マイクロソフト vs. Liberty連合---あなたの個人情報を巡る両刃の剣

小久保重信

2002.03.07

　ショッピング・サイトや会員制サイトなどのユーザーIDとパスワードをあなたはいくつ持っているだろうか？　こうしたサイトにアクセスする度に，IDとパスワードを入力して認証するのは，面倒と言えば面倒である。これを1回認証するだけで，提携サイトはどこも認証なしで利用できるというのが「シングル・サインオン」の考え方である。

　米Microsoft社は「Passport」によってこのシングル・サインオンを実現しようとしている。これに対して，米Sun Microsystemsなど33の企業・団体が集まって2001年9月26日に設立した「Liberty Alliance Project」はシングル・サインオンを実現するための標準仕様を策定しようとしている。再びマイクロソフト対他陣営という構図が出来上がっているのである。

　こうした業界の対立の一方で，シングル・サインオンを使った場合の個人情報管理で，消費者には懸念が生じている。果たして，個人情報は外部に流失しないと言い切れるのか。万が一，ユーザーIDとパスワードが盗まれて，自分が利用しているありとあらゆるサービスを悪用されたら，どうなるのかという懸念である。

　今回はUS NEWSや米メディアの報道をもとに，こうした両者の対立関係や技術・サービス運用の進展具合，両者技術の統合への可能性，そして消費者の反応について考えてみたいと思う。

■シングル・サインオン・サービスとは

　シングル・サインオンについてもう少し説明しよう。ショッピング・サイトや会員制サイトでサービスを利用するには，まずユーザー認証を行ってログインする必要がある。現状ではユーザー側で個々のサービスに対するそれぞれの認証情報（ユーザーIDやパスワードなど）を保管・管理しておく必要がある。そこで，この煩わしさを解決しよう，というのがその趣旨となっているのである。

　具体的には下図のようなイメージになる。

　ユーザーはあらかじめサービス提供者に，シングル・サインオン用のユーザー名とパスワードを登録しておく。ユーザーが覚えておく認証情報はこれだけでよい。ユーザーはこのサービスに対応しているサイトであれば，どこに行っても個人情報（住所，名前，生年月日，メール・アドレス，クレジットカード番号など）を逐一，手入力しなくて済むようになる。シングル・サインオン・サービスの提供会社がこれらの情報をサイトに自動的に送信してくれるからだ。

　さらにユーザーは個別のサイトごとに個人情報を管理する必要もなくなるため，いっそう便利になる。例えば住所が変わっても，利用しているそれぞれのサイトに行って住所を変更して回るという必要がなくなる。

　こうした個人情報のうち，どの情報をシングル・サインオン・サービス提供会社に提供するのかという判断はユーザーの自身が選択できる。また契約には「サービス提供者が個人情報の非公開を保証する」という条項が盛り込まれることになる。

■38社対マイクロソフト

　Libertyのメンバーは2月19日時点で38社となっている（発表資料）。主なものだけみてもそうそうたる顔ぶれである。例えば，米AOL Time Warner，米American Express，米Bank of America，米Cisco Systems，米General Motors，米Hewlett-Packard，米MasterCard International，フィンランドNokia，NTTドコモ，米RSA Security，ソニー，米United Airlines，米VeriSign，英Vodafoneなどが参加している。

　Livertyの中心となる1社がSun社である。米CNET News.comが伝えるところによると，Sun社は今月中にも「Liberty Alliance Project」の技術に対応した製品群の販売を始める。

　Sun社は昨年12月のiPlanet製品発表時にもLiberty Alliance Projectに対する同社の意気込みを改めて強調しており（発表資料），今後もこうした製品（サーバーやソフトウエア，サービスなど）を投入し，同技術への取り組みを本格的に進めていくようである。

　実はLiberty Alliance Projectは，米Microsoftの「Passport」とほぼ同じことを目的としている。しかしMicrosoft社が「すでに2億人のユーザーに向けてサービスを開始している」（Microsoft社）のに対し，例えばSun社の製品を使って，誰がどういった形でサービスを提供するのか，ということについて今のところ明らかにしていない。

　一方，Microsoft社は，サービス提供も自社で手がけており，ほかの技術関連企業と同盟を結ぶ，というスタイルはとっていない。自社技術を拡張すると同時に，そのパートナー企業（対応サイト）を着々と増やしていく，というのが同社の方針のようである（同社サービスへの対応サイトのリストはWebサイトで見ることができる）。

　さらに，同社はPassport認証技術をベースとした技術・サービス体系「.NET MyServices」(開発コード名: "HailStorm") も推し進めており，Passportは，これらの一連のサービスの“認証ハブ”を目指している。.NET MyServicesでは，ユーザーのクレジットカード情報を提供する「.NET Wallet」，個人用のスケジュールを提供する「.NET Calendar」，個人用のアドレス帳となる「.NET Contacts」といったサービスを提供する。

■Libertyの言い分，Microsoftの言い分

　ユーザーにとっては操作が便利になりそうなシングル・サインオンだが，双方が同時に異なる方式の技術を提供するとなると，話しは別である。双方が話し合ってうまくとりまとめてくれれば良いと思うのだが，これが一筋縄ではいかないようだ。このあたりの“争い”を米国の各メディアが細かくレポートしているが，それらをみていると，両者の対立関係は未だ続いており，決着はまだまだ先になりそう，ということがわかる。

　例えばLiberty側では，あくまで「複数の企業・団体が携わって開発するオープンな仕様を目指す」というのがその主張である。Sun社は「何もMicrosoft社に対抗しているのではなく，ユーザー認証の標準化を目的としているだけ」（Sun社戦略責任者のJonathan Schwartz氏）と説明するが，Passportにおける情報の一極集中に対する懸念を隠していない。

　「Passportとは，一つの企業に仕様の権限が委ねられ，その企業がサービスを運営するということである。すべての個人／企業データの恩恵を一社が得ることになる」（同氏）

　Microsoft社は，昨年9月に「Passportのセキュリティ・プロトコルで，オープン技術の『Kerberos』をサポートし，他のサービスが提供している認証機能との相互運用性の確保を図る」と発表している。また今年2月に開催された「RSA Conference 2002」では，「（可能であれば）1年以内に，Libertyの将来の仕様とPassportサービスとのあいだで相互運用性を保証したい」（.Net core services platform group副社長のBrian Arbogast氏）と説明していた。

　しかしこちらもあくまで「条件が合えば」というスタンスであり，Liberty参加への積極性は感じられない。

　例えばMicrosoft社は，「（Libertyの）協定内容には，我々と技術パートナーを困難な立場にする要素がある」（Microsoft社のArbogast氏）と難色を示している。CEOのSteve Ballmer氏もCNET News.comの取材に対し，「（Microsoft社のLiberty参加は）考えられないことではない。我々はすでにさまざまなLibertyメンバーと話し合っている」としながらも「知的所有権や譲り渡す特許について問題が多数ある」と答えている（掲載記事）。

■企業側のメリット，消費者側のデメリット

　顧客の認証情報管理は大企業にとって大きな負担となっており，「大企業はこうした悩みを抱えている」（iPlanet社長のMark Tolliver氏）という。またシングル・サインオンはこうした問題を解決できるうえ，「獲得率と維持率の向上も図れる」（Microsoft社）ことから，両者はここに大きなビジネス・チャンスあるとみているようだ。

　消費者にとってはどうだろうか。「情報の一極集中をなくし，相互運用や複数のネットワークにまたがるサービスを提供できる」（Liberty Alliance Projec）。「複数のデバイスでのオンライン・エクスペリエンスの改善できる」（Microsoft社）などという，両者が声高々に言うメリットだけを聞けば，いいことづくしのように思える。

　しかし，プライバシ擁護団体が指摘しているように，シングル・サインオン・サービスの個人情報収集機能はプライバシを侵害する恐れがある。また昨年11月には，Passportにセキュリティ・ホールが発覚したとも報じられている。

　USニュースの記事にもこれに関連する米Gartnerの調査記事がある。それによると，ネット・ユーザーの約1/3が，「Microsoft社が個人情報/クレジットカード情報の取り扱いを安全に行わないのではないか」と大きな懸念を抱いているという。また同じ数のネット・ユーザーが「Microsoft社が入手した個人情報を本人の同意を得ないまま第3者に転売/譲渡してしまうのでは」と心配している。

　確かに，すべてのサービスでパスワードを手入力しなくて済むというのは便利。マシンが変わっても，引っ越しても，同じユーザー認証でいつでも，どこでも，というのも便利だろう。ところが消費者にすれば，売り手ほどメリットが多くはない，というのが現状だろう。むしろ前述のような問題ばかりが目立ってしまう。「消費者はあまり興味を示していない」というGartner社の調査結果もこれが要因だと思う。

　なおSun社とMicrosoft社には，Webサービス技術に関してもすれ違いがある。先頃結成されたWebサービスの相互運用性を図る業界団体「WS-I（Web Services Interoperability Organization）」に，Microsoft社は参加しているが，Sun社は参加していない。これについてGartner社は「このWS-Iは，Microsoft社がLibertyに参加して，Sun社がWS-Iに参加しない限り，うまく機能しない」とみている（掲載記事）。