2014/04 季刊 ● 企業リスク 108

1.OpenIDとは　ネットバンキングやネット通販など会員登録(ア

カウント作成)、ログオンが必要なサービスを利用

する機会が増えている。本来そのようなサービスを

提供するサイト毎に異なったID・パスワードでアカ

ウントを作成する方がセキュリティ的には安全なこ

とは自明だが、ID・パスワードの管理が煩雑になり、

多くの人がかなりの確度で大手のSNSサービスや

WebメールサービスのIDとパスワードを使い廻して

している、というのが現状ではないかと思われる。

　OpenIDとはOpenIDプロバイダーのサイトにア

カウントを作成しておくと、サービスを利用したい

サイトがOpenIDに対応している場合（このような

サイトをRP:Relying Partyと呼ぶ）、そのサイトに

OpenIDに登録済みのアカウントを使ってログオン

時の認証（本人確認）を可能とするサービスである。

RP側から見るとOpenIDプロバイダに認証（本人確

認）を引き受けてもらえることになり、ユーザー認

証のために漏洩リスクのある個人情報を保管・管理

せずに済むメリットがある。

　OpenIDで認証する大まかな流れは、①ユーザー

がRPのサイトにアクセスする、②RPのサイトでユー

ザーがOpenIDで認証するを選択する③ユーザーは

OpenIDプロバイダーのサイトにリダイレクトされ

る④OpenIDプロバイダーのサイトで登録したID,

パスワードでログインする⑤ログインが成功すると

RPのサイトでの認証が完了し、RPのサイトにリダ

イレクトされ、サービスが利用できるようになる、

のようになっている。

　２．OpenIDの問題点　　　

　その名の通り規約に準拠すれば誰でもOpenID

プロバイダーを開設できる。そのため中には怪しい

OpenIDプロバイダーも存在する。仮にOpenIDプロ

バイダーが侵入され認証システムが乗っ取られると、

そのOpenIDプロバイダーの全利用者に「成りすまし」

の被害を受ける脅威が発生する。また悪意のあるRP

はOpenIDプロバイダーにリダイレクトした（上記流

れの②）と見せかけて、OpenIDプロバイダーのログイ

ン画面を模倣した画面を表示し、ユーザーのID、パス

ワードを盗取する（フィッシング）ことが可能になる。

このような理由から普通はインターネット業界大手、

Google, FaceBook, Twitter等が提供するサービス

が利用される。更にRPが単一のOpenIDプロバイダー

にだけ依拠していると、万が一そのプロバイダーの

サイトがダウンした場合には、そのOpenIDプロバイ

ダーだけを利用しているユーザーには一切のサービス

が提供できなくなる。そのため一般的にRPは複数の

OpenIDプロバイダーを受け入れる設定になっており、

ユーザーも複数のOpenIDプロバイダーのアカウント

を用意しておく必要がある。

　OpenIDを安全、安定して利用するには、信頼できる

OpenIDプロバイダーを選ぶことと、RPからリダイレ

クトされた先で表示される画面が真正のOpenIDプロ

バイダーの画面であることを慎重に確認することが

重要である。

３.OAuthとは　一方、OAuthとはWebサービス間の自動連携を実現

させるための仕組みである。例としてインターネット

企業リスクの言葉

トーマツ 企業リスク www.deloitte.com/jp/book/er

2014/04 季刊 ● 企業リスク 109

上で写真の保存・共有サービスを提供するサイト（ク

ラウドアルバム）がある。この手のサイトでは、新たな

写真が追加されたときに自動的に「新たな写真をアッ

プしました」とTwitter等のSNSに投稿するサービスを

提供しているケースが多い。この自動投稿サービスを

実現しているのがOAuthという仕組みで、Twitterとク

ラウドアルバムサイトで事前に取り決めがなされお

り、ユーザーがこの自動連携の仕組みを許可すれば、

先の自動連携が実現するようになっている。この例の

場合、クラウドアルバムサイトはOpenIDのときと同

様にRP、TwitterはOAuthサービスプロバイダーと呼

ばれる。

４．OAuthを認証に　 使う問題点

　このようにOAuthはユーザーがサイトで利用でき

る機能（権限）の代理利用を許可するものだけであ

るはずだが、ユーザー認証（本人確認）にも使われる

ケースが多く、これが問題となっている。先の例をも

とに解説すると、クラウドアルバムサイト（RP）の利

用を開始するときに、Twitterサイトにリダイレクト

され、そこでID・パスワードの入力が求められるの

だが、ユーザーはOpenIDによる認証と誤認して作業

を進めてしまうことがある。が、実はこれがOpenID

による認証ではなくOAuthによる自動連携に許可

を与えてしまっている結果になっているという「認証

もどき」の事例が多い。

　これはユーザーによるOAuthの代理利用が許可

されるプロセスにおいて、そのユーザーがOAuth

サービスプロバイダー（先の例ではTwitter）の正当

なユーザーであるか否かの確認をとるステップが発

生するが、これを本人確認の代用になると誤認した

ものである。

　なぜこのようなRPが多数存在するについては、お

そらく両者を混同し、新しく出てきたOAuthの方を

無意識に採用したものか、もしくはOpenIDの機能

にサイト間の自動連携機能を拡張したものがOAuth

である、とのRP側の誤解に基づくものと思われる。

同じものであれば新しいものを採用する、あるいは

今は自動連携は考えていないが、将来の拡張を見据

えるとOpenIDよりOAuthを実装しておく方が有利、

との考えることは当然であろう。また大手のOpenID

プロバイダーはまた同時に大手のOAuthサービスプ

ロバイダーである事実も両者の混同に拍車をかけて

いるものと思われる。

　アイデンティティに配慮しつつ、自動連携を実現

した便利なサービスを提供してユーザーを引き付け

たいというRPの願望には間違いはないが、その実

現手段が誤っていたということだ。このようなサイ

トが極めて危険であることは自明であろう。なぜな

ら、これは例えて言うと、部屋の鍵を渡してもらい、

その鍵でその部屋に入ることが出来たら、その鍵を

持参した者はその部屋の正当な所有者とみなす、と

いう理屈で本人確認が行われているのと同じであ

るが、鍵の入手者は、部屋の所有者の意図を超えて

自由に部屋に出入り出来るという事態が発現する

からである。

５．まとめ　OpenIDとOAuthは混同されることが多いが、前

者が本人確認（Authentication）

　後者が代理権限委譲（Author izat ion）の仕組み

で、両者は全く別物である。企業ユーザーが業務で

トーマツ 企業リスク www.deloitte.com/jp/book/er

2014/04 季刊 ● 企業リスク 110

特集

サイバーセキュリティ、現状と対策●サイバーセキュリティの現状と

対策のトレンド

●サイバー攻撃における予防的統制の

限界と発見的統制の高度化

●サイバー攻撃の被害調査の重要性と

　その調査手法

●サイバー攻撃の被害発生後の対外対応

　と事前の備え

研究室

●排出量取引制度：制度間リンクへの挑戦　～検証の視点から～●製薬業界にみる贈収賄リスクの高まり

連載

●企業リスクの現場　第3回 グローバルグループガバナンス　について考える（後編）

●企業リスク海外事情　ブラジルは日本企業にやさしいか

企業リスクの言葉

OpenIDを利用する際には、悪意のあるRPが存在す

る脅威を忘れないこと、OAuthによる自動連携サービ

スを提供しているサイトを利用してるときは、どのよ

うなサービスが自動化されているか（どこまで権限を

委譲しているか）を一度確認することが大切である。

　また企業がサービスとしてOpenIDの使えるサイ

トを開設・運用する場合には信頼のおける複数の

OpenIDプロバイダーと連携しておくことと、更に自

動連携サービスを提供する場合は、ユーザー認証に

OAuthを誤用した設計になっていないかをベンダー

等に確認することが重要である。

バックナンバーのご案内

第42号（2014年1月号）

トーマツ 企業リスク www.deloitte.com/jp/book/er

季刊誌「企業リスク」のご案内～企業を取り巻く、様々なリスク管理活動を支援する専門誌～

○先進企業の取り組みをご紹介する「企業リスク最前線」

○最新の重要テーマを多角的な視点から解説する「特集」

○法改正とそれに伴う企業の影響を詳説する「研究室」

○専門的な知見をわかりやすくお伝えする「企業リスクの現場」

〈発　　　　　行〉

〈主なご購読層〉

〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、内部統制、ITガバナンス、IT統制、不正対応、海外子会社ガバナンス、知的財産、事業継続、CSR、各種法改正に伴う対応等

1月・4月・7月・10月（年4回）

事業会社の内部統制、内部監査、経営企画、リスクマネジメント等に従事されている方

攻め・守りの双方向から、企業が経営を適切に推進するための最新情報が詰まった一冊です。貴社のガバナンス体制構築に、ぜひお役立てください。

トーマツ企業リスク研究所

季刊誌「企業リスク」WEBサイトはこちら

トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理について研究する専門部署として2002年10月より監査法人トーマツ（現：有限責任監査法人トーマツ）内に設置されました。トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情報提供、季刊誌の発行などを行います。

〈トーマツ企業リスク研究所とは〉

「企業リスク」の無料試読を承っております。※最新号のみに限らせていただいております。※お1人様1回のみお申込みいただけます。

「企業リスク」のバックナンバー記事をWEBサイトで無料公開しております。ぜひご覧ください。

無料試読のご案内 バックナンバー記事のご案内

無料試読のお申込みはこちら バックナンバー記事の閲覧はこちら

トーマツ企業リスク研究所の詳細はこちら

トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた専門家の知見をお届けします。

■掲載コーナーご紹介

■概要