はじめてのデジタルアイデンティティ
ーWebサービスに欠かせない認証・認可・ID管理
- いとうりょう 著
- 定価
- 2,420円(本体2,200円+税10%)
- 発売日
- 2026.1.7
- 判型
- A5
- 頁数
- 160ページ
- ISBN
- 978-4-297-15376-2 978-4-297-15377-9
サポート情報
概要
現代のオンラインサービス開発とデジタルアイデンティティ(ID)の扱いは、切っても切り離せない関係です。パスキー認証やOpenID Connect(OIDC)といった技術が注目される一方で、認証機能がサービス全体のID管理の文脈で整理されていないと、運用面での不都合や、セキュリティ的な見落としが生じやすくなります。新規登録からログイン、ログアウト、アカウントリカバリー、退会に至るまで、個々の機能をバラバラに捉えるのではなく、一連のサイクルとして設計することで、セキュリティリスクを低減し、ユーザー体験(UX)を向上させることができます。
本書は、デジタルアイデンティティの専門知識がないITエンジニアの方を対象に、サービスを開発・運用するにあたって必要となるID管理の基礎を、アイデンティティライフサイクルの視点から体系的に整理します。「身元確認とは? 当人認証とは?」という概念の整理から始め、個別の認証方式の特徴や、ID連携、ID管理に使われる技術を扱います。
難しい数学的・技術的詳細には深入りせず、ID管理に初めて触れる新人エンジニアや個人開発者でも理解できるように、平易な言葉で解説しています。デジタル社会の基盤となる、安全で使いやすいID管理システムの基礎知識が身につく1冊です。
こんな方にオススメ
- Webサービスやアプリの設計に携わるエンジニア
- 認証機能をとりあえずで実装しているサービス開発者
- 認証機能をもったシステムの発注者
目次
はじめに
第1章 デジタルアイデンティティとID管理の概要
1-1 デジタルアイデンティティとは
- 現実社会におけるエンティティとアイデンティティ
- デジタルアイデンティティとそれを構成する属性情報
- アイデンティティとプライバシー
1-2 ID管理とその構成要素
- アイデンティティ管理(ID管理)とは
- オンラインサービスの特性によるID管理の違い
- ID管理の構成要素
第2章 ID管理の構成要素
2-1 身元確認
- 現実世界における身元確認
- デジタル世界における身元確認
- [COLUMN]【最近のトレンド】身分証明書のデジタル化(スマートフォン搭載)
2-2 当人認証
- 現実世界における当人認証
- 「本人確認」は身元確認か、当人認証か
- デジタル世界における当人認証
2-3 デジタル世界で使われている当人認証の方式とその変遷
- パスワード認証
- メールやSMSを用いたワンタイムパスワード(OTP)認証
- 時間ベースのワンタイムパスワード(TOTP)認証
- モバイル認証アプリ(プッシュ通知)を用いた認証
- バックアップコードを用いた認証
- 多要素認証(MFA)とパスワードレス認証
- フィッシング耐性をもつFIDO認証
- パスキー認証の登場
- [COLUMN]ユーザー認証における脅威分析のための2つの軸
2-4 ID連携
- 現実世界のID連携
- デジタル世界におけるID連携
- 身元確認としての利用
- 当人認証としての利用
- ID連携を実現するためのフェデレーションプロトコル
2-5 アクセス制御
- 現実世界のアクセス制御
- デジタル世界のアクセス制御
2-6 セッション管理
- 現実世界のセッション管理
- デジタル世界のセッション管理
第3章 単一サービスにおけるID管理機能
3-1 ID管理の基本構成とライフサイクル
- 単一サービス内で完結するID管理
- ユーザーの情報を管理するアイデンティティレジスター
- ユーザーの状態と状態遷移を表すアイデンティティライフサイクル
3-2 新規登録
- サービスを利用する最初のステップ
- 新規登録の主なプロセス
3-3 ログイン
- 本人であることを証明してサービスを利用する
- ログインの主なプロセス
3-4 ログアウト
- サービス利用を安全に終了する
- ログアウトで行われるプロセス
3-5 再認証
- 重要な操作の前に本人であることを再確認する
- 再認証で行われるプロセス
3-6 ユーザー情報の設定変更
- 登録した情報を変更・更新する
- 設定変更の対象となる主な情報
3-7 セッション管理
- ログインセッションをユーザー自身が確認する
- セッション管理で提供される機能
3-8 本人確認(KYC)
- 現実世界の身元を証明する
3-9 アカウントリカバリー
- ログインできなくなったアカウントを復旧する
- アカウントリカバリーで行われるプロセス
3-10 無効化と復旧
- アカウントの利用を一時的に停止・再開する
- 無効化したアカウントを復旧する
3-11 退会と復旧
- サービスの利用をやめてアカウントを削除する
- 退会したアカウントを復旧できる場合とできない場合
3-12 セキュリティイベントログ
- 自分のアカウントの履歴を確認する
- ログに記録すべき情報
- [COLUMN]自分のアカウントに不正ログインされたかも? と思ったら
第4章 複数サービスが関わるID管理機能
4-1 ID連携の概要
- ID連携の登場人物とID管理機能の関係
- ID連携にて行われる各種情報の通知
4-2 IdPのID管理機能強化
- 新規登録時の情報通知
- セッション情報の変更通知
- RPからの認証要求への対応
- ユーザー情報変更時の通知
- アカウント状態の変更通知(無効化・退会)
4-3 ID連携におけるRPのID管理機能
- 新規登録の簡略化
- ID連携におけるログイン
- ID連携におけるログアウト
- ID連携における再認証
- ID連携のための設定管理
- ログインセッションに関する通知の処理
- ID連携におけるアカウントリカバリー
- ID連携における本人確認(eKYC)
- ID連携における無効化と退会
- ID連携におけるセキュリティイベントログ
第5章 ID管理機能の設計時に意識したいポイント
5-1 4つの観点
- セキュリティ
- プライバシー
- ユーザビリティ
- アクセシビリティ
5-2 「信頼」と「体験」のトレードオフを乗り越える
- 画一的な高セキュリティ要件によるユーザビリティの低下
- セキュリティ強化が引き起こす新たなリスク
5-3 ID管理における基本原則
- OECDプライバシー8原則
- アイデンティティの7原則(The 7 Laws of Identity)
5-4 ID管理に関連するガイドライン
- NIST SP 800-63 Digital Identity Guidelines
- NIST SP 800-63の概要と構成
- SP 800-63A:身元確認とアイデンティティの登録
- SP 800-63B:当人認証と認証器の管理
- SP 800-63C:ID連携とその中でやり取りされる情報
5-5 ID管理と標準化仕様
- 標準化仕様の優位性
- Web Authentication(WebAuthn):An API for accessing Public Key Credentials
- RFC 6238 TOTP:Time-Based One-Time Password Algorithm
- OAuth 2.0
- OpenID Connect(OIDC)
- System for Cross-domain Identity Management(SCIM)
- Shared Signals Framework(SSF)
5-6 注意したい実装例
- 可変なユーザー識別子の内部利用
- 攻撃者に親切なエラー表示
- セキュリティ重視よるユーザビリティ低下
- 当人認証、身元確認の手段を同時に失う“詰み”につながる実装
第6章 ID管理機能を支える技術と開発スタイル
6-1 ID管理機能を支える技術
- 「WebアプリケーションとしてID管理機能を提供する」という選択肢
- HTTPを用いたフロントチャネル、バックチャネルのリクエストとレスポンス
- エンコード、デコード:Base64URLエンコード、CBOR
- ID管理で利用する暗号技術
- JOSEとCOSE
- チャレンジレスポンス認証
- Webブラウザの果たす役割
- デスクトップアプリ、ネイティブアプリとの連動
6-2 ID管理機能の開発スタイル
- 汎用性と自由度のバランス
- スクラッチ実装
- 既存のライブラリやフレームワークの利用
- ID管理の製品、IDaaSの利用
索引
プロフィール
いとうりょう
株式会社MIXIにて、社内ID基盤「MIXI ID」を担当。業務で扱うOpenID ConnectやOAuth 2.0、パスキーといった技術標準について、社内外への情報発信にも積極的に取り組んでいる。
また、OpenIDファウンデーション・ジャパンのエバンジェリストとして、ID管理と関連技術標準の普及啓発活動を行う。