to-Agent の相互運用・信頼境界 OpenID Foundation Agent identity、委任、監査、OAuth / MCP / SCIM / SSF な ど既存標準との接続 ID管理・ガバナンス全体の整理など Copyright OpenID Foundation Japan - All Rights Reserved. 標準化・仕様・公的ガイドラインの複数レイヤーで議論が進んでいる 共通する問い： Agentをどう識別し、誰／何の権限・責任範囲で、どのリソース・操作まで許可するか

32. Copyright OpenID Foundation Japan - All Rights Reserved. Agentic AIのためのアイデンティティ管理

    従来のヒトを前提としたアクセスマネジメント技術の適用限界、AIエー ジェントの企業導入に向けて2025年10月の時点で考え得る実装方法 と、将来を見据えた信頼できるインフラ構築に必要な考慮事項、解決 案、現在の議論方向性などを示している • Agentを「ユーザー本人」と混同せず、独立した管理対象とすべき • 人間・Agent・ツール・実行環境・委任関係を分けて考えるべき • OAuth, MCP, SCIM, SSF など既存標準との接続を重視 • 論点は、認証だけでなく、委任・最小権限・失効・監査まで広がる 「Agentを識別できなければ、認可も監査も成立しない。」 AIエージェントの急速な普及に伴い顕在化する、認証・認可・ID管理における喫緊の課 題をまとめたOIDFのホワイトペーパー（2025年10月時点） https://www.openid.or.jp/news/2025/11/identity-management-for-agentic-ai.html

33. Copyright OpenID Foundation Japan - All Rights Reserved.