SlideShare a Scribd company logo

Openid technight6 02

Download as PPT, PDF
Taizo Matsuoka
Taizo Matsuoka
1 of 42
Downloaded 38 times
◆ 最新 RP ランキング
RP 別 Y!OpenID 利用ランキング (1) gameleon.jp (2) fansaka.info (3) jlw.gilt.jp (4) smart.fm (5) lievo.jp (6) www.gilt.jp (7) aucfan.com (8) lifemile.jp (9) sportsnavi.com (10) tenki.jp (11) photomemo.jp (12) wazap.com (13) natalie.mu (14) atnd.org (15) pointi.jp (16) fiizo.com (17) cmizer.com (18) commu.nosv.org (19) listpod.tv (20) dendou.jp ※ 2010 年 5 月某日データ
RP 別 Y!OpenID 利用ランキング gameleom.jp fansaka.info gilt.jp smart.fm If.lievo.jp aucfan.com lifemile.jp sportnavi.com tenki.jp photomemo.jp jp.wazap.com natalie.mu atnd.org pointi.jp fiizo.com cmizer.com Commu.nosv.org listpod.tv dendou.jp ※ 2010 年 5 月某日データ
Yahoo! 内部   93.8 % Yahoo! 外部   6.2 % 認証成功の Yahoo! 内外比率 ※ 2010 年 4 月データ Y! 内部 96.8% Y! 外部 6.2%
◆ オープン化とプライバシー
OpenID ・ OAuth
OpenID でのサービス連携 ID 連携( OpenID ) &属性連携( AX )
パートナーサイトへの属性提供( OpenID ) ×
OAuth でのサービス連携 ID 連携( OAuth ) &属性連携( Attribute API ) &決済連携( Wallet API ) &ポイント連携( Point API )
決済・ポイント連携( OAuth ) ×
属性情報を提供 外部サービスとの サービス連携の基盤を OpenID/OAuth で用意しました
課題があります でも、少し課題があります
課題があります 大切なユーザーの属性情報 を渡す先の外部サービスは どのように選ぶのか
今後の課題 ・ ISMS ? プライバシーマーク? ・企業イメージ? ・資本関係?
外部へ属性提供方針 Yahoo! JAPAN ID 登録時 Yahoo! プロフィール
DB UserDB SocialDB ■ ID 登録 氏名        電話番号 性別        業種 / 職種 生年月日     プレミアム属性 メールアドレス  ウォレット属性 住所        ポイント数 ■ Yahoo! プロフィール 表示名       誕生日    プロフ画像     住所 氏名         学歴 性別         勤務先 年齢 ■ ID の属性が必要なサービス ■ Yahoo! プロフィールの属性が必要なサービス Y! ショッピング Y! プロフィール コミュニティサイト 出前館 ユーザー 属性取得 API Social Directory API 他のユーザーに見せるための属性 本人自身がサービス上で活用する属性 入力 入力 外部サービス(一般開発者) Y! オークション 入力補完 外部サービス(特定のパートナー) ショッピングサイト クレジットカード会社 掲示板サービス SNS ネットバンキング Y! 掲示板 Y! 知恵袋 Y! 保険 ストレージサービス ソーシャルゲームサイト Y! ゲーム YID GUID
API 公開情報レベル区分(参照) 具体例 (コンテンツ) いかなる場合でもサードパーティに提供しない情報 お客様の同意のもとサードパーティへ渡してもいい情報。しかし、特定と審査を必要とする。 お客様の同意のもとサードパーティへ渡してもいい情報 説明 具体例 ( ID 、ウォレット) 公開しない 実施する 実施しない 特定/審査 ・個人の信用にかかわる情報 ・当人になりすますことが可能な情報 ・通信内容を含む記録 ・漏洩した場合に顧客本人に経済的、精神的なダメージを与える情報 情報レベル3 ・個人が特定できる情報 ・当人に物理的にコンタクト可能な情報 ・個人情報が含まれる可能性の高いメッセージ内容など ・購入、決済に関わる情報 ・個人を特定できない情報 ・当人に物理的にコンタクト不可能な情報 定義 情報レベル2 情報レベル1 機密性レベル
API 公開情報レベル区分(更新) 具体例 ( ID 、ウォレット) 具体例 (コンテンツ) 公開しない 実施する 実施しない 特定/審査 ・個人の信用に重度にかかわる行為 ・なりすまされた場合に顧客本人に経済的、精神的なダメージを与える行為 ・購入、決済に関わる行為 ・なりすまされた場合に当人へ大きなダメージを与える行為 ・属性情報の更新 ・購入、決済に関わらない行為 ・なりすまされた場合に当人へ大きなダメージを与えない行為 定義 いかなる場合でもサードパーティを介しては行わない行為 お客様の同意のもとサードパーティを介して行っても良い行為。ただし、特定と審査を必要とする。 お客様の同意のもとサードパーティを介して行っても良い行為 説明 情報レベル3 情報レベル2 情報レベル1 機密性レベル
大切なお客様の情報 大切なお客様の情報を渡してもよい 外部サービスであるか?
現状は独自判断している 現状は独自判断している
共通化されたルールが必要 各企業の独自判断でなく、 皆で共有できるルールが必要
OIDF-J 期待 OIDF-Japan のつながりへ期待! (まずは情報交換でも)
◆ 時間があれば宣伝・・・
ログイン3兄弟 ユーザー選択式のセキュリティ機能
ログイン履歴
ログインシール
ログインアラート
ログインアラート
ログインアラート
ログインアラート
ログインアラート
しかし、課題が・・・
利用者が順調に増加(理想) 5% 20% 50%
選択式は利用者数に限界が(現実) 5% 20% 50%
選択式ではだめなのか 選択式だと増えない
全ユーザーに強制? でも、全ユーザーに強制で 適用するわけにもいかない
利便性 ユーザーの利便性を保ちつつ
すべてのユーザーに すべてのユーザーに 適用できる対策はないか?
リスクベース認証 リスクベース認証
行動履歴情報を基に発生したログインイベントで下記処理を実行する 1) 利用環境や行動履歴などの情報からユーザーの不審度をスコアリング 2) リスクレベルに応じた各アクションを実行 3) 随時フィルタの拡張が可能             LRM ( Login Risk Maneger ) 信頼 ログイン イベント リスク レベル 判定 & 行動履歴 情報 利用環境 情報 リスクレベル 追加認証 利用制限 不確定 サービス 判定後のアクション Login Risk Manager 利用環境登録機能 通知 リスク フィルタ 不審
何が良いか? ユーザーから見て、 非常時意外は何も変わらない
目指すところ 利便性を保ちつつ、 すべてのユーザーを守る (サービス利用を阻害しない)

More Related Content

Openid technight6 02