こんにちは、kura(倉林 雅)です。
この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の7日目の記事です。
某IT企業に新卒入社して早くも10年以上が経過しているわけですが、私の所属する部門はID登録、ログイン、ID連携といったプロダクトを中心としたデジタルアイデンティティ(以下、IDと表記)関連専門の部門となっています。
多少人材は流動的な部分はあるものの、幸いなことにIDを起点とする戦略が経営に組み込まれており、それなりの規模の人員に加えて定期的に新卒や中途採用の人材が配属されます。
新たにIDの部門にやってきた際に必ずといっていいほど聞かれることが 「IDの技術はどのように学んだらよいですか?」 ということです。
IDはインターネットサービスにおいてビジネス的にもセキュリティ的にも重要であると考えていますが、他の技術領域に比べると業界は大きくはなくニッチな領域であり、体系だった学習法というものがないように感じています。
今回は個人的にデジタルアイデンティティの業務に携わったらID技術の学習、情報収集としてやっておくとよいと思っていること、以下の7つについてご紹介します。
- 書籍を読もう
- ブログを購読しよう
- YouTubeをみよう
- IDなひとたちをフォローしよう
- 技術仕様書を読もう
- イベントに参加しよう
- ディスカッションをみよう
もちろん、直接的にIDの仕事に携わっていない方も知見にはなると思いますので、ご参考にしてもらえたらと思います。
書籍を読もう
順序立てて0から学ぶ方法としてはやはり書籍が一番です。
数年前までIDに関する書籍はほとんどありませんでしたが、多くの人にもっとID技術を知ってもらうというID業界の方々のおかげで徐々に書籍も増えてきています。
個人的に手に取ると良いだろうと思う書籍をご紹介します。
| カテゴリー | 書籍名 | 内容 |
|---|---|---|
| ID全般 |
デジタルアイデンティティー 経営者が知らないサイバービジネスの核心 [Amazon] [Yahoo!ショッピング] [楽天市場] |
崎村さんが著書の本になります。なぜデジタルアイデンティティが必要なのかというところから、崎村さんご自身が仕様策定したOpenID Connectの技術まで全体を俯瞰して学べます。まさにデジタルアイデンティティ界のバイブルと言える本でしょう (崎村本?Nat本?今度ご本人に通称をうかがっておきます) |
| 認証・認可 |
今さら聞けない暗号技術&認証・認可 Web系エンジニア必須のセキュリティ基礎力をUP (Software Design別冊) [Amazon] [Yahoo!ショッピング] [楽天市場] |
認証・認可に用いられている要素技術である暗号技術からアイデンティティ管理、OAuth/OpenID Connectの仕組みがまとめられています。Software Designで掲載されていた記事が厳選されたもので各領域の専門家の解説が凝縮されており、バックナンバーを漁らなくても済むありがたい本になります。 |
| 認可 |
OAuth徹底入門 セキュアな認可システムを適用するための原則と実践 [Amazon] [Yahoo!ショッピング] [楽天市場] |
OAuth関連技術策定の最先端をいくJustin Richer著書、Authlete Inc.が監修した認可技術を学ぶ者としては必携の一冊です。仕様を策定した著者の視点での解説と具体的なサンプルコードがまとめられており、OAuth 2.0の理解に必要なコンテンツが詰め込まれています。 |
| ID連携 |
Firebase Authenticationで学ぶ ソーシャルログイン入門 ID管理の原則にそった実装のベストプラクティス [Amazon] [Yahoo!ショッピング] [楽天市場] |
ID業界では名が広まっているAuth屋さん著書、ritouさん監修のID連携の教本というべき書籍です。GoogleのFirebase Authenticationを例にIDのライフサイクルを実践的に学べる内容になっています。 |
| 認証・認可 |
認証と認可 Keycloak入門 OAuth/OpenID Connectに準拠したAPI認可とシングルサインオンの実現 [Amazon] [Yahoo!ショッピング] [楽天市場] |
前述の「Firebase Authenticationで学ぶ ソーシャルログイン入門」と対比して知っておくとよい書籍になります。OAuthやOpenID Connectを実際にサービスに導入する際には、フルスクラッチで実装する、SaaSなどのクラウドサービスを利用する、もうひとつにOSSを利用するという選択肢があります。クラウドサービスだけでなくOAuth/OpenID Connectの導入方法として必ず名前の挙がる代表的なOSSであるKeycloakについても学んでおくと知見が広がるでしょう。 |
| 認証 |
WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」 [Amazon] [Yahoo!ショッピング] [楽天市場] |
ユーザー認証としてはまだまだ世の中にパスワードがはびこっているわけですが、この1、2年で認証技術としてトレンドになっている「パスキー(Passkey)」についての実戦的なUXパターンをまとめた特集が取り上げられている雑誌になります。22年続いたWEB+DB PRESSの最終号となっており、ご縁があり私も執筆をさせていただいたので恐縮ながらご紹介させていただきます。 |
ご紹介した書籍は一部ですが、どの書籍もID技術について順序立てた内容で丁寧に解説されているため、まずはじめに目を通しておくとIDに対しての視点を広げることにつながると思います。
ブログを購読しよう
次はブログをチェックするとよいでしょう。書籍に比べると特定のトピックスにフォーカスした内容が中心になりますが、最新のトレンドを把握するためにはよい情報源になります。
| ブログ | 内容 |
|---|---|
|
r-weblife ritou -Zenn- |
ID業界で開発の最前線をゆく私の先輩でもあるritouさんのブログです。認証・認可の技術仕様からそれに伴うUXなど幅広い解説や見解を発信してくれています。アーカイブをみるとわかると思いますが、10年以上コンスタントに記事を発信してくれており、その時代における話題を振り返ることができる貴重な記録になっています。 |
| @TakahikoKawasaki -Qiita- | Authlete Inc.の共同創業者である川崎さんのQiitaです。国内外問わずOAuth製品を展開し、この数年で大きく成長している会社で、製品にも取り入れられている最新技術についての解説がまとめられています。標準仕様の原文では語られていない部分の補足や図を使った丁寧な説明がされており、解説ブログのお手本と言える記事になります。 |
| IdM実験室 | CTCで長年ID製品を色々な企業に導入を進めてきた富士榮さんのブログです。さまざまな案件と製品を取り扱う商社ならではの視点で、細かな製品仕様やトレンド技術について紹介されています。 |
| Digital Identity技術勉強会 #iddance Advent Calendar 2023 | 今年に限らず #iddance のアドベントカレンダーはその年に話題になったIDの話題が盛り込まれているため、過去のアーカイブも含めチェックすると学びになるでしょう。 |
初見ですとマニアックな印象を受けますが、ID業界において定期的にトレンドをまとめてくれる人たちは貴重な存在であるため、感謝しながら購読しましょう。
YouTubeをみよう
書籍やブログだけでなくYouTubeも参考になります。日本語のチャンネルは多くはありませんが、ID技術の基礎や概要、イベントのアーカイブもアップロードされているため、チャンネル登録しておくとよいでしょう。
デジタルIDとプライバシー
崎村さんがID関連の仕様ついて解説をしてくれているチャンネルです。OAuthやOpenID Connectで抑えるべきポイントやなぜそのプロトコルが必要なのかをわかりやすく説明してくれています。
YouTubeが身近な世代の方は、書籍やブログよりもこのチャンネルからチェックするのもありかも知れません。
OpenID Foundation Japan
OpenID ファウンデーション・ジャパンの公式チャンネルです。ここ数年、現地参加できない方も含めてより多くの方に情報を届けるために、オンライン配信とそのアーカイブが提供されています。
このチャンネルはOpenID ファウンデーション・ジャパンが提供するため、OAuth / OpenID関連のコンテンツのみと思われるかも知れませんが、IDaaS、eKYC、DID、FIDOなどIDに関連する周辺のテーマについても取り上げられています。
1つ1つのセッションはボリュームもあり濃い内容になっていますが、巻き戻しができるのでじっくり時間をかけて視聴し理解につなげるとよいと思います。
IDなひとたちをフォローしよう
SNSではID関連以外の話題も混ざるためノイズが多くなりますが、時としてTL上でトピックスについての議論が巻き起こります。
また、イベントやブログなどの情報も発信されるためアンテナを張っておくと出遅れずに済むため、最新情報を追いたいときにはフォローしておくとよいでしょう。
Nat Sakimura/崎村夏彦さん
書籍やYouTubeでも紹介しましたが、米国OpenID Foundation理事長である崎村さん(Natさん)です。
色々な団体で活動されており、OpenID Connect, FAPI, JWT/JWSの仕様を策定されています。この業界の神様的存在であるため、崎村さんのポストからIDの未来を垣間見ることができるかも知れません。
秋田の猫(ritouさん)
Digital Identity技術勉強会 #iddance Advent Calendarの取りまとめをしてくれているritouさんです。
認証・認可関連のブログを自ら発信しつつ、色々な方の記事に対してもコメントやアドバイスをする活動をやってくれています。
ポストは猫要素が多めのよいひと、いや、よい猫さんです。
nov matake(novさん)
色々なインターネット企業で認証・認可基盤の実装をしてきたエンジニアのnovさんです。
現在はマネーフォワードのID基盤の開発を担当しており、パスキーの実装やUXのベストプラクティスの情報を発信してくれています。
関西人なのでポストは当たりが強い感じがするかも知れませんが、実際は対面ではやさしいひとです。
Taka@Authlete(川崎さん)
Authlete Inc.の共同創業者でバリバリに実装をする経営者の川崎さんです。
OAuth / OpenID Connect周辺の最新仕様策定の最前線におられる方なので、仕様やその実装について詳しい情報を発信してくれています。
ID技術が国内外においてどの業界に求められているのかということもポストから読み取ることができると思います。
Eiji Kitamura / えーじさん
某ブラウザーの開発をしているエンジニアのえーじさんです。
パスキーやWebAuthnといった認証技術にはブラウザーが提供するAPIが欠かせません。また、ID周辺のCookieやPaymentなどの仕様も含めてブラウザーベンダーの動向を知ることができると思います。
番外編
IDの仕事は純粋な認証・認可の技術だけでなく、セキュリティやプライバシーなども意識する必要があります。
それらの情報も発信してくれている方もフォローしておくとよいでしょう。
徳丸 浩さん
IDは切っても切り離せないのがセキュリティです。
セキュリティを学ぼうとしてら必ず名前をお見かけすると思いますが、徳丸先生です。
新たな脆弱性の検証結果や、セキュリティに関する話題を取り上げてくれています。その中にIDに関連する話題もあるため、フォローしておくことをおすすめします。
Hiromitsu Takagi(高木先生)
セキュリティだけでなく、IDの仕事をする上で気をつけないといけない観点には個人情報保護やプライバシーがあります。
多くの方がご存知かと思いますが、長年個人情報保護やプライバシーに関する研究をされている高木先生です。
IDに紐づいた個人情報を保護するのか、ユーザーのプライバシーが守られているのか、など実際のサービスで起こった事案に対して知見を発信してくれています。
技術仕様書を読もう
ここまで書籍やブログなどを紹介してきましたが、やはり最終的には技術仕様書そのものを読むことも大切です。
多くの標準化団体で多岐に渡る仕様が日々策定されています。仕様が確定しローンチされるまでには短くても数年、長いものだと10年以上かかるものもあります。
確定しているものから、策定中のdraftまで色々なものがありますが、ID関連のドキュメントの一部をご紹介します。
| カテゴリー | 仕様 | 内容 |
|---|---|---|
| 認可 | Web Authorization Protocol (oauth) -IETF- | IETF(Internet Engineering Task Force)はその名のとおりインターネットにまつわる様々な技術を標準化している団体です。OAuth関連の認可技術はSecurity Areaの「Web Authorization Protocol(oauth) WG」にまとめれています。スタンダートなっているOAuth 2.0を読み、その後、そのプロファイル(拡張機能)の仕様を読んでいくとよいでしょう。 |
| 認証・認可 | OpenID Specifications | OpenID技術を策定している米国OpenID Foundationの仕様書がまとめられています。OpenID Connectや金融系で求められるより強固な認可技術であるFAPIなどの仕様があります。まずは前述のIETFのOAuth 2.0を熟読してからこれらの仕様を読むと理解が進むと思います。 |
| 認証 | Web Authentication: An API for accessing Public Key Credentials Level 3 | W3C(World Wide Web Consortium)はWeb技術を標準化する団体です。パスキーの実装に必要な機能は、W3Cで策定されているWebAuthnのAPIで提供されています。よりよい体験を提供するために現在も仕様が更新され続けています。パスキーの最新のインターフェースが気になる方はチェックしておくとよいでしょう。 |
| 認証 | FIDO Alliance user authentication specifications | パスキーはFIDOアライアンスの仕様の流れから生まれた仕様です。FIDOアライアンスがこれまで提供してきたUAF、U2F、FIDO2など仕様が気になる方はこちらを参照するとよいと思います。 |
イベントに参加しよう
続いてはイベントの参加です。
日進月歩でID技術は更新されており、要点にフォーカスするにあたり、技術についての知識が前提で話が進むことも多々あります。
0から学べる初学者向けのイベントは多くありませんが、わからないなりにもイベントに飛び込んでみて雰囲気を感じてみることも大切です。
定期的に行われているID関連のイベントをご紹介します。
| イベント | 内容 |
|---|---|
| #idcon | ritouさん、novさんをはじめとする有志で運営されているコミュニティで誰でも参加可能なイベントです。海外にIIW(Internet Identity Workshop)というイベントがあり、それを意識した日本版のようなイベントです。認証、認可、金融などその時々のID関連のトレンドをテーマに発表が行われます。私がID業界に足を踏み入れるきっかけとなったイベントでもあります。 |
|
OpenID TechNight / OpenID BizDay OpenID Summit Tokyo 2024 |
OpenID ファウンデーション・ジャパンが主催するイベントです。技術よりのテーマはOpenID TechNight、ビジネスよりのテーマはOpenID BizDayで開催されます。会員企業を主としていますが、基本的に非会員でも参加や配信・アーカイブの視聴は可能です。 4年に一度OpenID Summitとして海外のゲストも招待して大きなイベントも実施します。来年の1月に開催されるため、ぜひチェックしてみてください。 |
|
FIDOアライアンス 第10回 FIDO東京セミナー |
認証のトレンド技術であるパスキーを推進するFIDOアライアンスも年末にイベントを実施します。まさに明日、第10回 FIDO東京セミナーが開催予定です。受付は締め切られていますが、後日資料は公開されると思いますので、パスキーの最新動向が気になる方は要チェックです。 |
ディスカッションをみよう
これは少し難易度が高いのでおすすめというわけではないですが、興味があるひと向けのご紹介です。
W3C、FIDOアライアンス、OpenID Foundationなどの一部の団体での仕様策定は、メンバーを絞ることで議論をスムーズに進めるなどの目的で会員企業に限定されている場合があります。
一方で、エンジニア個人が参加するIETFや、Github上で策定されているものは、公開されているためディスカッションの状況をみることができます。
| 仕様 | 内容 |
|---|---|
| IETF oauth WG Mail Archive | IETF oauth WGで策定されているdraftのMLでの議論がアーカイブされています。複数のdraftを跨いでメールが飛び交っていてわかりにくいですが、絞り込みや検索もできるので気になる仕様の状況を検索してみてはどうでしょうか。 |
| w3c/webauthn -Github- | W3Cの各WGの方針についての議論は会員企業に閉じられて議論されていますが、具体的なインターフェースの修正はGithub上で管理され、ディスカッションされています。課題ごとにissueが切られており、議論を終えて合意がなされるとPull Requestでドキュメントに修正がかけられます。今風の仕様策定でエンジニア的にはわかりやすいと思います。 |
さいごに
今回は個人的にデジタルアイデンティティの業務に携わったらやっておくとよいと思っていることについてご紹介しました。
海外の一次情報をあげるとまだまだ見ておくべきポイントはたくさんありますが、今回は初学者の視点で比較的身近な国内の情報を中心にまとめてみました。
個人的なバイアスが入った内容にもなっていると思いますので「私はこれを参考に学習をしましたよ」というご意見があったらぜひコメントをいただけたらと思います。
最後まで読んでいただきありがとうございました。今年はもう1つ記事を書く予定なのでお楽しみに!
P.S.
OpenID ファウンデーション・ジャパンでは、現在デジタルアイデンティティ人材を育成推進するためのワーキンググループ(WG)の発足に向けて準備中です。
活動報告はまだ先になりますが、今回お話に取り上げたようなデジタルアイデンティティの経験の浅い方々に向けて、参考になるような情報を発信できるよう活動予定です。
WG活動報告は多くの方に発信できるように進めようと考えていますが、WGでは時間を要したそれなりの活動量となる想定のため、OpenID ファウンデーション・ジャパンの会員企業のメンバーで活動を開始する予定です。
ご希望の方は以下のお問い合わせ先より入会をご検討ください。
以上、追伸でした。ではまた次回の記事でお会いしましょう!