Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260515 ログイン機能だけではないアカウント管理を全体で考える~サービス設計者向け~

Avatar for OpenID Foundation Japan OpenID Foundation Japan
May 15, 2026
Technology
0
0

20260515 ログイン機能だけではないアカウント管理を全体で考える~サービス設計者向け~

【TG40WG 外部登壇資料】
2026/05/15 しろおびセキュリティ 第2回Shirosec デジタルアイデンティティ編

ログイン機能だけではないアカウント管理を全体で考える ~サービス設計者向け~
OIDF-J TG40 ワーキンググループ
持田 捷宏

Avatar for OpenID Foundation Japan

OpenID Foundation Japan

May 15, 2026

More Decks by OpenID Foundation Japan

See All by OpenID Foundation Japan
20260515 OpenIDファウンデーション・ジャパンご紹介
Avatar for OpenID Foundation Japan oidfj
0
88
20260515 ⾃分のアカウントとプライバシーを守る認証と認可の話〜利⽤者向け〜
Avatar for OpenID Foundation Japan oidfj
0
1
20260515 ID管理は会社を守る大切な砦!〜🔰情シス向け〜
Avatar for OpenID Foundation Japan oidfj
0
0
20260513 エンタープライズID管理を支えるID関連技術の最新動向
Avatar for OpenID Foundation Japan oidfj
0
5
20260311 技術SWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
520
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
500
次世代KYC分科会 活動報告 OpenID Connect for Identity Assurance Basic Profile with Scopes and Userinfoについて
Avatar for OpenID Foundation Japan oidfj
0
320
20260220 OpenIDファウンデーション・ジャパン ご紹介 / 20260220 OpenID Foundation Japan Intro
Avatar for OpenID Foundation Japan oidfj
0
320
NIST SP800-63-4 アップデート内容と関連動向について
Avatar for OpenID Foundation Japan oidfj
0
310

Other Decks in Technology

See All in Technology
世界の中心でApp Runnerを叫ぶ FINAL
Avatar for つくぼし tsukuboshi
0
260
ServiceによるKubernetes通信制御ーClusterIPを例に
Avatar for 周学勤(Zhou Xueqin) miku01
1
160
The 7 pitfalls of AI
Avatar for Uwe Friedrichsen ufried
0
210
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
15
100k
Digital Independence: Why, When and How
Avatar for Wannes Rams wannesrams
0
310
新卒エンジニア研修、ハンズオンの設計における課題と実践知/ #tachikawaany
Avatar for Ichiro Nishiuma nishiuma
2
150
React 19×Rustツール 進化の「ズレ」を設計で埋める
Avatar for Hayashi Takao remrem0090
1
110
ワールドカフェ再び、そしてゴール・ルール・ロール・ツール / World Café Revisited, and the Goals-Rules-Roles-Tools
Avatar for Kenji Saito ks91
PRO
0
150
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.6k
エンタープライズの厳格な制約を開発者に意識させない:クラウドネイティブ開発基盤設計/cloudnative-kaigi-golden-path
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
400
20260516_SecJAWS_Days
Avatar for Takuya Yonezawa takuyay0ne
2
320
ボトムアップ限界を越える - 20チームを束る "Drive Map" / Beyond Bottom-Up: A 'Drive Map' for 20 Teams
Avatar for 株式会社カオナビ kaonavi
0
190

Featured

See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.5k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.9k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
920
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
110
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
290
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k

Transcript

  1. Copyright OpenID Foundation Japan - All Rights Reserved. 2026年05⽉15⽇ 持⽥

    捷宏 しろおびセキュリティ #2 ログイン機能だけではない アカウント管理を全体で考える 〜サービス設計者向け〜

  2. Copyright OpenID Foundation Japan - All Rights Reserved. ⾃⼰紹介 持⽥

    捷宏(LINEヤフー株式会社) ‧OpenID の次世代を担うリーダーの育成‧成⻑ ‧学⽣や初⼼者に対する OpenID の裾野拡⼤ をミッションとした OpenIDファウンデーション‧ジャパン トップガン ア ンダー40WG で活動中。 OIDF-Jでの活動を通じてデジタルアイデンティティ領 域全般に関する知⾒を深めています。

  3. Copyright OpenID Foundation Japan - All Rights Reserved. セッションの⽬的 サービスの信頼基盤となる

    アカウント管理のあり⽅を再認識する ターゲット お客様向けWebアプリケーションのア カウント管理を担当されている⽅ (サービス設計者) ゴール アカウントを「点」ではなく「⾯」で 捉えて設計する重要さを理解する ログインはアカウント管理の⼀部に過ぎない

  4. Copyright OpenID Foundation Japan - All Rights Reserved. アジェンダ 01アカウントが乗っ取られると何が起きるのか

    02なぜログインを強化しても被害はなくならないのか 03アカウント管理には何が求められるのか 04それを実現する仕組み‧技術 ※全てをお話しできていません。アカウント管理のセキュリティに関する導⼊として参考にしていただけると幸いです。

  5. Copyright OpenID Foundation Japan - All Rights Reserved. なりすまし SNSで意図しない投稿を

    される 信⽤の喪失 ⻑年積み上げた信⽤が⼀ 瞬で失われる 意図しない⾼額な商品を 購⼊される ⾦銭的被害 サービス提供者視点 お客様視点 お客様視点 アカウント:お客様⾃⾝の⾏為を担うデジタル上の存在でありお客様⾃⾝の⼀部 アカウントが乗っ取られると何が起きるのか アカウントは「ただのログイン情報」ではなく ⾃分⾃⾝の⼀部そのもの 01

  6. Copyright OpenID Foundation Japan - All Rights Reserved. 深刻化する脅威 インターネット取引における

    不正アクセス等防⽌に向けたガイドライン ① フィッシングに耐性のある多要素認証の実装及び必須化 ログイン時、出⾦時、出⾦先銀⾏⼝座の変更時など、重要な操作時 3におけるフィッシングに耐性のある多要素認証4(例:パスキーに よる認証、PKI(公開鍵基盤)をベースとした認証)の実装及び必 須化(デフォルトとして設定)する。 なお、内外の環境変化や事故‧事件の発⽣状況を踏まえ、定期的か つ適時にリスクを認識‧評価し、必要に応じて認証⽅式等の⾒直し を⾏うこと。 証券⼝座不正取引等の発⽣報告件数の推移 出典1:警察庁サイバー警察局 「令和7年におけるサイバー空間をめぐる脅威の情勢等について」 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf 出典2:日本証券業協会「インターネット取引における不正アクセス等防止に向けたガイドライン」 https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/files/20251015_internetgl.pdf フィッシングを起点とした不正アクセス被害拡⼤ 02

  7. Copyright OpenID Foundation Japan - All Rights Reserved. 変化するログイン⽅法 ログインの強化は⽋かせない

    不正トレンドの変化 不正アクセス⽅法は多様化‧⾼度化し続けている • リスト型 • フィッシング 対策の進化 関連してログイン⽅法も変化している • パスワード • パスワードレス • パスキー 02

  8. Copyright OpenID Foundation Japan - All Rights Reserved. 意図しない振る舞いがあったら… 対策はあるか

    • ログイン試⾏の制限 • セッション無効化 ログイン中の監視が不⼗分だと… ログインだけではないアカウントの守り⽅ なぜログインを強化しているのに 被害はなくならないのでしょうか • 意図しない振る舞いがあっても気づ けない • 気付けないと対応ができない 03

  9. Copyright OpenID Foundation Japan - All Rights Reserved. 1. ログイン

    2. 異常発⽣ 短時間での多数のログイ ンや、通常と異なる地域 からのログインなど普段 とは異なる振る舞いが発 ⽣ 3. 検知 お客様への通知、ロギン グ、サービス監視など、異 常を検知する仕組みが不 ⼗分だと守れない 4. 制御 ログイン試⾏の制限や セッション無効化など、 アカウントを制御できる 仕組みができないと守れ ない アカウント管理全体での設計 • 認証 アカウントの持ち主であ ることの確認 • セッション開始 認証状態を保ったまま サービスを使い続けられ る状態の開始 検知‧制御等含めた全体設計こそ不可⽋である 03

  10. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ ログインはアカウント管理の⼀部に過ぎない

    アカウント管理全体を意識した設計が必要 アカウントの重要性 • アカウント お客様⾃⾝の⾏為を担うデジタル上 の存在であり、お客様⾃⾝の⼀部 守られないと... アカウントの持ち主が知らないうち に、意図しない操作をされてしまう ログインだけでは守れない理由 ⽬指す設計 お客様が、意識しなくても安全な状態 を、アカウント管理全体で設計すること が⼤切です。 ✓ 意識しなくても安全 • 使いやすい • 必要なときだけ確認 • 変化に気づける ✕ そうでない状態 • 使いにくい • 都度確認される • 何が起きているかわからない • 機能が多岐にわたる アカウント情報変更や連携などログイン 以外の機能がある • 意図しない利⽤があった場合の対策 ログイン後の「意図しない操作」を検知 ‧停⽌できなければアカウントを守れて いると⾔い難い • 双⽅の⾏動で成⽴する 機能を提供するだけでなく、適切に設定 ‧利⽤されて初めて守りが成⽴する

  11. Copyright OpenID Foundation Japan - All Rights Reserved. ログインはアカウント管理全体の⼀部に過ぎない なぜ「全体設計」が必要なのか ※守る範囲の観点

    ログイン カスタマー サポート セッション アカウント 情報更新 通知 アカウント 登録 アカウント 連携 … 04

  12. Copyright OpenID Foundation Japan - All Rights Reserved. なぜ「全体設計」が必要なのか ※安全な仕組みが成り⽴つ観点 アカウントの安全性は双⽅の⾏動によって成⽴する

    サービス 安全な仕組みを提供する 例:パスキー、通知、制御 お客様 安全な仕組みを適切に設定‧利⽤する 例:多要素認証の有効化 どちらか⼀⽅だけでは、⼗分な防御は成⽴しない • いくら安全な仕組みを提供しても、利⽤されなければ意味がない • 使い⽅がわからない等含め使いづらければ、利⽤されない 04

  13. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ ログインはアカウント管理の⼀部に過ぎない

    アカウント管理全体を意識した設計が必要 ログインだけでは守れない理由 • アカウント お客様⾃⾝の⾏為を担うデジタル上 の存在であり、お客様⾃⾝の⼀部 守られないと... アカウントの持ち主が知らないうち に、意図しない操作をされてしまう アカウントの重要性 ⽬指す設計 お客様が、意識しなくても安全な状態 を、アカウント管理全体で設計すること が⼤切です。 ✓ 意識しなくても安全 • 使いやすい • 必要なときだけ確認 • 変化に気づける ✕ そうでない状態 • 使いにくい • 都度確認される • 何が起きているかわからない • 機能が多岐にわたる アカウント情報変更や連携などログイン 以外の機能がある • 意図しない利⽤があった場合の対策 ログイン後の「意図しない操作」を検知 ‧停⽌できなければアカウントを守れて いると⾔い難い • 双⽅の⾏動で成⽴する 機能を提供するだけでなく、適切に設定 ‧利⽤されて初めて守りが成⽴する 再掲

  14. Copyright OpenID Foundation Japan - All Rights Reserved. アカウント管理の全体像イメージ 登録

    ▶ 利⽤可能 ◀ ▶ 利⽤不可 ▶ 退会 登録 ⾝元確認 (保証レベル:IAL) アカウント連携 利⽤可能 ログイン 認証(保証レベル:AAL) / セッ ション管理 アカウント連携 アカウント情報更新 利⽤不可 検知‧措置 ログイン試⾏制限 / セッション無 効化 / アカウント利⽤停⽌ 退会 セッション無効化 / ログイン無効 化 通知 お客様への重要な操作に関するお知らせ 運⽤ カスタマーサポート / ロギング / 監視 IAL:アカウントに紐づく⼈が誰かの確かさのレベル AAL:アカウントの持ち主であることの確かさのレベル ※機能やリスクに応じて適⽤する保証レベルを使い分ける 04

  15. Copyright OpenID Foundation Japan - All Rights Reserved. 安⼼と使いやすさを両⽴したログイン⽅法 UXとセキュリティのトレードオフは、技術と設計の両⽅で解消する必要があります。

    意識しなくても安全な状態を実現するためには、お客様の負担を減らしながら⾼いセキュリティを提供することが重要です。 パスキー (FIDO2/WebAuthn) 特⻑: フィッシング耐性のあるスムーズなログインが可能。 注意点: 未対応端末や古い環境(OS/ブラウザ)では利⽤できない。 ソーシャルログイン (OIDC) 特⻑: 他サービスアカウントを利⽤して登録‧ログインを簡略化可 能。 注意点: 他サービスでアカウント停⽌すると⾃サービスへのログインも できなくなる。 ログイン⽅法の特性を理解し、リスクに応じたログインを設計することが重要です ※網羅的なものではありません。参考としてご参照ください。 04

  16. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ ログインはアカウント管理の⼀部に過ぎない

    アカウント管理全体を意識した設計が必要 • アカウント お客様⾃⾝の⾏為を担うデジタル上 の存在であり、お客様⾃⾝の⼀部 守られないと... アカウントの持ち主が知らないうち に、意図しない操作をされてしまう アカウントの重要性 ログインだけでは守れない理由 ⽬指す設計 お客様が、意識しなくても安全な状態 を、アカウント管理全体で設計すること が⼤切です。 ✓ 意識しなくても安全 • 使いやすい • 必要なときだけ確認 • 変化に気づける ✕ そうでない状態 • 使いにくい • 都度確認される • 何が起きているかわからない • 機能が多岐にわたる アカウント情報変更や連携などログイン 以外の機能がある • 意図しない利⽤があった場合の対策 ログイン後の「意図しない操作」を検知 ‧停⽌できなければアカウントを守れて いると⾔い難い • 双⽅の⾏動で成⽴する 機能を提供するだけでなく、適切に設定 ‧利⽤されて初めて守りが成⽴する ぜひ⼀緒にお客様が意識しなくても安全な状態が当たり前の世界にしていきましょう! 再掲

  17. Copyright OpenID Foundation Japan - All Rights Reserved. • NIST

    Special Publication NIST SP 800-63A-4, Digital Identity Guidelines Authentication and Authenticator Management. ◦ https://pages.nist.gov/800-63-4/sp800-63a.html • NIST Special Publication NIST SP 800-63B-4, Digital Identity Guidelines Authentication and Authenticator Management. ◦ https://pages.nist.gov/800-63-4/sp800-63b.html • デジタルアイデンティティ⼈材育成推進WG:活動報告会 ◦ https://openid.connpass.com/event/339259/ ◦ https://openid.connpass.com/event/384211/ • 警察庁サイバー警察局 令和7年におけるサイバー空間をめぐる脅威の情勢等について ◦ https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf • ⽇本証券業協会 インターネット取引における不正アクセス等防⽌に向けたガイドライン ◦ https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/files/20251015_internetgl.pdf Appendix: 参考資料

  18. Copyright OpenID Foundation Japan - All Rights Reserved. 18