はじめに

第1章 デジタルアイデンティティとID管理の概要
1-1デジタルアイデンティティとは
現実社会におけるエンティティとアイデンティティ
デジタルアイデンティティとそれを構成する属性情報
アイデンティティとプライバシー
1-2ID管理とその構成要素
アイデンティティ管理（ID管理）とは
オンラインサービスの特性によるID管理の違い
ID管理の構成要素

第2章 ID管理の構成要素
2-1身元確認
現実世界における身元確認
デジタル世界における身元確認
［COLUMN］【最近のトレンド】身分証明書のデジタル化（スマートフォン搭載）
2-2当人認証
現実世界における当人認証
「本人確認」は身元確認か、当人認証か
デジタル世界における当人認証
2-3デジタル世界で使われている当人認証の方式とその変遷
パスワード認証
メールやSMSを用いたワンタイムパスワード（OTP）認証
時間ベースのワンタイムパスワード（TOTP）認証
モバイル認証アプリ（プッシュ通知）を用いた認証
バックアップコードを用いた認証
多要素認証（MFA）とパスワードレス認証
フィッシング耐性をもつFIDO認証
パスキー認証の登場
［COLUMN］ユーザー認証における脅威分析のための2つの軸
2-4ID連携
現実世界のID連携
デジタル世界におけるID連携
身元確認としての利用
当人認証としての利用
ID連携を実現するためのフェデレーションプロトコル
2-5アクセス制御
現実世界のアクセス制御
デジタル世界のアクセス制御
2-6セッション管理
現実世界のセッション管理
デジタル世界のセッション管理

第3章 単一サービスにおけるID管理機能
3-1ID管理の基本構成とライフサイクル
単一サービス内で完結するID管理
ユーザーの情報を管理するアイデンティティレジスター
ユーザーの状態と状態遷移を表すアイデンティティライフサイクル
3-2新規登録
サービスを利用する最初のステップ
新規登録の主なプロセス
3-3ログイン
本人であることを証明してサービスを利用する
ログインの主なプロセス
3-4ログアウト
サービス利用を安全に終了する
ログアウトで行われるプロセス
3-5再認証
重要な操作の前に本人であることを再確認する
再認証で行われるプロセス
3-6ユーザー情報の設定変更
登録した情報を変更・更新する
設定変更の対象となる主な情報
3-7セッション管理
ログインセッションをユーザー自身が確認する
セッション管理で提供される機能
3-8本人確認（KYC）
現実世界の身元を証明する
3-9アカウントリカバリー
ログインできなくなったアカウントを復旧する
アカウントリカバリーで行われるプロセス
3-10無効化と復旧
アカウントの利用を一時的に停止・再開する
無効化したアカウントを復旧する
3-11退会と復旧
サービスの利用をやめてアカウントを削除する
退会したアカウントを復旧できる場合とできない場合
3-12セキュリティイベントログ
自分のアカウントの履歴を確認する
ログに記録すべき情報
［COLUMN］自分のアカウントに不正ログインされたかも？ と思ったら

第4章 複数サービスが関わるID管理機能
4-1ID連携の概要
ID連携の登場人物とID管理機能の関係
ID連携にて行われる各種情報の通知
4-2IdPのID管理機能強化
新規登録時の情報通知
セッション情報の変更通知
RPからの認証要求への対応
ユーザー情報変更時の通知
アカウント状態の変更通知（無効化・退会）
4-3ID連携におけるRPのID管理機能
新規登録の簡略化
ID連携におけるログイン
ID連携におけるログアウト
ID連携における再認証
ID連携のための設定管理
ログインセッションに関する通知の処理
ID連携におけるアカウントリカバリー
ID連携における本人確認（eKYC）
ID連携における無効化と退会
ID連携におけるセキュリティイベントログ

第5章 ID管理機能の設計時に意識したいポイント
5-14つの観点
セキュリティ
プライバシー
ユーザビリティ
アクセシビリティ
5-2「信頼」と「体験」のトレードオフを乗り越える
画一的な高セキュリティ要件によるユーザビリティの低下
セキュリティ強化が引き起こす新たなリスク
5-3ID管理における基本原則
OECDプライバシー8原則
アイデンティティの7原則（The 7 Laws of Identity）
5-4ID管理に関連するガイドライン
NIST SP 800-63 Digital Identity Guidelines
NIST SP 800-63の概要と構成
SP 800-63A：身元確認とアイデンティティの登録
SP 800-63B：当人認証と認証器の管理
SP 800-63C：ID連携とその中でやり取りされる情報
5-5ID管理と標準化仕様
標準化仕様の優位性
Web Authentication（WebAuthn）：An API for accessing Public Key Credentials
RFC 6238 TOTP：Time-Based One-Time Password Algorithm
OAuth 2.0
OpenID Connect（OIDC）
System for Cross-domain Identity Management（SCIM）
Shared Signals Framework（SSF）
5-6注意したい実装例
可変なユーザー識別子の内部利用
攻撃者に親切なエラー表示
セキュリティ重視よるユーザビリティ低下
当人認証、身元確認の手段を同時に失う“詰み”につながる実装

第6章 ID管理機能を支える技術と開発スタイル
6-1ID管理機能を支える技術
「WebアプリケーションとしてID管理機能を提供する」という選択肢
HTTPを用いたフロントチャネル、バックチャネルのリクエストとレスポンス
エンコード、デコード：Base64URLエンコード、CBOR
ID管理で利用する暗号技術
JOSEとCOSE
チャレンジレスポンス認証
Webブラウザの果たす役割
デスクトップアプリ、ネイティブアプリとの連動
6-2ID管理機能の開発スタイル
汎用性と自由度のバランス
スクラッチ実装
既存のライブラリやフレームワークの利用
ID管理の製品、IDaaSの利用

索引