書評: デジタルアイデンティティー 経営者が知らないサイバービジネスの核心
崎村さんのデジタルアイデンティティーを読みました。
OAuthとOIDCを触っている程度のエンジニアとしては、知らない用語が多くあって勉強になった... というか、勉強すべきことがたくさんあると思わされました。
(勉強になった、は用語をググったりこの本を3周くらいして初めて言えることですね)
まだ1周目を通しただけで書評とはおこがましいですが、感想を書き留めます。
アイデンティティーのライフサイクル管理にISO標準がある
アイデンティティーの状態遷移を表すISO標準があることを知りませんでした。
NRIの方が解説しているQiitaの記事があるので、仕様そのものに関してはそちらを参照ください(公式のリンクもそちらに)
いちエンジニアとしては、(変数の命名が楽になって良いな、なんたってISOからパクればいいもんな)と思うばかりです。
ところで、ユーザーのアイデンティティに関するライフサイクルといえば、私が知っているのはCognito UserPoolのライフサイクルでした。 docs.aws.amazon.com
見比べて思うのは、Cognitoのライフサイクル...ドキュメントの用語を借りれば「アカウントの確認プロセス」は、以下の点が異なるように見えました。
- ISOにおける「確立済み」に当たる状態が、「Registered」「Reset Required」「Force Change Password」で3種類ある
- 停止と保管が「Disabled」でまとめられている
1番目についてはCognitoに再考の余地があると思う一方(だってパスワード以外のログイン手段をサポートしづらくないか)、2番目については逆にCognitoがスッキリ・ISOが冗長に思われます。
有識者の方の意見も聞いてみたいところです。
幸福追求権から導かれるプライバシー
後半の章で気になった箇所です。いちエンジニアとしては、後半の章は経営者を諌める時に持ち出す文章だなと思って読みました。
プライバシーの解釈が面白くて、私の言葉で要約すると「相手によって違う自分を見せられる」権利なのだそうです。
何かを隠すのではなく、見せたいものを見せる、という肯定形の文章で表現されるのが、なんか良いなと思いました。
一昔前のYahoo知恵袋では、いちアカウントに対して複数のニックネームを持てたと記憶しているのですが、まさに「見せたい自分を見せる」機能だなと思います。
廃止されちゃいましたけど。笑
あとはTwitterで投稿ごとに鍵かけらないかな、と思うことがありますが、それもプライバシーの権利に立脚してると思うと正当性がある感じがして強い気持ちで主張できますね。
その他
OIDC, OAuth, FAPIについても要件定義フェーズに相当するような用語が並べられており、学習に良いなと思っています。
まとめ
いちエンジニアとしてアイデンティティー...つまり認証とプライバシー・セキュリティに関する機能を考える上で、根拠を教えてくれる本でした。
それらについて考える必要があるとき、また読み返そうと思います。
