OpenID ファウンデーション・ジャパン

EIC 2016 (European Identity Conference 2016) でのIan Glazer氏の講演内容・翻訳版

By nov | 2016年06月27日

元記事はこちら

本翻訳はエクスジェンネットワークス江川様よりOpenID Foundation Japan事務局にご提供いただいて掲載させていただいています。

THE MOMENTS AHEAD FOR IDENTITY

これは、EIC2016での私の講演内容です。
「TCP/IP Moment」という文で始まるこの講演は見当違いな話に見えますが、今までに私が考え、講演した中でも最も重要なものだと思います。

まず最初に、Allan Foster, Robin Wilton, Nat Sakimura, Josh Alexander, Chuck Mortimore, Joni Brennan、そしてJosh Nanbergに大変深く感謝します。この講演のアイデアは、これらの方々と何年もの間に交わしてきた会話、議論からヒントをもらい、生み出されたものです。

TCP / IPスタックに対して代金を支払っていたことを覚えていますか?
普通に、ネットワークスタックに対して代金を支払ったことを覚えていますか?
我々は正しいスタックの上で動作するネットワークカードを買う必要がありました。

しかし、考えてみてください。
今はネットワークスタックのための代金を支払っていますか?
今、TCP / IPのための代金を支払っていますか?
今、標準技術を実装するための代金を支払っていますか?

かつて、我々が行ってきたことは、なんと奇妙なことで、なんと懐かしいことだったでしょうか。

しかし、今や誰もTCP/IPにはお金を支払っていません。

ネットワークスタックが無償になったとしても、ネットワークでの仕事がなくなりませんでした。
我々には以前よりも多くのネットワークエンジニアが必要です。
彼らの仕事は時間と技術の変化とともに変わりました。

2016年も半ば、我々はネットワーク業界でTCP/IPが無償になった瞬間と同様の時を、今、Identity業界も迎えようとしているのだと認識する必要があると思います。
Identity技術は十分に標準化され、十分に実装されました。
別の言い方をすれば、標準化技術を利用しないアプローチは、現在の企業が求めるゴールとは相反します。

簡単に言うと、Identityは「TCP/IP Moment」の時を迎えています。
そしてこの「TCP/IP Moment」はIdentity Managementにおけるまた別の多くの瞬間を産み出します。

私は我々の業界をさらに先に進めるため、以下の3つの影響力のある瞬間について話したいと思います。

  1. Standards-based identity
  2. Outcomes-based identity
  3. Professionalized identity

私はこれらの瞬間についてと、これらの瞬間がIdentityにどう結び付くかについてお話ししたいと思います。
それは大きな変化を伴いますが、それを恐れることはないといいうことについても言及しておきます。

The Movement of Standards-based Identity - Identity技術の標準化の動き

もし、あなたが標準化されたフェデレーション技術を利用していないなら、あなたは誤った歴史を歩むでしょう。
もし、あなたが標準化されたプロビジョニング技術を利用していないなら、あなたは誤った歴史を歩むでしょう。
もし、あなたが標準化された連携技術でお金をとっていたら、あなたは誤った歴史を歩むでしょう。
あなたの利用しているのはBanyan VinesのIdentityではないでしょうか。
またはあなたが利用しているのはLU6.2ベースのIdentity連携ではないでしょうか。
もし、あなたが若く、Banyan VinesもLU6.2も知らないならば、私の話はもうこの辺にしておきましょう。

我々の業界の標準は、もっと多くののユースケースを受け入れることができる(潜在)能力があります。
フェデレーションベースのシングルサインオンと属性情報連携の標準化技術は特に強力です。
歴史的にプロビジョニングは軽視されていましたが、SCIM2.0で少し注目され始めました。
XACMLやそれに関連するAuthorizationの標準化技術は堅牢で、可能性を秘めており、もっと採用されるべきです。
UMAやMinimum Viable Consent Receiptなどは、その他の標準がカバーしきれていないが重要度の高いケースをカバーします。

標準化技術だけではなく、その実装に対する適合化テストも提供されています。
OpenID Connectが行ったように、将来的にはもっと多くの適合テストが行われることを期待しています。

また、さらに重要なのは、企業顧客は、標準化技術が予め製品に実装されていることを望んでいます。
誰も自分たちの仮想環境にTCP/IPのスタックをインストールしたくありません。
また誰も自分たちのIdentityサービスにSAMLやOAuthをインストールすることを望んでいません。

企業はリスクを減らす製品を期待しています。
標準化技術はシステムを構築する場合の負荷を減らし、それに伴いオペレーショナルリスクを減らします。
それゆえに、企業は自分たちが構築し、利用するサービスに標準化技術がビルトインされていることを期待します。

そうなると、ベンダー(technology suppliers)は標準化されたIdentity技術そのものでは代金を請求することは今後できなくなります。
このことは顧客に「今後なくなるはずのリスクに対してお金を支払いますか?」と問うことと本質的に同じです。
このことは事実上「あなたが今使っているIAMプロジェクトは素晴らしい。将来、このSSOプロセスで何か悪いことが起きるとしたら、それは恥ずべきことです。」と脅迫しているのと同じです。

標準化技術が存在し、適合化テストの場もあり、顧客ニーズがあるにも関わらず、標準化されたIdentity技術を実装しないプロバイダーが存在します。
「もし、あなたの利用しているサービスプロバイダーが、標準化されたIdentity技術を実装していないのでれば、それは、あなたもしくはあなたの顧客に対する要求に応えてないことと同じです。」と、言うことを私は以前から言っていますし、今後もまた繰り返すでしょう。

サービスプロバイダーが標準化されたIdentity技術を実装しない理由は2つあります。
ひとつは単純に彼らが利用できる標準化技術と、それを実装できるライブラリーがあるのを知らないのかもしれません。
私は今、この時代にプロバイダーが標準化されたIdentity技術に無知であることは信じられないが、それは真実なのです。
そして、それが真実なのであれば、Identity業界において標準化技術に簡単に対応できるようにする仕事はより良い仕事なのです。

サービスプロバイダーが標準化されたIdentity技術をサポートしないもうひとつの理由は、彼があなたやその他の顧客を嫌う、sociopaths (社会病質者=人嫌いな変わり者) なのです。
標準化技術をサポートしないことは、あなたをS-SaaS (人嫌いな変わり者as a service) にします。
そしてあなたの居場所はなくなります。

Outcomes-based Identity - 結果重視のIdentity

Identityのプロフェッショナルが企業で価値あるメンバー、同僚として認められるようになる時、我々は結果重視のIdentityの瞬間にたどり着いた言うことができる。
我々はリスクを減少させることや顧客を喜ばせることを支援することを目的とした時、我々が結果重視のIdentityが達成されたと言える。
我々がそれを行う責任を持ち続けた時、それは結果重視のIdentityの達成に繫がる。
そしてその瞬間、CPO (Chief Privacy officer) やCISO (Chief Information Security officers.) と同様にデジタル化されたエンプラ業界のCCO (Chief Customer Officer) から強い信頼を得るようになるだろう。
その瞬間、我々は意思決定の場で重要視されるようになるだろう。

しかしそのためには、我々は、プログラム(仕様)ベースではなく、プロジェクトベースでIdentityを捉えないとそれは達成できない。
我々が結果重視のIdentityにならないとそれは達成されない。

結果重視のIdentityに進めるためには、①リスクを減らすこと、②顧客を喜ばすこと、このたったの2つのことが必要である。
結果重視の我々のIdentity Programはこの2つのことで評価される。
我々のエンプラ業界におけるリスク低減と、顧客を喜ばすことを支援するのだ。
我々のIdentity Programにおいては理想的にはこの両方を目標とするのが良いが、大体、どちらか一方をフォーカスした戦略になっている場合が多い。
しかし、我々は両方にフォーカスすることを希望したい。
その瞬間がやってくると、我々の業界はその成果である対投資効果については、疑わしいものから正確な数字の評価に変わっていく。 (訳者注:つまり顧客を喜ばすこととは顧客満足というより、数字をあげることだと言っていると考える)

結果重視のIdentity worldでは我々は最終的に達成された大きな効果(ゴール)とプログラムの成果をもって成功したかどうか判断する。
我々はどれだけ基礎的な技術を実現できたかでは評価されない。
例えば自動化されたプロビジョニング技術そのものはTCP/IPの接続性自体にもはや感動がないように、それ自体では翔さんに値するものではなくなる。
(訳者注:TCP/IPが繫がるようにプロビジョニングは自動化できて当たり前)

リスクと満足(喜び)それは重要な結果である。
いかに上手にセキュリティを考えるグループの一員となり仕事をするか、いかに上手に顧客満足を考えて仕事をする人たちの一員になるかである。

リスクとは:アクセス関連のリスクを低減する能力は、今日のハイパーコネクトな時代では今までにないほど必要とされています。
何かにアクセスした人が、何時、何にアクセスしたかはより重要な質問となって来ています。
すべての業界のすべての企業にとって、Identityはセキュリティをコトロールするための重要な構成要素です。
しかし、このように捉えるのであれば、我々はアクセス証跡をもっと報告しないといけません。
また、我々はもっと、高いレベルでIdentityの保証レベルを担保しなければなりません。
このことは、我々はリスク低減の観点から、ステークホルダーや経営者層に対してと同様に、セキュリティやプライバシーの担当者に対してもIdentityの運用的な観点、ブランド、テクニカルリスクなどIdentity Program全体を説明しなければいけません。

満足とは:業種や地域的な制約なく顧客とのすべての相互作用はIdentity-enableな(Identityがベースとなり実現される)ものです。
あなたがソーシャルサービスを市民に、オンラインラーニングを学生に、豪華な賞品を顧客に提供するのであれば、すべてのトランザクションはIdentityがベースとなっています。
結果重視のidentityの世界では、単なるloginページとその後の画面を提供するだけでは不十分です。
Identityは、すべての業界のすべての企業のすべてのデジタル化戦略において、非常に重要なものであると期待されています。
しかし、このように捉えるのであれば、我々はIdentity programが、どのように売り上げをのばすことに貢献することがでるか、サービスデリバリーコストを削減することができるか、顧客満足度を上げることができるか、ビジネスラインに対しても、経営者層に対しても説明できるようにする必要があります。

しかし、これらのことは我々がプロフェショナルなID管理を行わなければ、達成できません。

Professionalization of the identity industry - Identity業界のプロ化

プライバシーとセキュリティとの関係性と相互依存性については、ドラマの終わりの近づくような緊張の高まりのように、まさにそれ相当の正しい評価を得ています。
しかし、プライバシーの専門家だけでなく、セキュリティの専門家も彼らのビジネスにおいて、用いるツールが間違っているため、彼らの挑戦が完全に満足の行くものかと言えばけっしてそうではありません。
彼らの欠けているツールとはIdentityのツールです。つまりIdentityは三脚の失われた3本目の脚なのです。

Identityがサービスデリバリーを改善するためのキーテクノロジであることを知っている人は多くありません。
また顧客満足度をあげるためのものであることや、ビジネスを成長させるためのものであることも知られていません。
さらに、我々(Identity業界人)の役割は非常に重要なのに、世間一般ではそう思われていません。

Identity業界の声(主張)はテーブルからかき消されており、それは非常に不幸なことです。
私はプライバシーやセキュリティとは異なり、Identity業界がプロフェッショナライズされていない理由のひとつはそこにあると思います。

セキュリティやプライバシーに関してはそれぞれの業界をよくすることに貢献するためにプロ組織を持っていることを考えてみてください。
このプロ組織は、プロフェッショナルな開発や検証の共有や認定や情報交換のためのフォーラムがあります。

Identity Managementの専門家 (Identity Professionalではなく、Identity Management practitioner (組織化されていない開業医的専門家)) はどこでアドバイスを受けることができるのでしょうか?
ベンダーや構築パートナーは確かに我々に対して製品やアプローチの方法について教育をしてくれます。
調査会社はマーケットの情報やたまにはアーキテクチャーについて情報を与えてくれます。
ローカルユーザグループも同様です。しかし、これらは皆バラバラなアプローチです。

さらに言えば1976年に設立されたISACAや2000年に設立されたIAPPや1988年に設立されたISC2について考えてみてください、それからCISSP認定は1992年にできました。
しかし、このようなアプロチーチはIdentityの専門組織としては今までに一度もありません。
あなたは、「あなたたちのやってきたIdentity Managementの活動については振り返らないのですか」ということを言うかもしれませんね?
はい、勿論我々はやってきました。
我々は標準化のために活動してきました。
(コンシューマ業界技術を) エンタープライズ業界で適用するために学びました。
しかし、我々の業界は組織化されていないのです。

先に進みましょう。
それは変化です。
先に進むためには我々の提供するサービスを広げるために、Identity関連の仕事をしている人は非常に重要な役割であることを知ってもらうために、そして我々自身の成長のために、正式にProfessinalized Identity Managementとして集まりましょう。

これは、Identity Managementのプロ化が唯一のミッションである組織でなければなりません。
このような組織はどのようなものでしょうか。
すべてのボートを動かすことができる潮流となることをミッションとした組織です。
そしてれは、プロジェクトや製品をより成功させるためにどのようにすればいいのかをプロフェッショナルたちに教えるのための場です。
さらにそこでは、彼らのキャリアをプロフェッショナルとしてどのように伸ばすかを教えてくれます。
さらにそこでは、セキュリティやプライバシーやビジネスの現場で働く一員として、プロフェッショナルとしてどのように動くべきかを教えてくれます。
ビジネスの現場の人たちが、顧客の大変に重要なパートナーとして、その顧客を満足させるのと同様に、Identity Managementも、セキュリティやプライバシーと同じように、価値があると称賛しています。

プロフェッショナル化した産業は、ベンダー(technology suppliers)から、SI業者(Implemetation specialists)、さらにアナリスト、そして専門家まで、我々全員に利益をもたらします。
市場の見通しを良くし、個人から組織レベルまで、成功するための機会を増やすことで市場品質を高めます。
もし、我々が意志決定の場に着きたいのであれば、もし我々がセキュリティやプライバシーの仲間たちと同等の立場になりたいのであれば、もし我々のビジネスにおいて、成長の機会を得たいのであれば、我々は産業のプロフェッショナル化に取り組む必要があります。

なぜわたしが「Identity Managementのプロフェッショナル化」に興味があるのか。
正直に言えば、まったくの個人的な理由なのです。

わたしは誰からアイデンティティ技術を学んだかを知っています。
わたし自身のメンターを知っています。
わたしに影響を与えた人々を知っています。
わたしのアイディア、わたしが考えたアーキテクチャ、わたしのプレゼンテーションを、かたちにすることを助けてくれた人々を知っています。
そのうち何人かは、いまこの会場に一緒にいる人たちです。
わたしはそのことを知っています。心に刻んでいます。

しかし、わたしがこれまで授かった幸運は、すべての人々が同じように得られるものではないと思います。
わたしが経験した機会を、すべての人に得てほしいです。

懸念しているのは、この業界にいる人たちが、みな等しくメンターやコーチ、仲間、アドバイザーとのつながりを得られていないことです。
我々の世代の「アイデンティティ・プロフェッショナル」こそが、もっと偉大なことの実現に向けて、次世代を助けられるのです。
デジタル・アイデンティティ業界の「プロフェッショナル化」は、我々に課せられたミッションなのです。
次の世代が恩恵を得るために、そして、わたしたちの組織に利益をもたらすために、さらに、わたしたちのお客さまに貢献するために。

また、私はKantaraがこの試みに対して前進し始めたことを今夜アナウンスできることをワクワクしています。
彼らは自分たちのサイトの中で、あなたが行くことができる、そしてあなたのIdentity Management業界のプロフェッショナル化の考えをサポートすることを示す場をて教し始めました。

前に進みましょう。
我々はセキュリティとプライバシーと、さらに売上を増やすことができるので、ビジネスそのものに直接結びついた人間として、一人前になれます。
前に進みましょう。次世代のIdentity専門家は我々の業界及び彼ら自身に、今までより非常に多くの利益を伴った成功をもたらします。
しかし、これは我々の業界のプロフェッショナル化なしには成し遂げられません。

The Moments ahead for identity - Identityを前にすすめる瞬間

TCP/IP Momentの前、あなたはNetwareGuyでした、AppleTalk dudeでした、Token ringerでした。
しかし時代は変わりました。そしてあなたはそれに適応したのです。
あなたはAD adminとして、eDirectory guruとして、firewall jockeyとして、application delivery specialistとして、自分たちのスキルを確立しました。

この産業はまさにTCP/IP momentをむかえようとしています。
そして我々はそれを受け入れるとともに成長するのです。

また今は今までにないくらいに一番良い時期なのです。

TCP/IP momentは大きな変化をもたらします。
また前進するのはその時限りのものではありません。
これは我々の製品にとって、プログラムにとって、産業にとって、そして我々自身にとってマイルストーンとなるイベントなのです。

標準化ベースの産業は我々のdeploymentからリスクを切り離し、インテグレーションの速度を上げ、実装コストを下げます。
歴史の間違った側は標準化の世界ではありません。
あなたのサービスにおいて業界標準を含むことはもはや名誉でも収益でもありません。
現在のエンタープライズはそれを要求しているのです。

結果重視のIdentityはさらに現代のエンタープライズでのIdentityへの期待を変化させます。
我々はもはや、基本的な行いに対して報酬を得るべきではありません。
我々はもはや、簡単な方法で評価されるべきではありません。
結果重視のIdentityによって磨かれるのは次の2つのIdentity programにフォーカスして行われます。
それはリスク低減と顧客貢献です。
この瞬間は新しい仲間やステークホルダーたちに影響を与えることが求められます。
この瞬間は我々は組織においてハイレベルは責任を維持することが求められます。
つまり、結果重視のIdentityの瞬間というのは我々の仕事は組織の中のexecutiveレベルに対して役に立つこれは業務へと変わるのです。

もし、我々がexecutiveの中に居るのであれば、我々はプロフェッショナルに違いありません。
プロフェッショナル化されたIdentityの瞬間というのはIdentityがセキュリティとプライバシーと同じ土俵に立つことを意味します。
それは、Identity業界をリスクマネージメントやビジネスイネーブルメントと同様に(経営の)重要な要素となります。
さらに我々にとってより重要なことは我々はそれぞれ成長し、他人の成長を助け、Identity Management業界の発展につながるのです。
もうほんとに機は熟し切っています。

IdentityのTCP/IP Momentは大きく、素晴らしい変化を引き起こすでしょう。
この瞬間は我々個人及びエンタープライズそれぞれの成長の機会が描かれることを拡散します。
この瞬間、このマイルストーンはあなたが考えているよりも速くやってきます。
ひとつには、我々は今がまさにTCP/IP momentだからなのかもしれません。
さらにひとつにはあなたが仕事をし続けているうちに達成することで判明するように次の週がそうなのだからかもしれません。

我々が標準化ベースのIdentityの瞬間に到達すると我々はより速くインテグレーションが可能になります。
リスクが少ない状態でdeployが可能です。
垂直構造のIdentityやプログラム重視に固執することにより発生する困ったことをストップすることができます。

結果重視のidentityが認識されると、組織の中の経営者層のために、リスク低減や顧客貢献に対して統合的なIdentity programが直接的なインパクトを与えることを期待されるようになります。
我々は責任を持ち続け、その責任に対する権利をえることができます。
そして、我々は本当のIdentityプロフェッショナルになるのです。

我々がIdentityがプロフェッショナル化されると、我々全員成長する場を持つようになり、またこれから何年間も学び続ける場を共有することができるようになります。
我々はセキュリティやプライバシーの同僚と同様に、組織の中で昇進することができ、我々のエンタープライズデジタル戦略においてきわめて重要な貢献をすることができる、車を持つようになります。

最後に、次のことをいいます。
組織そして我々自身が成長するために我々が今、Keymanとして、求められていることは、我々は今までに求められていませんでした。
我々は従業員ID、パートナーID、カスタマーID、市民IDのKeepers of Identityなのです。
そして今がまさにその時なのです。