Microsoft Entra Verified ID の概要

  • [アーティクル]

今日の世界では、デジタルと物理的な生活が、私たちが使用するアプリ、サービス、デバイスによってますます絡み合うようになっています。 このデジタル革命によって、可能性の世界が開かれ、かつては想像もできなかった方法で、無数の企業や個人とつながることが可能になりました。

このつながりの増大によって、ID の盗難やデータ侵害のリスクが高まることになります。 これらの侵害は、私たちの個人的な生活と職業生活に壊滅的な影響を与える可能性があります。 しかし、希望はあります。 Microsoft は、多様なコミュニティと協力して、個人が自身のデジタル ID を制御できるようにする分散化 ID ソリューションを作成しています。これにより、一元化された機関や仲介者に頼ることなく、ID データを安全かつプライベートに管理できます。

分散化 ID が必要な理由

今や職場や家庭において、私たちが使用するあらゆるアプリ、サービス、デバイスでデジタル ID が使用されています。 これは、イベントのチケットの購入、ホテルへのチェックイン、ランチの注文まで、私たちの生活におけるあらゆる発言、行動、経験から成り立っています。 現在、私たちの ID とすべてのデジタルなやり取りは他者によって所有および制御されています。その一部については、私たちは認識していません。

ユーザーは毎日、アプリとデバイスに自分のデータへのアクセスを許可します。 情報にアクセスできるユーザーを追跡するには、多大な労力が必要です。 企業の最前線におけるコンシューマーとパートナーのコラボレーションでは、関連するすべてのプライバシーとセキュリティを維持する方法でデータを安全に交換するために、高度なオーケストレーションが必要です。

Microsoft は標準ベースの分散化 ID システムによって、ユーザーと組織が自身のデータをより効果的に管理できる新しい一連のエクスペリエンスを実現したり、アプリ、デバイス、サービス プロバイダーに高度な信頼性とセキュリティを提供したりできると考えています。

オープン標準によるリード

Microsoft は、お客様、パートナー、コミュニティと緊密に連携し、次世代の分散化 ID ベースのエクスペリエンスを実現しようとしています。Microsoft は、この分野で優れた貢献を行っている個人および組織と提携できることを嬉しく思っています。 DID エコシステムが成長するには、標準、技術的なコンポーネント、コード成果物がオープンソースで、すべての人にとってアクセスできるものでなければなりません。

Microsoft は、Decentralized Identity Foundation (DIF)、W3C Credentials Community Group、広範な ID コミュニティのメンバーと積極的にコラボレーションしています。 これらのグループと協力し、重要な標準の特定と開発を進めてきました。Microsoft のサービスには、次の標準が実装されています。

DID とは何か

DID を理解するには、それらを他の ID システムと比較してみることが有効です。 メール アドレスとソーシャル ネットワークの ID は、コラボレーションのための、人間にとってわかりやすい別名です。しかし現在、コラボレーションを超えて、さまざまなシナリオでデータ アクセスの制御ポイントとして機能するために、過剰な負荷がかかっています。 そのため、潜在的な問題が生じます。なぜならば、これらの ID へのアクセスは、いつでも取り消される可能性があるからです。

分散化識別子 (DID) は異なります。 DID は、分散化信頼システムに基づく、ユーザー生成自己所有グローバル一意識別子です。 不変性のより確実な保証、検閲防止、改ざんの回避など、固有の特性を備えています。 これらの属性は、自己所有とユーザーによる制御を実現することを目的とする ID システムにとって非常に重要です。

Microsoft の検証可能な資格情報ソリューションでは分散化資格情報 (DID) を使用し、証明書利用者 (検証者) が検証可能な資格情報の所有者であることを示す情報を証明する証拠として、暗号で署名します。 Microsoft のサービスをベースにして検証可能な資格情報ソリューションを作成する方は、どなたも DID の基本を理解することをお勧めします。

検証可能な資格情報とは

私たちは日々の生活で ID を使用しています。 私たちは、車を操作できることを示す証拠として、運転免許証を使用しています。 大学は、一定の教育レベルに到達したことを証明する免状を発行します。 他の国や地域に到着したら、身分を当局に証明するためにパスポートを使います。 データ モデルでは、インターネットを介しながらもユーザーのプライバシーを尊重する安全な方法で作業するときに、これらの各種シナリオに対応する方法について説明します。 その他の情報については、「検証可能な資格情報のデータ モデル 1.0」を参照してください。

簡単に言えば、検証可能な資格情報は、対象についての情報を証明する発行者によって実行されたクレームで構成されるデータ オブジェクトです。 これらの要求はスキーマによって識別され、DID の発行者とサブジェクトが含まれます。 発行者の DID によって、その情報を証明する証拠としてデジタル署名が作成されます。

分散化 ID のしくみ

私たちには新しい形式の ID が必要です。 テクノロジと標準を組み合わせて自己所有や検閲防止などの重要な ID 属性を実現する ID が必要です。 これらの機能は既存のシステムを使用して実現することは困難です。

これらの展望を実現するには、7 つの主要なイノベーションで構成された技術的な基盤が必要です。 重要なイノベーションの 1 つは、ユーザーによって所有される識別子、そのような識別子に関連付けられたキーを管理するユーザー エージェント、暗号化され、ユーザーによって制御されるデータストアです。

Microsoft の検証可能な資格情報の環境の図。

1. W3C 分散化識別子 (DID) 一切の組織または政府から独立してユーザーが作成、所有、管理する ID。 DID は、公開キー マテリアル、認証記述子、サービス エンドポイントを含む JSON ドキュメントで構成された分散公開キー インフラストラクチャ (DPKI) メタデータにリンクされたグローバル一意識別子です。

2. 信頼システム。 DID ドキュメントを解決できるようにするために、DID は通常、信頼システムを表す何らかの種類の基になるネットワークに記録されます。 Microsoft は現在、DID:Web 信頼システムをサポートしています。 DID:Web は、Web ドメインの既存の評判を使用して信頼を許可するアクセス許可ベースのモデルです。 DID:Web は全般利用可能なサポート状態です。

3. DID ユーザー エージェント/ウォレット: Microsoft Authenticator アプリ。 現実のユーザーが分散化 ID と検証可能な資格情報を使用できるようにします。 Authenticator では、DID を作成し、検証可能な資格情報の発行と表示の要求を容易にして、暗号化されたウォレット ファイルを通じて DID シードのバックアップを管理します。

4. Microsoft リゾルバーdid:web メソッドを使って DID を検索して解決し、DID ドキュメント オブジェクト (DDO) を返す API。 DDO には、公開キーやサービス エンドポイントなど、DID に関連付けられた DPKI メタデータが含まれています。

5. Microsoft Entra 検証済み ID サービスdid:web メソッドを使用して署名される W3C 検証可能な資格情報向けの Azure の発行および検証サービスと REST API。 これらにより、ID 所有者によるクレームの生成、表示、検証が可能になります。 これが、システムのユーザー間における信頼の基礎を形成します。

サンプル シナリオ

VC のしくみを説明するために使用するシナリオには、以下が登場します。

  • Woodgrove Inc.という会社。
  • Proseware。Woodgrove の従業員に割引を提供している会社。
  • Alice。Woodgrove, Inc. の従業員であり、Proseware から割引を受けようとしている

今日、Alice はユーザー名とパスワードを入力して、Woodgrove のネットワーク環境にサインインします。 Woodgrove は、Alice が Woodgrove の従業員であることをより管理性の高い方法で証明できる検証可能な資格情報ソリューションをデプロイしています。 Proseware は、Woodgrove によって発行された検証可能な資格情報を雇用の証明として受け入れ、企業割引プログラムの一部として企業割引へのアクセスを提供します。

Alice は、雇用証明の検証可能な資格情報を求め、Woodgrove Inc に要求します。 Woodgrove Inc は Alice の身元を証明し、Alice が受け入れてデジタル ウォレット アプリケーションに格納できる、署名された検証可能な資格情報を発行します。 これで、Alice は Proseware サイトでこの検証可能な資格情報を雇用証明として提示できるようになります。 資格情報が適切に提示された後、Prosware は Alice に割引を提供し、トランザクションが Alice のウォレット アプリケーションに記録されます。そのため、彼女は雇用証明の検証可能な資格情報を提示した場所と相手を追跡できます。

DID デプロイの例の図。

検証可能な資格情報ソリューションのロール

検証可能な資格情報ソリューションには主に 3 つのアクターがあります。 次の図で説明します。

  • 手順 1 で、ユーザーが発行者に検証可能な資格情報を要求します。
  • 手順 2 で、資格情報の発行者が、ユーザーが提供した証拠が正確であることを証明し、DID を使用して署名された検証可能な資格情報を作成します。ユーザーの DID はそれに対するサブジェクトです。
  • 手順 3 で、ユーザーが自分の DID を使用して検証可能な提示 (VP) に署名し、それを検証者に送信します。次に検証者が、DPKI にある公開キーと照合を行って、資格情報を検証します。

このシナリオのロールは次のとおりです。

検証可能な資格情報の環境のロールを示す図。

発行者

発行者は、ユーザーに情報を要求する発行ソリューションを作成する組織です。 この情報は、ユーザーの ID を検証するために使用されます。 たとえば Woodgrove, Inc. には、検証可能な資格情報 (VC) を作成してすべての従業員に配布することができる発行ソリューションがあります。 従業員は Authenticator アプリを使用し、自分たちのユーザー名とパスワードを使ってサインインします。これにより、ID トークンが発行元サービスに渡されます。 送信された ID トークンを Woodgrove, Inc. が検証すると、従業員についてのクレームを含み、Woodgrove, Inc. の DID で署名された VC が、発行ソリューションによって作成されます。 これで従業員は、自分の雇用者によって署名された検証可能な資格情報を手に入れます。これには、従業員 DID が対象 DID として含まれています。

User

ユーザーは、VC を要求している人物またはエンティティです。 たとえば、Alice は Woodgrove, Inc. の新しい従業員であり、雇用の証拠となる検証可能な資格情報を前に発行されました。 Alice は Proseware で割引を受けるために雇用の証拠を提示する必要がある場合に、Alice が DID の所有者であることを証明する検証可能なプレゼンテーションに署名して、自分の Authenticator アプリで資格情報へのアクセスを許可できます。 Proseware は、Woodgrove, Inc. によって発行された資格情報を検証でき、その資格情報の所有者は Alice です。

検証方法

検証者は、自分が信頼する 1 人または複数の発行者からのクレームを検証する必要がある会社またはエンティティです。 たとえば、Proseware は Woodgrove, Inc. を信頼しており、従業員の ID の検証と本物の有効な VC の発行という適切な仕事を実行します。 Alice が自分の仕事に必要な装備の注文を試行すると、Proseware は SIOP や Presentation Exchange などのオープン標準を使用して、Woodgrove の従業員であることを証明するユーザーに対して資格情報を要求します。たとえば、Proseware は、携帯電話のカメラでスキャンできる QR コードが記載された Web サイトへのリンクを Alice に提供する可能性があります。 これにより、固有の VC の要求が開始されます。それが Authenticator によって分析され、Alice は自分が雇用されていることを Proseware に示す要求を承認できるようになります。 Proseware は、検証可能なプレゼンテーションの信頼性を検証するために、検証可能な資格情報のサービス API または SDK を使用できます。 Alice から得た情報に基づいて、Alice に割引を提供します。 Woodgrove, Inc. が自社の従業員に VC を発行していることを、その他の会社や組織が知っている場合は、それらも検証者ソリューションを作成し、Woodgrove, Inc. の検証可能な資格情報を使用して、Woodgrove, Inc. の従業員のみを対象とした特別なオファーを提供できます。

Note

検証者は、オープン標準を使用して提示と検証を実行するか、単に独自の Microsoft Entra テナントを構成して作業のほとんどを Microsoft Entra 検証済み ID サービスに実行させるようにすることができます。

次のステップ

DID と検証可能な資格情報について確認したところで、スタート ガイド記事か、検証可能な資格情報の概念について詳しく説明している Microsoft のいずれかの記事に従って、それらを自分で試してみてください。