分散型アイデンティティとは

集中型アイデンティティ管理ソリューションでは、SSO（シングルサインオン）などの認証機能を使用できるため、組織がIAM（アイデンティティおよびアクセス管理）プラクティスを拡大するのに役立ちます。ただし、集中型アイデンティティ管理にはリスクとトレードオフが伴います。例えば、脅威アクターは頻繁に中央集権的機関を標的にし、機密データを侵害しようとします。さらに、権限が中央に集約されていることで単一障害点が生じ、ユーザーが自分の個人データを完全には制御できなくなります。 

DCI（分散型アイデンティティ）では、多くの場合、認証にブロックチェーンなどのDLT（分散型台帳技術）を使用し、アイデンティティ管理の一元化に関連する課題に対処できるようになります。DCIでは、中央データベースに個人を特定できる情報 (PII) を保存している中央集権的機関から分離された認証がサポートされます。 

ただし、DCIには欠点があります。分散型アイデンティティは、スケーリングと複雑さの問題を生む可能性があります。DCIが自社のユースケースに適しているかどうかは状況次第であり、一律には決められません。この記事では以上を踏まえた上で、DCIの概要を示し、一般的なユースケース、利点、実装上の課題について説明します。

分散型アイデンティティの目的は、中央集権的機関への依存度を減らしてセキュリティを向上させることですが、アイデンティティベースの攻撃を一掃できるわけではありません。脅威アクターは、ソーシャルエンジニアリング、侵害された認証情報、セッションハイジャックなどを使用し、アイデンティティシステムの悪用を続けます。組織は、分散型アイデンティティとリアルタイムのアイデンティティ保護を組み合わせた多層的な方法で、アイデンティティセキュリティを確保する必要があります。

分散型アイデンティティの主な概念

DCIは中央集権的機関を必要とせず、代わりに標準のクロスプラットフォームフレームワークを使用して、ユーザーの個人を特定できる情報 (PII) を利用せずに一意のユーザーアイデンティティと認証情報を生成します。これらのアイデンティティの多くは、ユーザーによってブロックチェーンに保存されます。ブロックチェーンは暗号によって保護された分散型台帳であり、いかなるエンティティもシステム全体を侵害できないようにします。 

分散化をサポートし、個人データのプライバシーを保護するDCIの主な要素を見ていきましょう。

分散型アイデンティティ

他のアイデンティティソリューションと同様に、DCIには一意のユーザー識別子が必要です。DID（分散型識別子）は、DCI実装内のアイデンティティに関連付けられた一意の英数字文字列です。DIDはユーザーが制御し、中央機関なしで検証可能です。その性質上、DIDには電話番号、Eメールアドレス、名前などの個人データは含まれません。 

自己主権型アイデンティティ

SSI（自己主権型アイデンティティ）は、ユーザーが自分のデジタルアイデンティティとデータを完全に制御することができる、分散型アイデンティティの実装です。特定の時点においてどの情報にアクセスできるかをユーザーが決定できるため、サードパーティのデータストレージが不要になり、ユーザーからの信頼が高まり、プライバシーに関する懸念が軽減されます。SSIはDCIのサブセットですが、DCIを実装できる唯一の方法ではありません。

ブロックチェーンテクノロジー

ブロックチェーンは、ユーザーアイデンティティの安全で改ざんから保護されたストレージと検証を可能にする、分散型で不変の公開台帳です。ユーザーの公開DIDはブロックチェーンに保存され、ユーザーのアイデンティティに関する信頼できる唯一の情報源として機能します。ほとんどのDCIソリューションは認証情報をユーザーのウォレットにオフチェーンで保存しますが、オンチェーンの検証方法を試している実装もあります。ユーザーが自分のアイデンティティを証明する必要がある場合は、認証情報から得られた暗号証明をブロックチェーン上で共有できます。台帳は不変かつ分散型であるため、すべてのユーザーが実際の認証情報にアクセスすることなく、認証情報の真正性と整合性を検証できます。

アイデンティティウォレット

アイデンティティウォレットは、ユーザーの認証情報を安全に保存し、機密情報を公開せずに認証情報を共有できるように設計された安全なデジタルリポジトリです。ユーザーはこれを利用して、中央アイデンティティにこれらの認証情報の保存を任せることなく、プライバシーを保護しながら自分の身元を証明できます。 

暗号的に検証可能な認証情報

アイデンティティは検証可能な場合にのみ役立ちます。DCI実装では、暗号化されて署名された認証情報により、アイデンティティやその他の属性（雇用状況や年齢など）の証明が可能になります。例えば、W3C（ワールドワイドウェブコンソーシアム）データモデルに準拠した政府発行のIDやパスポートを使用して、機密性の高い個人データがブロックチェーンに保存されることを回避しながら、必要に応じて証拠を生成できます。

実際の分散型アイデンティティユースケース

DCI実装では基本的に、ユーザーが自分のデータを制御し、個人を特定できる情報 (PII) を保護できるようにします。実際のDCIの一般的なユースケースには、次のものがあります。 

• デジタルオンボーディング：アプリケーションやサービスは、年齢や国籍などのユーザー属性の確認に検証可能な認証情報を利用することで、オンボーディングプロセスを簡素化できます。ユーザーのプライバシーを保護することに加え、機密性の高いユーザードキュメントの安全な処理および保存方法を管理する組織の負担も軽減します。 
• アクセス制御：暗号化されて署名された認証情報により認証情報の真正性が確保され、パスワード漏洩によるアカウント乗っ取り攻撃が発生する可能性が低下します。そのため、従来の認証オプションの代わりに暗号化されたアイデンティティの証明を利用することで、デジタルアプリケーションのセキュリティポスチャを向上させ、収益の損失を最小限に抑え、ユーザーからの信頼を高めることができます。 
• 国境を越えた検証：物理的な文書には機密性の高い個人を特定できる情報 (PII) が含まれており、盗難や改ざんのリスクがあります。民間組織や行政サービスでは、海外旅行、ビザの発行、リモートワークで個人を識別する際の代わりの方法としてDCIを使用することで、物理的な文書への依存度を軽減できます。

分散型アイデンティティの主な利点

DCIにより、ユーザーは自分のアイデンティティをより完全に制御できるようになり、プライバシーに関する懸念やデータ漏洩のリスクも軽減されます。DCIの主な4つの利点を具体的に見ていきましょう。 

1：プライバシーとユーザー制御の強化

DCIを使用すると、認証情報の保存に関して中央機関に依存せずに済むようになり、ユーザーは自分のデータを完全に制御できるようになります。認証情報は代わりに、暗号化され、改ざん保護が施された分散型のシステムに保存されるため、ユーザーはプライバシーとデータセキュリティに関して安心を得ることができます。 

2：データ侵害リスクの軽減 

クラウドストライクが報告するデータ侵害件数は近年増加しており、組織は進化するデータ脅威から自社のデータストレージシステムを保護するのがより困難になっていると感じています。中央機関のデータ侵害は、その機関を利用して認証を行っている組織に影響を与え、収益とユーザーからの信頼が失われる恐れがあります。DCIに切り替えると、単一のデータストレージプロバイダーのセキュリティにシステムが依存せずに済むようになり、このリスクが軽減されます。 

3：相互運用性

DIDや検証可能な認証情報などのDCIの主要コンポーネントは、広く採用されているW3C標準に基づきます。この標準ベースのアプローチにより、プラットフォームをまたいだシームレスな統合と相互運用性が実現します。 

4：ゼロトラスト原則の準拠 

従来の認証情報ストレージシステムでは、ユーザーは中央機関を信頼する必要があるため、中央機関が侵害された場合のデータ侵害のリスクが高くなっていました。DCIは、デフォルトではどのエンティティも信頼しないことを前提として、ゼロトラストの原則に準拠しています。 

分散型アイデンティティの課題と限界

DCIは、まだ広く普及しておらず、スケーラビリティとコンプライアンスに課題がある、新興テクノロジーです。このセクションでは、現在DCI実装が直面している一般的な課題と限界について説明します。 

導入障壁 

既存の集中型アイデンティティプロバイダーが変化を嫌っているため、DCIはメリットがあるにもかかわらず、導入は進んでいません。組織が既存のシステムを新しいアイデンティティストレージソリューションに移行する際に、重大なロジスティクス上や規制上の障害に直面している場合もあります。 

スケーラビリティに関する懸念

ユーザー数が増加した場合、分散型台帳では、ネットワーク輻輳とアイデンティティ解決の遅延により、遅延の問題が発生する可能性があります。さらに、暗号化操作は計算負荷が高く、数百万のユーザーを抱える大規模組織の高いスループット要件を満たすのが困難な場合があります。 

規制とコンプライアンスの問題 

GDPRやCCPAなどの企業コンプライアンス要件やプライバシーに関する法律は変化し続けるため、DCIシステムのコンプライアンスの維持が困難になる可能性があります。集中型アイデンティティプロバイダーには、このような規制の変更に対応する専任の専門家チームがありますが、DCIソリューションでは、システムを維持するために複数の組織による協調的かつ共同的な取り組みが必要です。 

操作性

DCIは、アイデンティティウォレットや暗号鍵などの新しいテクノロジーやプロセスに慣れていないユーザーにとっては、学習負荷が高くなる可能性があります。さらに、ユーザーによっては復旧鍵やウォレットを安全に管理するのが難しい場合もあります。これらの認証情報が失われるとユーザーアカウントが復旧不可能になります。

クラウドストライクが包括的なアイデンティティセキュリティを提供する仕組み

従来の集中型アイデンティティ管理ソリューションでは、個人を特定できる情報 (PII) データを中央機関に預ける必要があるため、ユーザーはデータ侵害やアイデンティティの窃取の被害に遭いやすくなります。分散型アイデンティティは、アイデンティティデータの制御をユーザーに返すことでこのリスクを軽減しますが、その代わりに複雑さと管理に関して問題が生じます。現代の組織には、データのリスクを抑えながら拡張できる包括的なアイデンティティソリューションが必要です。 

CrowdStrike Falcon® Next-Gen Identity Securityは、包括的なアイデンティティおよびエンドポイントセキュリティソリューションを提供し、次のようにして、組織が現代の環境でユーザーアイデンティティを保護できるようにします。  

• アイデンティティ攻撃に対するリアルタイムの防御を可能にする
• ゼロトラストシステムとシームレスに統合して、ラテラルムーブメントを防止する
• 認証、承認、アクセスイベントの高度なモニタリングを行い、ユーザーの異常な振る舞いを自動的に検知する
• 従来のアイデンティティシステムと最新のアイデンティティシステムの両方を保護することで、DCIの取り組みを補完する