Slide 1

Slide 1 text

1

Slide 2

Slide 2 text

2 https://idmlab.eidentity.jp 自己紹介

Slide 3

Slide 3 text

3

Slide 4

Slide 4 text

4 デジタル・アイデンティティ領域における未解決問題

Slide 5

Slide 5 text

5

Slide 6

Slide 6 text

6

Slide 7

Slide 7 text

7 非効率で不便

Slide 8

Slide 8 text

8

Slide 9

Slide 9 text

9 ボトルネック SPOF

Slide 10

Slide 10 text

10 スケールアウト

Slide 11

Slide 11 text

11

Slide 12

Slide 12 text

12 SPOF そのチケットは本物? 本当に本人に付与?

Slide 13

Slide 13 text

13 真正性確認 (Phone Home) スケールアウト クラウド化

Slide 14

Slide 14 text

14 ID連携の保証レベル (FAL)は? 事業停止 アカBAN 本人確認の正確性 (KYC/Binding)

Slide 15

Slide 15 text

15 ID連携の保証レベル (FAL)は? 事業停止 アカBAN 本人確認の正確性 (KYC/Binding) アイデンティティ保証 • IDプロバイダの継続性、アカBAN なりすまし防止 • 登録した人とチケットを持っている人は同一か? • ID連携経路の信頼性

Slide 16

Slide 16 text

16 問い合わせ元で 行動把握が可能 結託されると 行動把握が可能

Slide 17

Slide 17 text

17 問い合わせ元で 行動把握が可能 結託されると 行動把握が可能 プライバシー保護 • IDプロバイダによる行動把握 • アプリケーション側の結託での行動把握

Slide 18

Slide 18 text

18 デジタル・アイデンティティ領域における未解決問題

Slide 19

Slide 19 text

19 デジタル・アイデンティティ領域における未解決問題

Slide 20

Slide 20 text

20 アイデンティティとブロックチェーンによる取り組み

Slide 21

Slide 21 text

21 https://blog.goodaudience.com/how-blockchain-could-become-the-onramp-towards-self-sovereign-identity-dd234a0ea2a3

Slide 22

Slide 22 text

22

Slide 23

Slide 23 text

23 個人は、管理主体が介在すること なく、自身のアイデンティティを所有しコントロールできるべきである https://sovrin.org/faq/what-is-self-sovereign-identity/

Slide 24

Slide 24 text

24

Slide 25

Slide 25 text

25 中央集権型での課題 SSIへの要件 プライバシーへ の配慮 ID基盤側で利用者の行動履歴の把握が出 来てしまう アプリケーションへ連携する属性はID基 盤の都合で決まる ID基盤についても利用者の行動履歴を把 握できないこと アプリケーションへどの属性を渡すかは 個人が選べること 属性の保証 ID基盤が悪意を持って属性の書き換えを 行うことが可能 少なくとも単一の組織の都合でアイデン ティティの書き換えを行うことが出来な いこと 属性の精度・鮮 度の維持 ID基盤に登録された時点の情報(いわば コピー)に依存 ID情報のコピーをなるべく作らず、利用 者自身で管理できること 可用性・事業継 続性の担保 ID基盤が停止すると何もできなくなる (デジタル・デス) ID基盤運営事業者のサービス停止、事業 停止があってもアプリケーションが使え ること 25

Slide 26

Slide 26 text

26 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 発行元への問い 合わせは不要 IDの発行

Slide 27

Slide 27 text

27 フェデレーションとSSI

Slide 28

Slide 28 text

28 提示されたID情報の信頼性の担保 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 発行元への問い合 わせは不要 IDの発行 どうやって提示されたID情報の 真正性を発行元に問い合わせを せずに確認・検証するか

Slide 29

Slide 29 text

29 公開鍵基盤の利用 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 IDの発行 公開鍵基盤

Slide 30

Slide 30 text

30 課題①:誰が公開鍵基盤を運営するか? レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 IDの発行 誰が公開鍵基盤を運営するか? 公開鍵基盤

Slide 31

Slide 31 text

31 課題②:そこに悪意はないのか? レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 IDの発行 IDの発行元、公開鍵基盤運営側 による改竄や否認はないのか? 公開鍵基盤

Slide 32

Slide 32 text

32 分散台帳の利用 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 IDの発行 公開鍵基盤 on 分散台帳 財布の登録 +IDとの紐づけ

Slide 33

Slide 33 text

33 分散台帳

Slide 34

Slide 34 text

34 That need is to share a database of records with people you do not trust. ブロックチェーンが活きるシーンとは? https://thefinanser.com/2019/03/blockchain-dead-long-live-blockchain-2.html

Slide 35

Slide 35 text

35 IDにおける“嘘つき“

Slide 36

Slide 36 text

36 ⇒分散台帳(≒ブロックチェーン)の活用 「Decentralized Identity」(非中央集権型アイデンティティ) 公開鍵基盤における課題への対応

Slide 37

Slide 37 text

37 認証 確認済み属性の 連携 分散台帳(公開鍵基盤) 行政/キャリア/企業 など 個人のID Wallet アプリケーション

Slide 38

Slide 38 text

38 分散台帳(公開鍵基盤) 個人のID Wallet アプリケーション

Slide 39

Slide 39 text

39 真の公共 分散台帳上のPKI 利害の一致しない複 数の主体で運営 or 特定の主体なし 運営主体の消滅や 裏切り前提 スコープ 運営主体 実装例 利用シーン

Slide 40

Slide 40 text

40

Slide 41

Slide 41 text

41 Blockchainの特徴と利活用シーン

Slide 42

Slide 42 text

42 Blockchainの特徴と利活用シーン オフチェーンで産まれたデータを チェーン上で管理する仕組みでし かない ⇒トラストフレームワークが大事

Slide 43

Slide 43 text

43 出典)OpenIDファウンデーション・ ジャパン/トラストフレームワークWG 登場人物 概要 ポリシー策定 者(Policy Maker) トラストフレームワークのポリ シー策定者 トラストフ レームワー ク・プロバイ ダ(TFP) ポリシーに基づいてトラストフ レームワークを策定しIdP、RP の信頼関係構築の仲介を行う事 業者 認定監査人 (Assessor) TFPによって認定され、IdP、 RPがトラストフレームワークに 沿って運営されているか監査す る事業者 Identity Provider (IdP) 利用者のアイデンティティを保 持・管理し提供する事業者 Relying Party (RP) IdPの認証結果を受け入れ、ア イデンティティ情報の提供を受 ける事業者

Slide 44

Slide 44 text

44 SSIとガバナンスモデル Holder /Prover Issuer Verifier Verifiable Credential Proof Trust Trust Verifiable Credential Governanc e Authority Governance Framework Publishes Holder /Prover Issuer Verifier Verifiable Credential Proof Trust

Slide 45

Slide 45 text

45 Sovrin Governance Framework https://docs.google.com/document/d/1WqUOqdTBc3JACIlRviJoWJRcJHTNTNzk9_As9v-jwrY

Slide 46

Slide 46 text

46 デジタル・アイデンティティ領域における未解決問題

Slide 47

Slide 47 text

47 キーワード(再掲)

Slide 48

Slide 48 text

48

Slide 49

Slide 49 text

49

Slide 50

Slide 50 text

50

Slide 51

Slide 51 text

51 DID Documents

Slide 52

Slide 52 text

52 DID Documentのサンプル

Slide 53

Slide 53 text

53 Issuerが発行した検証可能な属性のセット 一つ以上のVerifiable Credentialsより派生した 検証可能なデータ表現

Slide 54

Slide 54 text

54 Verifiable Credentialsのサンプル

Slide 55

Slide 55 text

55

Slide 56

Slide 56 text

56

Slide 57

Slide 57 text

57 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Cryptographic Trust

Slide 58

Slide 58 text

58 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Agent + Wallet Connection Agent + Wallet Cryptographic Trust Private Pairwise Pseudonymous DIDs

Slide 59

Slide 59 text

59 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 60

Slide 60 text

60 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 61

Slide 61 text

61 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Holder Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 62

Slide 62 text

62 Layer One: DID Networks Public Blockchains (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent Protocol Issuer Verifier Holder/Prover Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 63

Slide 63 text

63 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

Slide 64

Slide 64 text

64 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: DID Comm Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

Slide 65

Slide 65 text

65

Slide 66

Slide 66 text

66 66

Slide 67

Slide 67 text

67 標準化しようとしている要素 コンポーネント 概要 User Agent いわゆるIdentity Wallet。スマホアプリやブラウザExtensionとして 実装される。鍵ペアの生成とDID(Decentralized Identifier/ 識別子)の登録、DID Authにおける認証器の役割を果たす Identity Hub DIDに関連するIdentity情報を保存する Distributed Systems DIDとDID Documentを記録する分散台帳 (ブロックチェーンなど。ブロックチェーンが必須なわけではない) Universal Resolver 他の台帳上にあるDID Documentを解決する (複数の系の分散台帳で運営される前提) DID Authentication DID Documentを利用した認証

Slide 68

Slide 68 text

68 処理の流れ 68

Slide 69

Slide 69 text

69 処理の流れ 69

Slide 70

Slide 70 text

70 処理の流れ 70

Slide 71

Slide 71 text

71 処理の流れ 71

Slide 72

Slide 72 text

72 処理の流れ 72

Slide 73

Slide 73 text

73 デモ)Azure AD B2C(改)+uPort ID Wallet 証明書発行 ID発行 ID Wallet 登録されたWallet へ証明書を配信 ID管理 従業員ID管理 ID Wallet管理 Walletの 登録 サプライヤ:Wallet登録、社員証発行 ホスト企業:ID登録とアプリ利用 オフラインシナリオ 入館 サプライヤ 従業員 ID Wallet管理 従業員IDで ログイン フェデレー ション ID管理 社員証を提示し、セルフサービスでのID 登録+本人確認を行う アプリケーションへの ログイン オンラインシナリオ QRコードで社員証を 提示 • サプライヤIDでホスト企業にID登録を行う(セルフサービス) • ID Wallet上のサプライヤの社員証を使ってアイデンティティを証明する • フェデレーション構成や外部ID管理を行う必要なし 従業員が退職したら 証明書(社員証)を 取り消すことが可能 提示された証明書を 分散台帳上の公開鍵で 検証する

Slide 74

Slide 74 text

74 1. ID Walletの登録と社員証の発行 2. ID Wallet上の証明書を使ってア カウントのセルフサインアップ

Slide 75

Slide 75 text

75 今後の課題①:技術・ポリシー・ビジネスのバランス

Slide 76

Slide 76 text

76 ⇒自身のアイデンティティ情報を渡す先の信頼性の確認 や事故が起きた時の責任もユーザ自身が取る必要がある ⇒利用者に代わって信頼を担保する枠組みの必要性 • 情報銀行 • Identity Custodian 今後の課題②:利用者は管理主体となれるのか

Slide 77

Slide 77 text

77

Slide 78

Slide 78 text

78 OpenIDファウンデーション・ジャパンでの取り組み

Slide 79

Slide 79 text

79 https://www.openid.or.jp/news/2020/01/kycwg-report.html

Slide 80

Slide 80 text

80 まとめ