2008年4月13日

Tighten your security: choosing an OpenID provider

 先日から書いておかなければならないと感じていたセキュリティ関連のコラムです。第一部は、最近伸びてきた OpenID プロバイダの選び方についてです。

1. 信用できる事業者を選ぶ

 OpenID を発行しているサイトはたくさんあります。日米 Yahoo や、 AOL そしてこのブログをホストしている Blogger など、有名なところから、 MyOpenID や Clickpass のような OpenID 専業のサイトまで多数あります。その中でどの事業者を選ぶかというのは実は重要な点です。信用できないところを選ぶと、 OpenID でログインしたサイトすべてに不正ログインされる可能性もあるということです。

 すでに Yahoo や AOL などを利用しているなら、それをそのまま OpenID として使うのがよけいなリスクが増えなくていいでしょう。名前を聞いたことのないところを利用するのであれば、事前に十分調べる事をお勧めします。もちろん、 OpenID 専業のところは大手サイトにはない特徴を持っている場合もありますから、必ずしも中小サイトがだめというわけではありません。要は、きちんと信用できることを確認してから使うことが重要なのです。

 あまりネガティブな情報は書きたくないのですが、 openid.ne.jp に関しては、過去に何度も問い合わせのメールを出しているにもかかわらず全く返答がなく、登録メールアドレスの変更はもちろん退会処理のやり方や、退会後の ID の処理など不明なので利用しないことを強くお勧めします。

2008-04-16 追記: ずいぶん前に問い合わせのメールを出していた openid.ne.jp から回答のメールが来ました。登録メールアドレスの変更は基本的にできないそうです。また、アカウントの削除も事務局に連絡するそうですが、問い合わせメールのレスポンスの悪さから考えてどのような対応になるかは不明です。また、削除後のアカウントを再利用できるかどうかも不明なので、私は試しに作ったアカウントを凍結したまま置いておくことにしました。

2. ID を再利用できないところを選ぶ

 OpenID ではログイン認証という機能以外に、個人の同一性を証明するという機能があります。何らかの事情で OpenID の利用をやめたときに、その ID を別の人が取得して使うことが可能であれば同一性の証明ができなくなってしまいます。

 私の知る限りでは、日米 Yahoo やはてな、そして LiveJournal や MyOpenID などは一度取得した ID は退会後も再利用できなくなっているために、 OpenID の利用をやめて退会したあともその ID による同一性が保持されます。

 Blogger ではブログの利用をやめた場合、そのブログの URL は再利用されるため、 OpenID としての同一性が保持できなくなります。 Blogger の URL を OpenID として利用するなら、 Blogger の利用をやめてからも、そのブログの URL だけは保持し続ける必要があります。同様に、独自ドメインのブログなどに OpenID を埋め込んで利用する場合にも、ドメインの有効期限が切れたあと放置していると他者によってドメインを取得される可能性がありますから、永久にドメインを保持し続ける気がないなら OpenID として利用しない方がいいでしょう。

 以上の点を総合すると、 OpenID として一番おすすめなのは、アカウント保護対策が充実していて、 ID を再利用できない Yahoo ですが、 Yahoo の OpenID は OpenID 2.0 にしか対応していないので、 OpenID 1.1 対応サイトにはログインできません。そのようなサイトもいずれは OpenID 2.0 に対応してくると思われますから、それまでしばらく待つか、 MyOpenID などの退会後に ID を凍結できる専業サービスを利用するのがいいでしょう。

3. OpenID の利用法

 OpenID があれば対応サイトならどこにでもログインできるとはいえ、 OpenID でオンライン銀行にログインして取引するということはしない方がいいでしょう。もちろんそのような銀行はありませんが、重要な用途であれば、アカウント保護を自社サイト内で完結できない OpenID でのログインはしない方が安全です。

 では OpenID はどのような用途に適しているかと言えば、ずばりブログのコメントです。 Blogger ではコメントを記入する際に、 Blogger / Google の ID だけでなく OpenID でのログンもできるようになっていることもあります。他のブログサービスでも OpenID でのコメント入力ができるところもあるので、そういったブログにコメントを記入する際には、わざわざそのサービスの ID を取得するまでもなく手持ちの OpenID でログインすればいいのです。

 いってみればゲスト ID ですね。 Blogger では複数の著者によってブログを書くこともできますが、それ以外の人は OpenID でゲストとしてログインして、コメントを記入する権限だけを与えられるということです。

0 件のコメント: