オープンなシングルサインオン・システム「OpenID」が注目されている。Microsoft、Verisign、diggなど、今年に入ってOpenIDをサポートの乗り出した企業や組織が倍増。約9000万のOpenIDが発行されているという。Web 2.0 ExpoのOpenIDセッションも、ほぼ満員の盛況ぶりだった。

寂しかった会場が半年で満員近くに

便利なWebサービスが増えるのはうれしいが、利用するサービスが増えるほどに、登録と認証の手間が増えてしまう。ブログにコメントしようとしたら、コメント・スパム対策で登録を求められた……。ネットを利用していれば、何度かユーザー登録を面倒に思ったことがあると思う。この問題を解決するために、MicrosoftのPassportやSix ApartのTypeKeyなど、複数のサービスへのシングルサインオン(SSO)を可能にする技術が登場した。だが、1社による独占的な認証システム管理が嫌われて普及には至っていない。そのような中、最近「OpenID」が注目されている。LiveJournalのBrad Fitzpatrick氏によって開発された文字通りオープンなシングルサインオン・システムで、ユーザーが自ら信頼できる場所を選択してIDやプロフィールを管理できるのが特徴だ。

Web 2.0 Expoでは「Implementing OpenID」というOpenIDの利用と導入方法を簡単に説明するセッションが行われた。2006年秋に行った同様のセッションでは空席の方が目立ったそうだが、今回はほぼ満員。SSOはシステムが優れていても、実際に幅広く採用されなければ機能しない。OpenIDセッションの会場からは、OpenIDが"採用"のカベを乗り越えられそうな雰囲気が伝わってきた。

今年に入って急速にOpenIDに対する注目度が高まっているのは、AOL、Microsoft、Verisign、diggなど、ネットのメジャープレーヤーが次々にOpenIDサポートに乗り出しているからだ。Firefoxもバージョン3.0で対応する。VerisignのDavid Recordon氏によると、現状で2500近い企業やサービスがOpenIDをサポートしており、AOLユーザーを含めて約9000万のOpenIDが発行されているという。

OpenIDをサポートする企業や団体などの変化。今年に入って倍増以上

OpenIDをサポートする企業や団体

セキュリティ機能との組み合わせが必要

OpenIDではユーザーIDにURLを用いる。例えば、OpenIDをサポートしているSix Apartのブログサービス「VOX」を使っていれば、自分のブログのURLのhttp:以下がOpenIDになる。もしOpenIDに対応するサービスを複数使っている場合は、複数のOpenIDの使い分けが可能だ。ビジネス用のブログとパーソナルなブログを持っている人は、OpenIDを使い分けることで、仕事モードまたは個人モードのプロフィールで各種Webサービスを利用できる。この点については、なりすましにつながるという指摘もあるが、Recordon氏は「使い分けはOpenIDのメリットの1つ」と強調していた。

URLを使ってログイン

セッションではまずユーザーの立場から、OpenIDプロバイダー(OP)を通じてURLをOpenIDとして登録する方法、各種サービスへのログイン方法などをデモ。さらにユーザーが自身のサーバを使ってOPとしてOpenIDを作成し、自らプロフィール情報を管理する方法が紹介された。続いてWebサイト運営者の立場から、OpenID認証に対応するステップを説明。いずれも短時間で完了できる手軽さがアピールされた。

OpenIDの課題として、まずセキュリティが挙げられた。ログインを簡単に行う技術として開発されたため、セキュリティ面では隙がある。特に心配されているのがフィッシング詐欺だ。

対策として、SSLクライアント認証、さらにMicrosoftのCardSpaceやVidoopなど、パスワードを廃したサインイン方法が示された。しかし、現状では多くのユーザーがパスワードに頼っている。そのようなユーザー向けとして、Verisignの「OpenID Seatbelt」が紹介された。Webブラウザのプラグインとして提供され、ユーザーはSeatbeltを通じてOpenIDアカウントにサインインする。Seatbeltは、OpenIDに対応しているWebページを自動的に見分け、安全性を評価し、フィッシングの可能性がある場合はログイン実行を拒否する。安全なOpenIDサイトでは自動的にOpenIDフィールドを埋めてくれるので、使い勝手という点でも向上する。

Verisignの「OpenID Seatbelt」。OpenID対応のWebページを検出(左)。ユーザーはSeatbeltからOpenIDにサインイン(中央)。フィッシングの可能性がある場合は警告(右)

一般ユーザーへの浸透も課題の1つだ。ブログなどのURLが、そのままIDになるのだから潜在的なユーザー数は多い。登録/利用のステップはシンプルである。それでも、これまでとは全く異なるログイン方法をすぐに理解してもらうのは難しい。OpenIDのロゴが入ったボックスを見てもユーザーが戸惑わなくなるには、OpenIDをサポートする企業や組織が連携したプロモーションが必要になる。