ユーザー認証はこれからどうなるのか

JICS2014セキュリティトラックを聞いてユーザー認証についていろいろ考えさせられた。

ディスカッションでは Adobe の1億5千件におよぶ情報漏洩をひとつの大きな転換として業界内での横のつながりが必要だと認識されつつある段階なのだという話題があり、ユーザー・事業者・プラットフォームで責任分界を決めるべきであるという発言があった。

今後は、どうあるべきかということと、実際どうなっていくかということには微妙に食い違いながら進展していくと思うが、ゆくゆくはこうなるだろうという本命はプラットフォームが提供する認証手段を各サービスが利用する形態だと思う。

そこでプラットフォームについて思いをはせてみたいのだが、よくよく考えてみれば、例えばiPhoneを使っているとすると手元の端末のロック解除して使ってるんだからその時点で本人確認は一度終わっているので、Webだろうと何だろうとそれ以降の認証手続きは省略されるっていうのはありかもなぁ、そうなると楽だなぁ、と思う。

全体的な方向性としても、そういう楽な方向に流れ着いていきそうな気がしている。

Googleなどのプラットフォームを提供する事業者は匿名モードを提供することもできるので、どこの認証を透過的に扱うかなどはユーザーがサービスごとに設定できればよさそうだ。

…などとディスカッションを聞いた帰りの電車でぼんやりと考えていた。