水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半)

WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半)

2010年5月22日(土曜日)

WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半)

公開: 2010年5月26日1時25分頃

WASForum Conference 2010、オープニングセッションに続いて、ヤフーの松岡泰三さんによる「国民のためのウェブサイトを運営するID認証の舞台裏」。松岡さんは「R&D統括本部プラットフォーム開発本部セントラル開発1部」に属し、OpenID、OAuth、認証API、認証(ログイン)、ソーシャルプラットフォーム、ストレージプラットフォーム、外部サービス連携……といった諸々のお仕事をされているそうで。

今回のお話は大きく前後半に分かれていて、前半はYahoo!の認証に関する仕組みや統計データについてのお話、後半は外部サービスとの連携の話になっていました。まずは前半部分のメモから。

Yahoo! Japan ID の現在
  • アクティブユーザ数 …… 2396万ID
  • Yahoo!ウォレットのユーザ数 …… 1900万
  • Yahoo!プレミアムの会員数 …… 759万

アクティブユーザ = 月1回以上ログインしているユーザと定義、単純な会員数はほぼ日本国民の数と同じくらい。

  • ログイン試行数 …… 775万回/日
  • ログイン成功数 …… 698万回/日 (90.4%)
  • ログインエラー数 …… 77万回/日 (9.6%)

主な間違いは ID、パスワードの入力ミス (ログインフォームのIDはフィルしていない)。

内外比率
  • 内部の利用 …… 93.8%
  • 外部からの利用 …… 6.2%
  • 外部利用のうち、OAuthとOpenIDは2%。そのほか、古いチケット型の認証の仕組みが残っていて利用されている
パスワード再確認

Yahoo!では、ログイン状態でも再度パスワードを訊くケースがある。

重要情報はログイン直後でないとアクセスできないようになっている。個人情報を閲覧する場合、決済シーンなど。

  • パスワード再確認の比率 …… 15.72%
Yahoo!のIdentityプラットフォーム

安心・安全・便利

さまざまなニーズ
  • さまざまなサービス …… Yahoo! のサービス一覧 (services.yahoo.co.jp)、数えるのに力尽きたがたぶん150くらい

    ※私がカウントしたところでは、2010-05-25現在で157あるようです

  • さまざまな端末 …… PC、ケータイ、スマートフォン、テレビ、カーナビ
  • さまざまなユーザーエージェント …… Webアプリ、クライアントアプリ、ガジェット
  • Yahoo!のサービスと、外部のサービス
  • コンシューマと、ビジネスユーザ
  • オトナと、子ども。子ども向けのIDが欲しいというニーズがあり、「Yahoo!きっず」というサービスがある
さまざまな認証
  • Web
  • 内部クライアントアプリケーション向け (Token Login)
  • 外部クライアントアプリケーション向け (RawAuth)
  • 端末ID認証 (モバイルログイン)

    ※ここで高木さんが来場されているかどうか確認 :-)

  • テレビ向け
  • Webブラウザ向け
  • OpenID
  • OAuth
  • SSO
  • AEAuth (教育機関向け)
  • ビジネスID
  • きっずID (「IDを入力してね。」のようにやさしい文言。Yahoo!きっずでしかログイン状態にならない)
どれがベストか?
  • パスワード再確認画面は何で必要なの? どういうリスクがあるの?
  • 多様なニーズに応えながらも、守るべきは守る
ユーザを守る機能とその課題

不正アクセスからユーザーを守るために「ログイン履歴」「ログインシール」「ログインアラート」という仕組みを用意している。社内ではこれら3つを「ログイン3兄弟」と呼んでいる。

ログイン履歴
  • 直近60件のログインの履歴を表示。成功も失敗も記録。
  • 表示する情報は……どのサービスでログインしたか、ログイン時刻、ログインなのか再確認なのか、成功or失敗、IPアドレス、端末がPCかモバイルか
  • 悪いことをしようという人にもこのサービスの存在を知ってもらって、抑止につなげたい
ログインシール
  • ログインフォームに、ユーザーが設定したシールを表示する
  • フィッシング防止のため
ログインアラート
  • ログインするたびにメールが届く
  • メールにはURLが書かれており、そのURLにアクセスするとアカウントをロックすることが可能。ログインに心当たりがないときにはロックを。
  • ただし強制ログアウトにはならず、現在のセッションは有効。次回ログインからブロックされる。
ログイン3兄弟の課題
  • 利用率がイマイチ……。
  • 場所が分かりにくい。たとえば、ログインアラートは「Yahoo!トップの右上」→「ガイドページの左下」→「ログインアラート説明ページ」と辿らないと出てこない
  • ログイン履歴の利用 = 136万PV/月
  • 他の2機能の利用数は非公開 (と言いつつ、利用数のグラフは公開)。シールは利用率が低く、アラートはさらに低い
  • 選択式ではなかなか利用者数が増えない
  • しかし、全ユーザーに利用を強制するわけにも行かない
  • 利便性を保ちつつ全ユーザに適用できる対策はないか?
リスクベース認証
  • "Login Risk Manager" という仕組み
  • あらかじめユーザーの利用環境、アクティビティの情報を持っておく
  • 普段の利用と著しく異なる時間、環境、国からのアクセスは怪しい
  • ログインイベントの不審度(リスクレベル)を判定し、レベルによって通知or追加認証orブロックを実施する
  • この仕組みであれば、非常時以外は普段と何も変わらない利用ができる

数値データは参考になります。特に、ログインエラーの数が1割近いというあたり、いろいろ考えさせられるものがありますね。

それから、ログイン3兄弟の話。ログインシールは実際どのくらいの有効性があるのかな、と疑問に思っていたのですが、そもそも使っているユーザが多くないようですね。

ちなみに、一部で「ログインシールも捏造され得るのでは?」という疑問も出ていたようですが、このログインシール、ベリサインのシールなどとは根本的に異なるものです。このYahoo!のログインシールは、ブラウザのCookieと連動して表示される仕組みになっています。そのため、ドメインが異なる偽サイトにアクセスした場合、ログインシールのCookieは送られませんから、正しいシールをく表示することができないという仕組みです。そのため、ブラウザを変えると表示されなくなるという欠点もあり、以下のように説明されています。

ログインシールはブラウザ(Internet Explorer、Firefoxなど)ごとに設定するので、1台のパソコンを家族で共有している場合などは、誰がログインページを表示しても同じログインシールが表示されることになります。また、複数のパソコンや複数のブラウザを利用している場合(家や会社など)はそれぞれに設定する必要があります。

以上、ログインシールでフィッシング詐欺対策 - Yahoo! JAPAN IDガイド より

……というわけで、欠点もありますが、仕組みとしては有意義なものです (繰り返しますが、ベリサインのシールとは違います)。

リスクベース認証の話はなかなか筋が良いと思いますが、利用者の身近な人による不正アクセスは防ぎにくそうにも思えますね。他のさまざまな仕組みと組み合わせて使って行く必要があるのでしょう。

後半に続きます : 国民のためのウェブサイトを運営するID認証の舞台裏 (後半)

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13

その他サイト