この一年でどれだけのWebサイトに登録しただろう?1つ、2つと数えられる人はいないのではないか。登録のために、メールアドレスとパスワードを用意しなければならず、パスワードが求める要件は数字やエクスクラメーションなどの記号を入れなければならないこともある。作成後はこれをパスワードマネージャーのような機能を使って管理しなければならない。そして、サイトのマーケティングチームから洪水のように押し寄せるメールをせっせと削除することになると日常のパスワード管理を紹介しているのはSophos Naked securityのauthorであるDanny Bradbury氏。1989年から20年にわたる執筆実績のあるテクノロジージャーナリストだ。
Appleが6月3日から7日まで米カリフォルニア州で開催した年次イベント「World Wide Developers Conference (WWDC)」では、驚くようなニュースがたくさん出てきたがその1つが、プライバシーを保護した形でアプリとWebサイトにサインインをうたう"Sign In with Apple"であると注目を述べている。ファイルシステムや暗号化など基調講演では取り上げられなかったセキュリティに関する話題も多いなか同氏が注目したのは、この認証の枠組みだ。Sign In with Appleの解説を行っている。
GoogleやFacebookが提供するシングルサインオンの便利さは広く浸透しているがSign In with AppleはこれらのサービスのAppleバージョンで、プライバシーの尊重が差別化となる。Sign In with AppleをサポートするWebサイトやモバイルアプリを利用して、デバイスの認証(FaceIDやTouchID)によりアカウントを登録、FacebookやGoogleのソーシャルサインイン機能と同じように単一のボタンでアカウントを作成でき、Appleがユーザーのプロキシとなりログイン情報を管理してくれるというもの。ユーザーに関するデータをサードパーティアプリに送ることはなく、ランダムに作成して管理してくれる電子メールを利用するオプションも提供する。アプリがそのメールアドレスにメールを送るとAppleがそれを転送してくれ、そのメールアドレスを削除することもできる。Appleは昨年12月にSafariのプレビューでGoogle、FacebookのOAuth 2.0とは異なるFIDO 2のサポートを行っており、これが技術土台にあるようだ。
Danny Bradbury氏は、一見するとSign In with Appleは素晴らしいアイディアのように見えるが注意点があることを指摘している。開発者向けのガイドラインによると、FacebookやGoogleなどサードパーティのサインインをサポートしている場合は、Sign In with Appleを提供しなければならないという開発者への義務が記されているため、広告を目的とするマネタイズモデルの再考など、単なる実装のみならず考えなければならないことが出てくるのだ。その一方で、オンラインサービスに申し込む際にプライバシーを犠牲にしてきたユーザーには朗報と言えそうだ。ユーザーはSign In with Appleを受け入れるのか、今後の動向が注目されると寄稿を締めている。