門林さん：オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する３つの危険」

ちょいとあおり気味のオープニングセッションだった。

松岡さん：国民のためのウェブサイトを運営するID認証の舞台裏

Yahoo JapanにおけるID認証周りの話を数字つきで紹介。以下の機能はしらなかったなぁ。ログイン履歴のアイデアは使いやすそうなのでまねっこしよう。

• ログイン履歴
• ログインアラート
• ログインシール

崎村さん：OpenIDのモバイル対応 〜 認証基盤連携フォーラムの取組み他から

すごく勉強になった。いいセッションだった。崎村さんから始まる「ガラ携、いやいや、フィーチャーフォン」という天丼が今回のフォーラムのもう一つの鉄板ネタだった。

このセッションで出た話題であとで調べようと思ったのは以下の点。

• 実証実験のやり方。どういう方法で何を見せると実証実験となるのかを調べる。ユーザビリティや顧客満足度などをどう測るのか？そして、どうやって説得の材料とするのか？
• OpenID for MobileとArtifact Bindingの関係。OpenID for Mobileの一実現プロトコルがArtifact Bindingなのかな？
  • OpenID wiki
• Type URI
• マルチスクリプト言語の意味？表記方法のことを認証界隈では、スクリプトと呼ぶのかな？

質疑応答での崎村さんと高木さんのやり取りを聞く限り、端末固有IDを用いた認証の未来はプライヴァシーの問題のみならず対盗聴・改ざんの観点からもなさそう。

それにしても、こういうフォーラムにちょくちょく参加して、情報入手しないとどういう方向に技術が流れるのかさっぱりわからんなぁ。ネット上に情報はあるけど、それにどうやって気づくかという観点でいえば、専門家の話を聞くのが一番早いや。そして、専門家が誰だか知らないから、こういうフォーラムで専門家読んでくれるのが貴重。

徳丸さん：ケータイ2.0が開けてしまったパンドラの箱

このセッションと次の高木さんのセッションで強く感じたのは、携帯キャリアの情報公開姿勢および技術の仕様に関する決定の不透明さに対する強い不満。ちょうど読んでいたデフレ不況 日本銀行の大罪にある日本銀行の情報公開姿勢と意思決定基準の不透明さと重なって、日本のいろいろな問題はそこいらへんにあるなぁと痛感。

徳丸さんが直接的な利益がでないのに脆弱性を検証していく様にちょっと感動。発表の中で説明されているだけで15万円ぐらい脆弱性の検証に使っている。こういう方々がいらっしゃるから世の中の安全が保たれているんだよなぁ。感謝。でも、そういう善意に頼った仕組みは崩れるとき早いだろうから、どうにかならんもんかなぁ。

あと、携帯キャリアごとにこんなに仕様がバラバラとあるんじゃ、Webアプリケーションの開発に無駄なコストがかかってしょうがない。デバイスの種類、端末の種類、キャリアの種類ごとに仕様が違うんじゃ、セキュリティを高度に保つまでの手続きが高すぎて手に負えないよなぁ。そして、基本的にバッドノウハウと言うワナ。

高木さん：どうするケータイ認証

• 高木浩光＠自宅の日記：5月20日の日記

みんな大好き高木さん。いろいろな問題含みの「簡単ログイン」話。崎村さん、徳丸さん、高木さん、上野さんの簡単ログイン包囲網がすごい。あそこまで連続されると「はい、使うの止めます」と言わざる得ない。

キャリアが携帯電話利用者を維持したいならば、安全でまともなサービスを提供できるようにいろいろと情報公開すべき。このセッション聞いた後だと、散々に文句言われていたMicrosoftのセキュリティパッチ提供体制は立派だったんだなぁという気がしてくる。

上野さん：OAuthとWEBサイト運営のエコシステムに潜む罠

OpenIDといまいち区別の付かなかったOAuthの位置づけが良く分かりました。前者が認証、後者が認可ということ。で、携帯電話でもOAuthを使えば良いので簡単ログイン機能はいらんだろという話もあり、簡単ログイン包囲網完成。

話を聞いていて思ったのは、OAuthこそ、官公庁および大学などの個人情報管理が厳しいシステムに積極的に導入されるべきだと思う。官公庁や大学などの特徴は、法律や運用、社会情勢が変わるにともない、いろいろなサービスがアドホックで追加されたり削除されたりする点。また、共通のデータベースを使いたいにも関わらずデータのアクセス（認可）は統一ではない点。

どう考えてもマッシュアップが似合うのはこれらのシステム。必要なサービスを小さく、素早く提供して業務の効率化を図りたいところ。行政や大学業務は、基盤となるデータベースを下にいろいろな業務を行うので、これをエコシステムの中心サービスとし、役人や大学教職員は自分の権限に則ったデータをOAuthの仕組みで使いたいサービスに送ってもらう。

TwitterやGoogleなどのエコシステムの中心に群がって、マッシュアップで新サービスを作ると言うのも世の流れなんだけど、ここいらへんどうにかできないかなぁ。発注する方が仕組みしらんからなぁ。

吉濱さん：“Web2.0”におけるセキュリティ 〜 セキュアなWeb2.0環境の構築とは

Webサービスにおける脅威を経路と対象別に分類し、それを説明してくれていた。この資料が欲しい。あるいは、発表論文が欲しい。

Luさん：SDL脅威分析の方法とWindows Live IDにおけるアプローチ

英語でのスピーチ。SDLを知っていたこと、STRIDEを知っていたこともあり、通訳無しでもだいぶわかった。基本はWindows Live IDの宣伝。それにしても、こんなに専門用語が含まれる内容を通訳できるのはすごい。

クロージングディスカッション〜 脆弱性対策至上主義からの脱却

あんま、クロージングしてなかった。

まとめ

次世代技術と思っていたOpen IDやOAuthが既に当たり前に要求される技術になりつつあることに驚いた。また、Webアプリケーションが考慮しなければならないセキュリティ脅威の膨大さに圧倒された。素人が片手間にWebアプリケーションを開発し、発表するというのはもうできなくなりつつあるのかなぁ。

他の方の感想

• matsutakegohan1：WASForum 2010
• お前の血は何色だ!! 4：WASForum 2010
• bogus press：WASForum Conference 2010に行ってきたよ（前）
• r-weblife：WASForumに参加してきました