Planet OpenID

May 25, 2016

Nat Sakimura

Open Data in Finance @ London は6月15日!

FinTechの3本柱の1つとして注目されるAPIですが、特に欧州ではPayment Service Directive 2で銀行が2017年末までに金融API提供を義務付けられたことに伴い、とてもホットな話題になっています。日本ではまだまだブロックチェインの後塵を配していますが、まだまだリサーチ・プロジェクトと言っても良いブロックチェインに比べて、金融APIは喫緊の課題です。

こうした中で、金融APIをメインに取り扱う、「Open Data in Finance」というカンファレンスが、欧州金融の中心地・ロンドンで6月14日、15日の2日間にわたって行われます。6月14日はワークショップで、メインのカンファレンスは6月15日です。到底力不足ながら、不詳、わたくし、Nat Sakimura が、カンファレンスを通じたChair を拝命しております。

Screen Shot 2016-05-25 at 23.03.32

プログラムは、こちらのページ(Agenda)からご覧いただけますが、The Open Banking Standard のステアリング・コミッティのチェアの Open Data Institute の CEO の Gavin Starks とバークレイズ銀行のManaging DirectorのMatt Hammerstein の Armchair Chatに始まり、多くの有識者たちによるパネル・ディスカッションやラウンドテーブルを聞くことができ、欧州における金融APIの「今」を知るための貴重な機会となろうかと思います。

6月15日にロンドンにお立ち寄りの折には、ぜひお寄りください。

それでは、ロンドンでお会いしましょう。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at May 25, 2016 02:17 PM

May 24, 2016

Nat Sakimura

CISでのOpenID Trackは6月7日火曜日

昨年までは、CISでのOpenID Trackは、Pre-conference day でしたが、今年は 『Achieving Internet Scale Identity with OpenID Connect』と題して、main conferenceに取り込まれました。

トラック・コーディネーターはDon Thibeauです。
今年は、わたしは金融API WGの紹介をします。

Achieving Internet Scale Identity with OpenID Connect

Tuesday, June 7.
  • OpenID Connect – Certification and Futures
    9:30 AM – 9:55 AM   |   SPEAKER:   Michael Jones
  • The Mobile OpenID Connect Profile
    10:05 AM – 10:30 AM   |   SPEAKER:   Bjorn Hjelm 
  • Account Chooser
    10:40 AM – 11:05 AM   |   SPEAKER:   Pamela Dingle
  •  The Mission Critical, First Responder Profile of OpenID Connect to Serve & Protect
    2:30 PM – 2:55 PM   |   SPEAKER:   Adam LewisFintech
  • OpenID Connect: Introducing FAPI WG
    3:40 PM – 4:05 PM   |   SPEAKER:   Nat Sakimura
  • Protecting Users and Infrastructure: Can We Create a Sharing Economy of Security Signals?
    4:20 PM – 4:45 PM   |   SPEAKER:   Andrew Nash ,   Alexander Weinert ,   Adam Dawes ,   Richard Struse
  • Protecting Users and Infrastructure (Continued)
    4:55 PM – 5:20 PM   |   SPEAKER:   Andrew Nash ,   Alexander Weinert ,   Adam Dawes ,   Richard Struse

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at May 24, 2016 07:24 AM

May 23, 2016

OpenID.net

Announcing the Financial API (FAPI) Working Group

In many cases, Fintech services such as aggregation services uses screen scraping and stores user passwords. This model is both brittle and insecure. To cope with the brittleness, the new OpenID Foundation Work Group invites developers, architects and technologists to contribute to an open standard approach using an API model with structured data and to cope with insecurity, it should utilize a token model such as OAuth [RFC6749, RFC6750].

The OpenID Foundation Financial API (FAPI) Working Group aims to rectify the situation by developing a REST/JSON model protected by OAuth. Specifically, the FAPI Working Group aims to provide JSON data schemas, security and privacy recommendations and protocols to:

  • enable applications to utilize the data stored in the financial account,
  • enable applications to interact with the financial account, and
  • enable users to control the security and privacy settings.

Both commercial and investment banking account as well as insurance, and credit card accounts are to be considered.

The FAPI Working Group is building a Fintech bridge through open standards. This effort builds on the wide international adoption of OpenID Connect.

The FAPI Working Group was proposed by Nat Sakimura (NRI), Tony Nadalin (Microsoft), and Cindy Barker (Intuit). A charter will be approved and a chair selected at the first FAPI Working Group meeting.

The FAPI Working Group chairs will be presenting on the focus of the group at upcoming conferences including the 2016 Cloud Identity Summit in New Orleans and the Open Data Finance conference in London, both in June.

The Open Data in Finance conference is an end-user driven event that focuses exclusively on open data and data sharing in the finance sector.

It will bring together influential representatives at the nexus of the open data initiative, to give insights into the plans of government and key industry players, and share how they are shaping and responding to this market change.

The Open Data in Finance organizers have offered OpenID Foundation members a 20% discount to attend. Please contact me directly if interested.

Links of interest:

OIDF FAPI Working Group Page

Subscribe to the FAPI Working Group Mailing List

Those interested in participating will need to submit a signed IPR Agreement indicating their participation in the FAPI WG. The IPR agreement can be submitted online via DocuSign or emailed to help@oidf.org.

by Mike Leszcz at May 23, 2016 08:15 PM

Nat Sakimura

Let’s Encrypt あらため certbot でSSL証明書インストール

Let’s Encrypt がついにβフェーズを終わって正式リリースされました。そして、EFF提供のcertbotになりました。

インストールと設定も、βのころに比べると格段に楽になりました。

まず、https://certbot.eff.org/ に行ってください。すると、Web Server と OS を選ぶ画面が出てきます。

Certbot Front Screen

図)自分が使っているWeb ServerとOSを指定すると、インストラクションが出てくる。

ここで、自分の使っている Webserver と OS を選ぶと、お使いの環境ごとのマニュアルが出てきます(英語ですが)ので、それに従うだけです。たとえば、Apache + Ubuntu 14.04 だと、

$ wget https://dl.eff.org/certbot-auto
$ chmod a+x certbot-auto

で、certbot のインストールファイルを落としてきて権限変更し、

$ ./certbot-auto

とすることで、certobot のインストールができます。

certbotのインストールが終わったら、証明書のインストールです。Apacheを使っている場合は、

$ ./path/to/certbot-auto --apache

でできます。使い勝手はほぼ Let’s encrypt と同じです。

ついでに、Courier MTA のSSL certs も切り替えてみよう

さて、Apache はほとんど全自動で設定できたのではないでしょうか?ついでですから、Courier MTAのSSL certs もこれに切り替えちゃいましょう。

Courier MTA で使う .pem ファイルは、プライベート・キー+証明書+証明書チェーンとつなげたものです。certbotの場合、あなたのドメインが「example.com」だった場合、/etc/letsencrypt/live/example.com/ にこれらのファイルは入っています。Courier MTA SSL の設定ファイル(/etc/courier/esmtpd-ssl ) から読んでいる .pem ファイルが /etc/courier/esmtpd.pem だったとしましょう。その場合、

$ sudo cd /etc/letsencrypt/live/example.com/
$ sudo cat privkey.pem cert.pem fullchain.pem > /etc/courier/esmtpd.pem
$ sudo /etc/courier-mta-ssl restart

で良いはず。例によって、保証はしませんがね。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at May 23, 2016 05:48 PM

April 20, 2016

Nat Sakimura

「全てのMV制作者を敵に回しそうなMV」とクリエーションの本質について

「全てのMV制作者を敵に回しそうなMV」という記事[1]が回ってきた。そこで紹介されていたのが、「岡崎体育」氏のMusic Video「Music Video」。

見始めて、思わずニンマリしてしまった。いやー、本当にあるある、そういうMV。この人、着眼点が良いですねぇ。MVの様式性というか、「クリエーション」のある意味本質をえぐってる。

このMVの内容は見ていただくのが一番わかりやすいので、見ていただくことにして、ここでは、このビデオがある意味やゆしている「クリエーション」について考えてみたい。

「クリエーション」という行為は、多くの人の考える「オリジナリティ」とは違って、巨人の肩に乗るというか、先人の作った「定石」を積み上げて、さらにそこに一歩足すことだ。逆に言えば、「定石」をしっかり学ばないと、「クリエーション」なんてできない。感性だけなんかではムリ。

「定石」を知らないで作ろうとすると、「定石」の羅列の陳腐な作品になるか、「定石」で負けがわかっているので使われない手を並べたチープな作品になりがち。

逆に、時代を切り拓く天才は、「定石」を知り尽くした上で、それを使わない新たな「手」を使って来る。だから、「衝撃」を与え、世の中から非難されることが多い。その為、天才は生前、一部の「わかっている人々」にしか評価されないということが往々にある。そうした天才の作品が一般に評価されるようになるのは、その「わかっている人々」が、新しく作られた「手」をあの手この手で使っていき、それが定石となってからなのだ。

最近は、いろんな「クリエーション」がパクリだのなんだのとネットで叩かれることが多い。だが、どの分野であれ、作品というものはある意味「パクリ」の集まりなのだ。だから作品を見るときには、どこが足されているのか、その価値はどうなのかということを見るべきなのだと思うんですが、どうですかね。

ちなみに、冒頭のビデオに戻ると、この作品は既存の「定石」ばかりを積み重ねて作られた作品だ。そこに足されているのは、歌詞による、それらの「定石」の解説と、そうして定石を繋いでいくだけで、「ふつうのMV」になってしまうことを示して見せたことだろう。それは、MV製作者に対しては易きに流れないようにとの、観る側には、単に消費するだけではなく、もうちょっと深い視点で観ることを習慣づけた方が良いのではないかという証明をつきつける。

岡崎体育、注目である。

岡崎体育:BASIN TECHNO(初回生産限定盤)(DVD付)


New From: ? 2,276 In Stock
Release date May 18, 2016.

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at April 20, 2016 04:42 PM

April 18, 2016

Nat Sakimura

「2016 メニューイン国際コンクール」ガラ・コンサート速報

創設者ユーディー・メニューイン生誕100周年を記念してイギリス・ロンドンで開催された「2016 メニューイン国際コンクール」では、ジュニアの部では、アメリカのYesong Sophie Lee(12歳)が、シニアの部では中国のZiyu He(16歳)が優勝した。

Menuhin Competition 2016 Winners Yesong Sophie Lee (12) & Ziyu He (16)

Menuhin Competition 2016 Winners
Yesong Sophie Lee (12) & Ziyu He (16)

17日にRoyal Festival Hallで行われたガラ・コンサートでは、それぞれ Vivaldi: Concerto from The Four Seasons (Summer)、Dvrak: Violin Concerto 3rd mov. と、アンコールとしてザルツブルグの作曲家のバイオリン独創のための現代曲が演奏された。

室内楽編成のオケを12歳のYesong Sophie Leeが率いて弾いたヴィヴァルディは、非常にニュアンスも細かく、ダイナミックレンジも大きな演奏で、今までの私のヴィヴァルディの四季に対する評価を一変させた。団員が少女との間の音楽をつくりあげようとして、大切に時間を使っているのがひしひしと伝わって来る演奏だった。

一方、Ziyu Heの方は、とても16歳とは思えないような堂々とした演奏だった。ただ、その協奏曲よりも、アンコールで弾いた曲の方がもっと良かった。

インターバルの後は、メニューイン・コンクールの次の開催都市(ジュネーブ)へのバイオリンの弓の引き渡しが行われた。ホールの左手からグリーン・スリーブスを弾きながらロンドンからの奏者が出てきて、中央で待っているジュネーブからの奏者がその弓を引き継ぐ。一瞬グリーン・スリーブスを弾きながら、すぐにスイスの曲と思しきメロディに切り替わって、右手から退場していくという演出だった。

後半は、1995年のメニューイン・コンクールのジュニアの部で優勝したJulia Fischerがバルトークのヴァイオリン協奏曲第1番を演奏、それに続いて、オケだけで、チャイコフスキーのFrancesca da Rimini, Op.32 が演奏された。

オケの楽器配置は、アメリカンスタイルの第1・第2・ヴィオラ・チェロ。この配置だと、高音が左に偏ってしまってどうかとも思う。式のDiego Matheuzの指示もあるのかもしれないが、最近の楽器間の分離の良いオケの傾向とは違い、特に弦の音が混ざり合う、良きにつけ悪しきにつけ、20世紀的な音作りのオケだった。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at April 18, 2016 01:20 PM

April 13, 2016

Kaliya Hamlin

Its getting Meta – Identity for the Identity students

Today I picked up my University of Texas at Austin ID card. Yes I’m now a Texas Longhorn. The Center for Identity here is teaming up with the Information School to offer a Masters of Science in Identity Management and Security and I’m enrolled in the first cohort of students.

I’m not moving to Texas though. It’s a part time program, one weekend a month and I’m going to fly here to participate in classes.

Today we had an overview of the 10 classes that make up the program, learned about some of the different research happening at the iSchool and the Center for Identity.

I wasn’t expecting this but we got a full tour of the football stadium, saw a bunch of statues of players and coaches and learned all about the team and the lore.  It reminded me of the first week I had at Cal and the feeling I had that week knowing I would be a Golden Bear for life (I was a student athlete though so there was a whole other layer to the experience).

I will be blogging about what we are up to.

by Kaliya Hamlin, Identity Woman at April 13, 2016 11:03 PM

March 25, 2016

Nat Sakimura

超セキュアシステム研究会の後の6時間検討会

昨日は、東大で「超セキュアシステム研究会」が行われた。

超セキュアシステム研究会
(代表 坂井 修一 東京大学大学院情報理工学系研究科長)
情報法部会
(主査 鈴木 正朝 新潟大学法学部 教授)

日時:2016/03/24 17:00- 20:00
場所:東京大学工学部2号館12階 電気系会議室4

報告1:「匿名加工情報」と個人情報における容易照合性概念の整合性(30分)
NTTセキュアプラットフォーム研究所 藤村 明子、間形 文彦
(意見交換:30分)

報告2:「個人情報」の定義(30分)
国立研究開発法人産業技術総合研究所 高木 浩光
(意見交換:30分)

私は、1時〜5時半まで機械振興会館でJIS X 29100 プライバシー・フレームワークの審議を行ってから遅刻して駆けつけたので、藤村さんの発表はほとんど聞けずに、高木さんの発表を聞いた。

(出所)鈴木正朝先生のfacebook投稿

(出所)鈴木正朝先生のfacebook投稿

意見交換では、「ファイル単位の照合性」や「linkabilityとidentifiability」などについて、かなり熱い議論が続いた。正直、ついていけなかった。JISの審議を4時間半もしたあとで、疲れていたせいでついていけないのかとも思ったが、議論を聞いていて、発言者の間で前提知識の共有ができておらず、言葉の定義もすれ違っていて議論がかみ合っていなくてついていくのがさらに難しくなっているようにも見えたので、定義をまずちゃんとやってくれいうと発言したが、ほぼそこで時間切れで部屋を追い出される格好になった。

その後、恒例の懇親会で、家に戻って11時頃から高木さんといろいろ教えていただいた。日本の個人情報保護法の変遷とその逐条解説による本来の意味〜日本の場合は、一定のレコード構造を持ったものが積み重なっているデータベースが対象〜とか、また、EUにおいても、データ保護指令やデータ保護規則案などで、対象scopeは自動処理されるfiling systemに含まれるないしは、入れられることを意図されるstructuredな情報であるとも教えていただいて、ようやく研究会での高木さんの話とつながってきた[1]

一方で、だとすると、EUでのGoogleに対する忘れられる権利がなぜデータ保護法にもとづいて認められたのかというのが分からず、(url, keyword)という構造と見たのだろうかというような話もしていた。

結局、おやすみなさいしたのは、朝の5時半、実に6時間半も話していたことになる。

ただ、EUの判決はやはり腑に落ちないので、おやすみなさいしてから、個人的にさらに勉強してみた。その結果分かったのは、どうもEU GDPRとかの対象は、上記の会話で想定していたのとちょっと違いそうかなということだ。この辺は有識者に再度確認して教えてほしいのだが…。

icoの出している文書、『What is personal data? – A quick reference guide Data Protection Act 1998』[2]や『Determining what information is ‘data’ for the purposes of the DPA 』[3]を見てみよう。すると、対象になる情報は、

(i) information processed, or intended to be processed, wholly or partly by automatic means (that is, information in electronic form usually on computer);
(ii) information processed in a non-automated manner which forms part of, or is intended to form part of, a
‘filing system’ (that is usually paper records in a filing system)

(出所) ico『What is personal data? – A quick reference guide Data Protection Act 1998』

であって、Directiveの(27)や、それを引き継いでもっと読みやすくしている GDPRの

The protection of individuals should apply to processing of personal data by automated means as well as to manual processing, if the data are contained or are intended to be contained in a filing system.
Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation.

というのは、

(The protection of individuals should apply to processing of personal data) by
(automated means)
as well as
(to manual processing, if the data are contained or are intended to be contained in a filing system.)

と読むべき、つまり対象とするのは『パーソナルデータが(自動処理される場合)及び(手動処理だが、その対象がファイリング・システムに含まれるか含まれることを意図している場合)』で、「,」以降のif文は「manual processing」にかかっていることになっている。さらに、ここの「ファイリング・システム」とは情報システムではなく、通常、紙ファイル[4]のことである。またその次の文の

Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation.

でいう structured according to specific criteria というのは、「一定の基準で並べ替えられているなど検索性を有すること」であって、同じ形式の帳票とか、同じフォーマットのレコードという意味ではないということになる[5]
そうすると、研究会やその後のお話とは違って、EUと日本で法の立て付けが違うことになり、EUでのGoogleに対する忘れられる権利がなぜデータ保護法にもとづいて認められたのかというのは、疑問の余地が無くなる。

しかし、前提知識が多くて難しい。

EUにおける対Googleの忘れられる権利の判決はデータ保護法にもとづくのに対して、東京地裁のは個人情報保護法にもとづくのではなく(←散在情報との建付けなり、個人情報保護法の規制の範囲外)不法行為法などの適用によるものとなって、外形的にはそっくりだけど、法的建付けが全く異なるなどということ、法律を専門にしている人以外に前提知識として求めるのは酷だと思う。超セキュア研究会のような学際的な場で建設的な議論をしようとしたら、こういうところも含めて、丁寧に積み重ねて土俵を作ってから議論して行かないと、なかなか議論が収束しないのではないかとの感を深めた徹夜明けの朝であった。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at March 25, 2016 03:48 AM

March 21, 2016

Nat Sakimura

「万引き」濡れ衣中3自殺に見るプライバシー問題

プライバシー侵害の重篤な帰結としての報道が無い不思議

まことに痛ましい事件だ。中3の男子生徒が万引きの濡れ衣を着せられて高校への推薦状を書いてもらえず、自殺したという事件のことだ。事件の内容は、「先生、どうせ聞いてくれない」 広島の中3自殺報告書[1]に詳しいが、特に注意を引いたのが、2013年10月にこの生徒が「万引きをした」と誤って書かれた資料が、校内の生徒指導会議で間違いを指摘されたにもかかわらず修正されずに、それを元に推薦状を書かないという「進路指導」が行われた[2]ということだ。というのは、これは「典型的なプライバシー侵害」による深刻な帰結だからだ。ところが、日本の報道では、これをプライバシー侵害として取り扱っているところはあまり無いように思われる。実際、Googleニュース検索で、「広島  男子生徒 自殺 万引き プライバシー 」と入れても、出てくるのはこの読売新聞の記事くらいで、これとても、当該男子生徒に対するプライバシー侵害という内容ではない。

Google検索:広島 男子生徒 自殺 万引き プライバシー

Google News 検索で「広島 男子生徒 自殺 万引き プライバシー 」として検索した結果 (2016/3/21)

この現象の原因はよくわからない。一つの仮説としては、日本の報道機関は、プライバシー侵害とは個人情報の漏洩のことだと勘違いしているのではないかということがあげられる。

なぜこの事例がプライバシー侵害か?

プライバシーは多面的で定義しにくいと言われる[3]。そのため、『ISO/IEC 29100 プライバシー・フレームワーク』などでは、プライバシーを直接定義するのではなく、プライバシーを尊重するために行わなければいけないことを「プライバシー原則」として打ち出している。ISO/IEC 29100プライバシー原則は、以下の11の点を打ち出している。

1. 同意と選択
2. 目的の正当性と規定
3. (個人情報の)収集の制限
4. (取り扱う)データの最小化
5. 利用、保持、開示の制限
6. 正確性と品質
7. オープンさ、透明性、通知
8. 個人の参加とアクセス
9. 責任ある状態の確保
10. 情報セキュリティ
11. プライバシー法令遵守

(出所)ISO/IEC 29100 により、著者

この11の原則のいずれかでも確保されないと、プライバシー侵害が起こりうるということだ。今回の件では、これらの多くが守られていなかったわけ[4]だが、特にここで問題にしたいのが、第6原則「正確性と品質」だ。

正確性と品質の原則が守られないと、往々にして極めて重篤なプライバシー侵害を構成することが広く知られている。アメリカで良く問題になるのが、いわゆる「アイデンティティ窃盗 (Identity theft, なりすまし犯)」にまつわるものである。どういうわけかアメリカでは社会保障番号(SSN)に認証能力があると広く誤認されており、SSNを提供することによって、対応する名義のクレジットカードを作れてしまったりする。こうやって作ったクレジットカードを使って取り込み詐欺を行いドロンするというのが、「アイデンティティ窃盗」の典型的パターンだ。その結果、SSNに対応する「本人」は身に覚えのない犯罪の濡れ衣を着せられ、信用スコアがガタ落ちになって社会生活もままならなくなる、というものだ[5]。間違ったデータが結び付けられると、重大なプライバシー侵害が起きるのだ。

「正確性と品質の原則」は、このようなプライバシー侵害を防ぐための規範である。

今回の事件は、他人の行った犯罪履歴が自分に結び付けられてしまったことによる自分の進路に対する重大な影響があり、それにより内心が追い詰められ、自殺するに至ったのであり、「正確性と品質の原則」が守られなかったことによる重大なプライバシー侵害の帰結なわけである。まことに痛ましい。

このようなことが繰り返されないようにするために

プライバシーの侵害は、人の幸福追求[6]の根幹を揺るがすものであり、場合によると死に直結するほどの重大な帰結を生むものである。

関係各人、特に教育関係機関は、そのような認識のもと、上記の11原則が守られているかどうか、今一度総点検すべきであろう。

また、報道機関においても、このような報道を成す際に、プライバシーの観点からの分析をすることを習慣化することが望まれていると言えよう。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at March 21, 2016 02:45 PM

March 11, 2016

Nat Sakimura

さすが虚構新聞→「加工アルバム、匿名文集… 卒業記念品にもプライバシーの波」にみる、現在のプライバシー侵害の異常性

さすが虚構新聞である。2016年3月11日に公開された「加工アルバム、匿名文集… 卒業記念品にもプライバシーの波」[1]という記事は、ユーモアの中にも、プライバシーの本質をつくところがある。

虚構新聞20160311

曰く

「報道と称して、有名人や容疑者の文集、アルバムをマスコミが買いあさる構図が出来上がって久しいが、これらは本来売り物ではなく記念品。誰かが整形したかどうか、幼いころから異常な性格が芽生えていたかどうかを確かめるために配布しているのではない。」

「今ではネット上に消せない情報として流れる以上、記念品も個人が特定できないような内容に変えるしかない。」

全くだ。

個人が身を守るためには、こういう異常なことをやらなければならないということが、現在の報道によるプライバシー侵害[2]の異常性・深刻性を表していると言えるのではないだろうか。

更に、返す言葉で

同学園のQ学園長は匿名を条件にこのように説明してくれた。

と、世の中の「匿名加工方法」のおかしさもバッサリ。

加えて、

将来同級生の個人情報を他者に提供させないよう、あらかじめ薬を使って在学中の記憶を消す処置を施す予定

と、深刻なプライバシー侵害を引き起こす主体には、報道だけでなく、一般の個人もあるということを指摘していて、なんともあっぱれとしか言いようが無い。

個人情報保護法からプライバシー保護への移行の必要性を、直感に強く訴える記事になっている。脱帽である。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at March 11, 2016 04:32 AM

March 10, 2016

Nat Sakimura

第10回 European Identity Conference のKilling the Passwordパネルに出演します

Screen Shot 2016-03-11 at 02.07.45

第10回 European Identity & Cloud Conference (EIC 2016)が2016年5月10日〜13日まで、ミュンヘンで開催されます。

私は、Killing the Password というパネルディスカッションに参加します。他のパネリストは、

  • Yubicoの創業者CEO & FIDO U2Fを押し込んだ張本人 : Stina Ehrensvard
  • SalesforceのSenior Director + IDESG理事 &我が麺友: Ian Glazer
  • MicrosoftのChief Security Architect & Mr FIDO 2.0:Tony Nadalin

です。

内容は:

わたしたちはみな、アクセス制御にユーザ名/パスワードを使うということが、すべてのものが互いに接続されている現在の世界では危険で時代遅れで、新しいアプローチが必要だということを分かっています。しかし、どうやったらパスワードを過去の遺物にすることができるのでしょうか?これまで「パスワードは死んだ」というようなアナウンスメントがたくさんありましたし、実際にパスワードに変わる手段も長年提供されてきました。ただし、それらは標準化されていない、個別アプローチのものでした。現在、新しい動きがあります:FIDOのようなイニシアチブがベンダー個別のものを超えて提供されるようになってきて、パスワードの終焉に近づいているように主wれます。しかし、なぜパスワードが依然として使われ続けているかを理解するには、なぜこれまで市場が失敗してきたかということを理解する必要があります。そして、パスワードを最終的には殺すであろうソリューションに必要とされるユーザビリティ、PR、ロールアウト戦略を考える必要があります。ディスカッションのトピックには以下の様なものが考えられます:

  • パスワードに代わるものには何があって、現在どのような状況にあるのか?
  • それを実施するには何(ソフトウェア、ハードウェア、基盤)が必要か?
  • パスワードレスなサービスをロールアウトするための技術的な課題
  • こうしたプロジェクトを自組織の中で推進するために、どのように実装・賛同を得たら良いのか?(ステークホルダーズの引き金は何か)
  • パスワードに関するユーザの行動とメンタリティをどのように変えたら良いか
  • FIDO v1を実装するか、v2まで待ったほうが良いのか?

太字下線部分は私の担当ですね。あと、Ian v.s. Tony のバトルがあるとか無いとか。ひょっとすると、マダム FIDO v1 v.s. ミスター FIDO v2のバトルもあるかもしれませんね。

Kuppinger Cole からのカンファレンス全体のアナウンス(英文)は以下のとおりです。

では、ミュンヘンでお会いしましょう。

Save The Date – European Identity & Cloud Conference, 10 to 13 May 2016 

Wiesbaden, 3rd March 2016 – For the 10th time KuppingerCole’s European Identity & Cloud Conference (EIC) takes place from 10th to 13th May 2016 at the Dolce Ballhaus Forum in Unterschleissheim, Munich, Germany. As Europe’s leading event for the Future of IT-Security the conference combines thought leadership with best practices and offers discussions with more than 600 participants from worldwide companies. The world’s leading vendors, end users, thought leaders, visionaries and analysts will assemble in Munich to be inspired by a forward-thinking, worldwide community.

Under the key topics Identity and Access Management/Governance as well as Cloud Security this year’s EIC will present more than ever the best practices for Digital Transformation.

In 2016 the conference motto is „Enabling Agility and Innovation in the Age of Digital Transformation“and covers the following key topics:

  • New Thinking: From Digital Transformation to the era of Perpetual Disruption
  • The five cornerstones of secure digital transformation
  • From Cyber to Physical: Security principles in the world of the Internet of Everyone and Everything
  • Risk Mitigation in a Digital Business World
  • The Future of Identity & Access: New ways of authentication
  • Business Centric IAM: How to focus your Identity Infrastructure on the Customer
  • Big Data versus Minimal Disclosure: Even in a world with fewer secrets privacy is still possible
  • Smart Manufacturing and Services: The important role of the CISO and how it’s changing
  • GRC as a Service: How to better conform with new security compliance regulations
  • Cloud Computing: Why Certifications for Cloud Provider Selection are necessary

During the conference KuppingerCole will once again honor outstanding identity management and cloud computing projects and initiatives. The European Identity & Cloud Awards will be presented on May 11, 2016 at the evening event of the conference.

On the day before the conference, May 9, 2016, the Pre-Conference Seminar about Blockchain takes place. Under the title „Moving Beyond the Hype: EIC 2016 Blockchain Seminar” five top speakers featuring Martin Kuppinger (Founder & Principal Analyst, KuppingerCole), Daniel Sandmann (Head of Compliance Policy, Communications & Regulatory Affairs, Allianz SE) and Prof. Dr. Karin Gräslund (Scientific Advisor, KuppingerCole) will talk about why there is such a big hype around the blockchain technology and how it is going to influence our future industry. Attendees of the EIC 2016 can participate in this seminar for free.

More information and the login to register for the European Identity and Cloud Conference 2016 can be found at www.id-conf.com.

Press, journalists and bloggers can register directly and for free via mail at press@kuppingercole.com.

For people who are interested in getting a deep dive into topics like fintechs, blockchain as well as smart contracts and want to know all about the Digital Transformation in the financial and insurance sector, KuppingerCole organizes the Digital Finance World from September 21 – 23, 2016 in Frankfurt a. M., Germany.

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at March 10, 2016 05:12 PM

March 04, 2016

Nat Sakimura

トランプ勝利でカナダ移住を考える人が100倍増?~未来からの刺客を名乗る患者も急増?!

さて、大統領予備選の山場、スーパー・チューズデー(3月1日)が終わりました。民主党はヒラリー・クリントン氏が順当に勝ち、共和党はドナルド・トランプ氏が大勝しました。まぁ、予想通りとはいえ、やはり、ここでトランプ氏は崩れるのではないかという甘い期待を持っていた人たちも多いようで、この結果を見て、アメリカ脱出を考える人が増えているようです。このことがよく現れているのが、「カナダへ移住」と検索する人たちの急増です。

how-to-move-to-canada

図を見てもわかるように、予備選の大勢が判明してくるとともに、「How to move to Canada」と検索する人が増え始め、翌朝にはそれまでの100倍増になってしまいます。それだけ、トランプ大統領はヤバイと思っている人が多いということでしょう。

それだけではありません。なんと、アメリカの精神病院には10分に1人の割合で、「トランプを殺しに未来から来た。」と言う人が担ぎ込まれているらしいのです[1]

Sent from Future

News Thump: Psychiatric hospitals filling up with time travellers sent back to kill Donald Trump (2016/3/3)

サイモン・ウィリアムズ医師によると、これまでは「自分はナポレオンである。」という人が多かったらしいのですが、ここに来て一気に「未来からの暗殺者」が増えてきているとのこと。なんでも、どの人も異口同音に「暴動と戦争と飢饉とで文明が崩壊した未来から、状況を修正するために送られてきた」というとのこと。これは精神科の症例としては非常に珍しいとのことです。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at March 04, 2016 09:24 AM

February 16, 2016

OpenID.net

HEART Implementer’s Drafts Approved

The OpenID Foundation members have approved of the following specifications as OpenID Implementer’s Drafts:

  • Health Relationship Trust Profile for OAuth 2.0
  • Health Relationship Trust Profile for OpenID Connect 1.0
  • Health Relationship Trust Profile for User Managed Access 1.0

An Implementer’s Draft is a stable version of a specification providing intellectual property protections to implementers of the specification.

The specifications are available at:

The voting results were:

  • Approve – 34 votes
  • Object – 1 vote
  • Abstain – 11 votes

Total votes: 46 (out of 204 members = 23% > 20% quorum requirement)

— Michael B. Jones – OpenID Foundation Board Secretary

by Mike Jones at February 16, 2016 01:35 AM

February 14, 2016

Nat Sakimura

株大暴露というわけで、どのくらいなのか長期グラフにしてみた

さて、今年の新年は体調を崩していて、株価と現金の価値の振り返りができませんでした。ここのところ、株価が暴落しており、それに伴い「年金を株で運用するのは危ないからやめろー」の大合唱が聞こえるので、ちょいとグラフを伸ばしてみました。

日経平均と日本円現金の価値の推移(ドルベース)

2003年1月末を100とした、日経平均と日本円現金のドルベース価値の推移

まぁあれだ、これだけ落ちてもまだ現金よりはマシということですな。

もちろん、去年の記事[1]にも書いたように、政治的に恣意的にポートフォリオバランスを崩すようなことはあってはなりません。そんなことすると、てっぺんで株転するようなことになりかねませんからね。でも、長期的な視野と現金需要を睨んで、株式の比率をある程度高く持つのは、正しい投資戦略なんですよ。え?「積立金の株運用は博打。こんな危険なことは他国ではやっていません。」[2]ですって?じゃぁちょっと見てみましょう。

次の図は、日本を含む各国の年金を運用資産別に分けたものです。

各国の年金の運用資産別分解

各国の年金の運用資産別分解 
(出所)Towers Watson『Global Pensions Asset Study 2015』

青緑が黄緑が債券橙色が土地や未公開株などの「オルタナティブ・アセット」、黒が現金です。株よりボラティリティが高そうなもの(株とオルタナティブ・アセット)を一括りにすると、青緑橙色の比率を計算すれば良いことになります。すると、

日本:40%;
英国:59%;
米国:73%;

とかになりますね。日本が一番低いですね。「こんな危険なことは他国ではやっていません」なんて、まるっきり嘘ですからね。みなさんダマされないように。

(ちょっと付け加えておくと、各国とも確定拠出年金の比率が日本より格段に高いです。日本は確定給付型が大部分。確定給付型は保守的な運用をする傾向にありますから、それが寄与しているともいえますが、国民の立場からしたら、年金は全体ポートフォリオとしてみるべきでしょう。)

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at February 14, 2016 11:28 PM

February 12, 2016

OpenID.net

Vote Early and Often!

More often than not OpenID Foundation members vote with their feet. Members typically signal their interest in a topic or work group by participating on a spectrum from “leader to lurker” on a mailing list discussion or in a work group’s agenda setting. On important, rare occasions, real people have to cast real votes. Votes decide things in presidential elections or in standards development organizations like the OpenID Foundation.

Two elections just concluded in the OpenID Foundation. The Vote to Approve Implementer’s Drafts of OpenID HEART Specifications just passed after a successful “get out the vote” campaign by Work Group Chairs Deb Bucci and Eve Maler with help from Board Secretary Mike Jones. In the “sausage making” of standards development votes like these really matter.

The vote for the corporate board representative also just concluded with Dale Olds’ election. I asked Dale to share a few remarks about what we might expect from his leadership. He shared the following;

“I’m honored to be elected to the board of the OpenID Foundation. In the past few years VMware has become much more active in federated identity services, both with their own products and integrations with other vendors’ products. While I expect to primarily contribute to technical issues, I plan to use my position on the board to push for increased participation by VMware and AirWatch in working groups and events. With that said, I also recognize that my position is to represent the perspective of all the corporate members, not just VMware. I encourage other corporate members to contact me if they would like to voice a concern or if they desire an issue brought to the board’s attention. Looking forward to a productive term!”

Thanks to all who took the time to vote. The contribution of your time, talents and votes are the lifeblood of volunteer-driven organizations like the OpenID Foundation and as a result; solutions are improved, standards are strengthened and customers and end-users are better served.

Don Thibeau
The OpenID Foundation

by Don Thibeau at February 12, 2016 05:40 PM

February 08, 2016

OpenID.net

New OpenID Foundation Board Leadership

Thanks to all who voted for representatives to the OpenID Foundation Board of Directors. 

George Fletcher of AOL will begin a new two year term as the community member representative. His continued leadership on the Executive Committee ensures continuity on important initiatives like OpenID Connect Certification and his deep technical expertise will assist the new work groups that are in the pipeline.

Also, each year Corporate Members of the OpenID Foundation elect a member to represent them on the board. All corporate members were eligible to nominate, second and vote for candidates.  I am pleased to announce the election of Dale Olds to the OpenID Foundation Board. This will be Dale’s first time serving on the Board and he will bring a fresh perspective to complement his considerable technical and  business experience.

I’d like to thank Torsten Lodderstedt, of Deutsche Telekom, who has made important contributions during his tenure as a Director. Torsten has helped drive international outreach and led the resolution of complex security challenges. His continued Chairmanship of the MODRNA Working Group helps provide a clear path forward for OpenID Connect’s contribution to standards development on global mobile platforms.

I wanted to acknowledge all those who put themselves forward as candidates and those now serving. Board participation is a substantial investment of time and energy and requires diligent consensus building.

Please join me in thanking George and Dale as well as the other Directors for their service to the OpenID Foundation and the community at large.

by Don Thibeau at February 08, 2016 07:00 PM

February 06, 2016

OpenID.net

Registration Now Open for OpenID Foundation Workshop on Monday, April 25, 2016

OpenID Foundation Workshops provide insight and influence on important internet identity standards.  The workshop provides updates on the adoption of OpenID Connect across industry sectors. We’ll review progress on OpenID Connect Certification and gather feedback for planned Relying Party certification. Work Group Leaders will overview the MODRNA (Mobile Profile of OpenID Connect) as well as other protocols in the pipeline like RISC, HEART, Account Chooser, Strong Authentication and the new Financial API profile. Leading technologists from Forgerock, Microsoft, Google, Ping Identity and others will lead the discussions to update key issues and discuss how they help meet social, enterprise and government Internet identity challenges.

This event precedes the IIW #22 Mountain View April 2016

Registration is at https://www.eventbrite.com/e/openid-foundation-workshop-prior-to-iiw-spring-2016-tickets-21016555082

The OpenID Foundation Workshop Agenda

  • Overview – Don Thibeau, Executive Director OpenID Foundation
  • OpenID Connect and the OpenID Connect Certification Program: Mike Jones
  • iGOV ( International Government Assurance Profile ): John Bradley
  • MODRNA ( Mobile OpenID Connect Profile): Bjorn Helm
  • Account Chooser: Pam Dingle
  • RISC ( Risk and Incident and Sharing Coordination): Adam Dawes
  • Strong Authentication Profile: Tony Nadalin
  • HEART ( Health Relationship Trust Profile): Eve Maler and Deb Bucci
  • Financial API Work Group (*Proposed): Nat Sakimura

Thank you to Microsoft for their directed funding support of this event.

Don Thibeau
The OpenID Foundation

by Don Thibeau at February 06, 2016 12:44 PM

January 14, 2016

OpenID.net

Leaders Lead

The inaugural meeting of the iGov Working Group took place on Wednesday, January 14th where three co-chairs were elected by acclamation. John Bradley of Ping Identity, Paul Grassi of the US NIST and Adam Cooper of the UK Cabinet Office Identity Assurance Program are the elected co-chairs. Acclamation may be a bit strong describing an electoral process closer to being shanghaied. All the same, all of us know leadership is a classic  key success factor.

However leaders emerge, they are essential to success especially in the “sausage making” of standards development. The configuration of iGOV’s leadership is intentional. The leaders map onto the WG’s mission: John’s Chilean/Canadian identity together with his unique technical chops; together with Paul Grassi’s past pedigree and present position in the US Government; together with Adam Cooper’s architectural expertise than stretches into European standards and schemes form iGOV’s leadership team. 

Leaders lead and we look to these men to manage the process and lead work group contributors to a common goal. Please consider joining this effort. The work group’s goal is to have a common deployment profile that can be customized for the needs of both pubic and private sector deployments in multiple jurisdictions that may require the higher levels of security and privacy protections that OpenID Connect currently supports. The resulting profile’s goal is to enable users to authenticate and share consented attribute information with public sector services across the globe. 

The full draft charter is available at http://openid.net/igov-wg-draft-charter/

by Don Thibeau at January 14, 2016 09:52 PM

January 10, 2016

Kaliya Hamlin

20th She's Geeky!!! Jan 29-30th Mountain View

I’m super excited about the 20th She’s Geeky Unconference coming up January 29th and 30th in Mountain View.

I’m going to be facilitating. So it will be extra fun.

To celebrate our 20th She’s Geeky we are offering a special 20% off ticket price register with the dicount code: MYGIFT20. Can’t commit to two days? The MYGIFT20 code is also valid for one-day registrations. To register go to www.shesgeeky.org.

Here is a flyer for you to print out for your office.

SGBA_2016_Flyer_010616

About She’s Geeky:

Inspiring each other, creating vital networks, and sharing skills are the backbone of our events. Without places to re-energize and networks that support them, women who have done the hard work of developing their skills to work in STEM may drop out after just a few years in their eld. We want to improve the situation of women in STEM elds, increase retention rates, and create a place for women to discuss the topics that are meaningful to them.

Women attending She’s Geeky events nd the inspiration necessary to continue on STEM career paths because they are given the opportunity to present their work, discuss critical issues and build peer networks for support.

We work with and promote existing activities and organizations in regions around the country.
She’s Geeky is a neutral event that supports connection between different geeky cultures by using a format where the agenda is created live at the event by the women in attendance.

It’s more fun with a friend! Please invite your friends who might enjoy She’s Geeky!

Email info@shesgeeky.org for more info on:

• Student and Teacher Discount.
• A limited number of volunteer opportunities are available.
• Sponsorships! Sponsors are eligible for free and discounted tickets. • Group Buys! Got ten or more women who want to attend?

by Kaliya Hamlin, Identity Woman at January 10, 2016 11:40 PM

January 06, 2016

Nat Sakimura

WordPressが遅い!

昨日、このサイトにアクセスしようとすると、あまりに遅くてtimeoutしてしまうようになった。大したアクセスではないのだが。どうもphp5-fpmがものすごくCPUをとっているようなので、そのあたりにトレースをかけにいった。しかし、それを読んでもぱっとしない。そもそも、dumpが途中でdump failedでちょん切れるし。どうもslow log は信用出来ないらしいという情報もあるし[1]

そのログはこんな感じである。

[06-Jan-2016 12:56:04] [pool www] pid 4835

script_filename = /var/www/index.php

[0x00007ff1e09ae330] unserialize() /var/www/wp-includes/functions.php:319

[0x00007ff1e09ae188] maybe_unserialize() /var/www/wp-includes/option.php:133

[0x00007ff1e09ae088] get_option() /var/www/wp-includes/cron.php:438

[0x00007ff1e09adf40] _get_cron_array() /var/www/wp-includes/cron.php:223

[0x00007ff1e09addd0] wp_next_scheduled() /var/www/wp-includes/update.php:649

[0x00007ffec1ff3ba0] wp_schedule_update_checks() unknown:0

[0x00007ff1e09adbf8] call_user_func_array() /var/www/wp-includes/plugin.php:525

[0x00007ff1e09ada58] do_action() /var/www/wp-settings.php:392

[0x00007ff1e09ad930] +++ dump failed

このようなものが様々なバリエーションで出てくる。

結局、昨日入れたSNS Count Cacheというプラグインが巨大なCronを作って、それがCPUを消費してしまっていたのだった[2]

それはそれとして、どう状況を改善するか。何しろもはや、管理画面にアクセスすらできない状況である。管理画面から当該プラグインを削除することもできない。

結局いろいろやった末に、有効だったのは:

  1. php5-fpm を止める。(コマンドラインから kill しないと、service php5-fpm stop だけではこの状況だと死なない。)
  2. Apacheを止める。(service apache2 stop)
  3. WPのディレクトリに .maintenance ファイルを作る。(これで、Apacheとphp5-fpmを起動してもWordpressは動かなくなる。)
  4. phpMyAdminなどで、wp_options テーブルから、option_id = 102, option_name=’cron’ の行を削除する。(このレコードは巨大になっているはず。)
  5. 間髪をいれず、option_id = 102, option_name=’cron’, auto_id=’yes’ のレコードを作る。
  6. WPのプラグイン画面に行き、SNS Count Chacheプラグインを停止、削除する。
  7. .maintenanceを削除する。

WordPress組み込みの cron 機能を止める

ついでに、wp-cron自体を止めてしまって、Linuxのcronを使ってやるようにするとなお良い。それには、

  1. wp-config.php の、「define(‘DB_COLLATE’, ”);」の次の行に「define(‘DISABLE_WP_CRON’, ‘true’);」を挿入する。つまり:
    define('DB_COLLATE', '');
    define('DISABLE_WP_CRON', 'true');
    

    みたいな感じなる。これで、wp-cron.php が、WPへのアクセスのたびに起動されるというようなことはなくなった。

  2. しかし、起動しないだけではいけない。wp-cron.phpを、節度を持ったタイミングで起動してやる必要がある。数時間おきに起動してやるくらいで調度良いのではないか。そのためには。www-dataのcrontabに、起動コマンドを登録してやる必要がある。
    crontabの起動シンタックスは以下のとおりである。
    sudo crontab -u www-data -e

    これで、エディタが立ち上がってくるので、以下を登録する。

    0 */6 * * *    cd $wordpress_dir; /usr/bin/php -q wp-cron.php

    (上記では6時間おきに走るようにしている。$worpdress_dirは実際のフォルダのフルパスを入れること。)

    ではでは。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at January 06, 2016 04:41 PM

January 04, 2016

OpenID.net

Announcing The OpenID Foundation Individual Community Board Member 2016 Election

The OpenID Foundation plays an important role in the interoperability of Internet identity. This is to announce the OpenID Foundation Individual community board member 2016 election schedule. Those elected will help determine the role the Foundation plays in facilitating the adoption of open identity standards.

Per our bylaws, Individual community Members elect three (3) board members to represent them.

George Fletcher’s term is expiring this year. Mike Jones and John Bradley have 1 additional year on their 2 year terms. I want to thank George for his service to the OIDF and the community at large. George is eligible to seek re-election and has indicated that he intends to nominate himself for another term.

The Individual community board member election will be conducted on the following schedule:
• Nominations open: Monday, January 4, 2016
• Nominations close: Monday, January 18, 2016
• Election begins: Wednesday, January 20, 2016
• Election ends: Wednesday, February 3, 2016
• Results announced by: Wednesday, February 10, 2016
• New board terms start: Wednesday, February 24, 2016

Times for all dates are Noon, U.S. Pacific Time.

All members of the OpenID Foundation are eligible to nominate themselves, second the nominations of others including those who self-nominated, and vote for candidates. If you’re not already a member of the OpenID Foundation, we encourage you to join now at https://openid.net/foundation/members/registration

Voting and nominations are conducted using the OpenID you registered when you joined the Foundation. If you are already a member, you have received an email from me at director@oidf.org advising you that the election is open and how to participate. You will need to log in with your OpenID membership credentials at https://openid.net/foundation/members/ to participate in nominations and voting. If you experience problems participating in the election or joining the foundation, please send an email to help@oidf.org right away.

Board participation requires a substantial investment of time and energy. It is a volunteer effort that should not be undertaken lightly. Should you be elected, expect to be called upon to serve both on the board and on its committees. If you’re committed to open identity standards work well with others, we encourage your candidacy. The OIDF’s Executive Committee suggests a few questions candidates may want to publically address in their candidate statements:

1. What are the key opportunities you see for the OpenID Foundation in 2016?
2. How will you demonstrate your commitment in terms of resources, focus and leadership?
3. What would you like to see accomplished in 2016; how do you personally plan to make this happen?
4. What other resources can you bring to the foundation to help the foundation attain its goals?
5. What current or past experiences, skills, or interests will inform your contributions and views?

Candidates can address these questions in their election statements on various community mailing lists, especially openid-general@lists.openid.net. Please forward questions, comments and suggestions to me at don@oidf.org.

Regards,

Don Thibeau
Executive Director
The OpenID Foundation

by jfe at January 04, 2016 04:11 PM

January 01, 2016

Nat Sakimura

明けましておめでとうございます

CNT-0012173-01旧年中は大変お世話になりました。

2015年は、50歳を記念するかのように、過去数年取り組んでいた標準規格(JWS [RFC7515], JWT [RFC7519], OAuth PKCE [RFC7636], JWK Thumbprint [RFC7638])がバタバタと出版された年でした。また、ISO/IEC 29100 Privacy FrameworkのJIS化も着手されるとともに、通知・同意のガイドラインの国際規格(IS)化もスタートしました。そのほかにも、4年ぶりのOpenID Summitをはじめ、IT&IDほかさまざまなイベントに出演させていただいたり、錚々たる執筆陣の末尾をけがさせていただき、書籍「未来を拓くマイナンバー(中央経済社)」出版[5]させていただいたり、共著のアイデンティティ管理の保証レベルに関する論文[6]を出させていただいたりと盛りだくさんでした。

今年は、RFC7515他の基礎的部品ができたことをうけて、もともと取り組もうとしていたFIntech系のことに若干比重を移そうと思っております。また、ISO/IECでは、日本のSC27/WG5の主査業務に加え、国際での「プライバシーに配慮した属性ベースID管理SP」の取りまとめ役として「プライバシーに配慮した属性ベースID管理の要件」の初期ドラフティング、「通知・同意ガイドライン」のエディターとして規格推進を行っていきたいと思っております。また、今年はOECD/CDEPの8年ぶりの大臣級会合ですので、OECD/ITACのメンバーとして微力ながらご協力していければと思います。

いろいろご迷惑をおかけするかと思いますが、本年も引き続きよろしくお願い申し上げます。皆様の一年が幸多き年でありますように。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at January 01, 2016 07:58 AM

December 11, 2015

OpenID.net

Review of Proposed Implementer’s Drafts of HEART Specifications

The OpenID HEART Working Group recommends approval of the following specifications as OpenID Implementer’s Drafts:

  • Health Relationship Trust Profile for OAuth 2.0
  • Health Relationship Trust Profile for OpenID Connect 1.0
  • Health Relationship Trust Profile for User Managed Access 1.0

An Implementer’s Draft is a stable version of a specification providing intellectual property protections to implementers of the specification. This note starts the 45-day public review period for the specification drafts in accordance with the OpenID Foundation IPR policies and procedures. This review period will end on Sunday, January 24th, 2016. Unless issues are identified during the review that the working group believes must be addressed by revising the drafts, this review period will be followed by a seven-day voting period beginning on Monday, January 25th, 2016 during which OpenID Foundation members will vote on whether to approve these drafts as OpenID Implementer’s Drafts. For the convenience of members, voting may begin up to two weeks before Monday, January 25th, with the voting period still ending on Monday, February 1st, 2016.

The specifications are available at:

The HEART working group page is http://openid.net/wg/heart/. Information on joining the OpenID Foundation can be found at https://openid.net/foundation/members/registration. If you’re not a current OpenID Foundation member, please consider joining to participate in the approval vote.

You can send feedback on the specifications in a way that enables the working group to act upon your feedback by (1) signing the contribution agreement at http://openid.net/intellectual-property/ to join the working group (please specify that you are joining the “HEART” working group on your contribution agreement), (2) joining the working group mailing list at http://lists.openid.net/mailman/listinfo/openid-specs-heart, and (3) sending your feedback to the list.

— Michael B. Jones – OpenID Foundation Board Secretary

by Mike Jones at December 11, 2015 02:25 AM

November 16, 2015

OpenID.net

KDDI joins Verizon and Deutsche Telekom to set the direction for OpenID Connect on mobile platforms

The Japanese Mobile Network Operator and market leader KDDI has joined the Board of Directors of the OpenID Foundation. KDDI joins Verizon and Deutsche Telekom as global telco giants helping set the direction for OpenID Connect on the platform of choice; the mobile device. KDDI’s leadership comes at an opportune time as the MODRNA Working Group (Mobile Operator Discovery Registration and Authentication) development of a profile of OpenID Connect for MNOs providing identity services for RPs (Relying Parties) is rapidly building consensus on optimizing global interoperability.

KDDI brings practical user experience across a broad range of relying party applications. KDDI’s will leverage OpenID Connect throughout its “AU ID” platform including “AU Smart Pass,” “AU Wallet Market,” as well as a portfolio of settlement services on prepaid cards and credit cards for a user base of over 25 million customers. KDDI’s input, like that of others OIDF members like the GSMA, is critical to building reliable, flexible and scaleable deployments.

KDDI’s announcement was a highlight of the OpenID Foundation Japan Conference, a gathering of almost 500 developers, technologists and business leaders in Tokyo. Experts from Google, Microsoft, Ping Identity and others led an in depth review of the status of each OpenID Foundation working groups and conducted hands on self certification testing workshops. A series of presentations highlighted the linkage of technical protocols with trust frameworks governance rules. OpenID Foundation Japan is planning new initiatives around localization of documentation and a new wave of OpenID Connect self certifications by members large and small in early 2016.

Yamamoto-Thibeau-225x300

The signers: Don Thibeau, ED of OIDF, and Yasuhide Yamamoto, Executive Officer of KDDI.

KDDI 1\

KDDI 2

by jfe at November 16, 2015 02:18 PM

November 10, 2015

Kaliya Hamlin

Grace Hopper Celebration and Presentation – Ethical Market Models.

In mid-October I had the opportunity to attend the Grace Hopper Celebration for Women in Computing for the first time.

Here is a link to the paper that I presented – MarketModels-GHC Here are the slides

I also had the pleasure of working on a Birds of a Feather Session with Roshi from Google – she works on their identity team and was the one who asked me work on the session with her along with encouraging me submit a proposal for a lighting talk.
We had a great discussion about the internet of things and considering various ideas about what internet of things things…we might invent and how we might identify ourselves to them.
The conference is really a giant job fair for undergaduate women CS majors. There is not a lot there for mid-career women, all of the ones I spoke to felt this way.  I realize if I was a young woman….at a CS department where most everyone is a man.  Attending this event would make me feel like the whole world opened up…and anything was possible.
The event made me more committed to putting energy into helping She’s Geeky expand and serve more cities and more women and particularly those who are at high risk of leaving the industry – those who have been in the industry for around 10 years.

by Kaliya Hamlin, Identity Woman at November 10, 2015 02:51 AM

Kaliya Hamlin

Thinking Ahead: Sean some people did…you didn't.

So the Guardian is reporting about Sean Parkers remarks at the Techonomy conference.

Thinking ahead.

None of us could possibly have understood what it would mean to have a billion or two billion people potentially using these platforms regularly,” said Parker. “That wasn’t something that factored into anyone’s analysis in the starting of these companies. You just want to be a successful company. You want to understand the mechanisms that work, you want to play into them, you want to reinforce them, you want to be a successful company.”

While it is refreshing to hear some self reflection after the fact about the consequences of building a social platform driven by profit with an incentive to get people to engage with it – personal and social costs be-dammed.

I think people did for-see and could understand some of the negative effects he is discussing – the problem is they just were not in the mix of young men founding these companies at the time.  The fact is the narrow demographic of who was empowered with funds to create these systems (By men likc Sean Parker and Peter Theil) and who thcy subsequently chose to hire and listen to early on (Read the Boy Kings to get the inside scoop on that) speaks volumes about what was built.

As a side note I developed an outline for building a distributed social network for spiritual activist leaders and their followers in 2003-4. I even raised $35,000 and had two protoypes build in Drupal.    I like to think if I got funding beyond that and had the chance to develop the vision we were thinking about the social consequences.

Communities considering the future of social tools and online communities did think thoughtfully about the future and how things could play out and what was needed to support things evolving well from a user-centric perspective.  A great starting point published in 2003 is the Augmented Social Network: Building Identity and Trust into the Next Generation Internet.

by Kaliya Hamlin, Identity Woman at November 10, 2015 02:39 AM

November 05, 2015

OpenID.net

Building on What’s Built: OpenID Certification Momentum

At the OpenID Certification Launch in April 2015, 6 organizations had certified 8 OpenID Connect Provider implementations for 21 conformance profiles. Now, as you can see at http://openid.net/certification/, 14 organizations and individuals have certified 16 OpenID Connect Provider implementations for 48 conformance profiles. The OpenID Foundation has championed self-certification as an important new trust building mechanism that can operate at Internet scale, and it’s working well.

The new certifications represent a broad set of industries and application areas: large companies like Deutsche Telekom – a leading European mobile operator, and small companies like Privacy Vaults Online (PRIVO) – which manages parental consent for children’s online access. This latest wave of certifications include more from Microsoft – certifying their on-premises identity software, as well as developers like Cal Heldenbrand – in the real estate industry, and Dominick Baier, Brock Allen, Michael Schwartz, Justin Richer, and Roland Hedberg, each certifying their open source identity software. Congratulations to all for their achievements and for advancing interoperable digital identity across international borders and industry sectors.

Keep those certifications coming! Meanwhile, the ability to self-certify OpenID Connect Relying Parties is being finalized in anticipation of pilot RP certifications in 2016.

Don Thibeau
OpenID Foundation Executive Director

by Don Thibeau at November 05, 2015 07:28 AM

October 22, 2015

OpenID.net

Announcing the OIDF iGov Working Group

A recent US NIST announcement describes the newly formed OIDF International Government Assurance Profile (iGov) Working Group which is an international public and private sector collaboration that will develop an interoperable profile of OpenID Connect to allow users to authenticate and share consented attribute information in a consistent and user-centric manner. With over 10 international governments and multiple private sector organizations already participating, iGov will help enable secure and privacy-enhancing authentication and authorization transactions based on common requirements from the global community. The iGov WG Page is set up at: http://openid.net/wg/igov/ The link to subscribe to the mailing list is: http://lists.openid.net/mailman/listinfo/openid-specs-igov

Those interested in participating will need to submit signed IPR agreements indicating the iGov Profile WG. The link to the IPR agreement is at http://openid.net/intellectual-property/ The IPR agreement can be submitted online via DocuSign. IPR agreements have been received from NIST, Ping, and Microsoft. Once interested parties and OIDF members have signed up they will need to approve the iGov charter. Document contributions to the Working group should be sent to the mailing list, and then can be added to our official document repository.

by jfe at October 22, 2015 09:58 PM

October 12, 2015

OpenID.net

OpenID Connect’s Real Estate Identity

One of the sure signs of adoption momentum is when other standards organizations, particularly those not typically involved in online identity, implement OpenID Connect and leverage self certification throughout their networks. A new member, Cal Heldenbrand shared the context for a new deployment and the value of self certification in his notes below:

The Real Estate Standards Organization (RESO) is tasked with the difficult goal of standardizing all of the real estate data in the US and Canada. This includes the data payload, the fields, formats, transport mechanism, and authentication/authorization. This is effectively called the Real Estate Transaction System (RETS). RETS is a 16 year-old standard based on XML, and every real estate website uses it.

The world has changed quite a bit since 1999, and we needed something new and easy to use. Mobile friendly, and developer friendly. The initial learning curve for RETS can be a little daunting, and we want to attract new software companies and developers to our industry. We’ve created the RESO RETS Web API to make life a little easier in the real estate sector. The data transport is using OData V4. On the auth side, we started using OAuth2 around January 2014. At that time, OpenID Connect was very cool looking, but I was hesitant to recommend it to RESO until it was a fully finalized, ratified standard.

There are hundreds of software companies working together in our industry. Writing an interoperable OAuth2 protocol using the framework was difficult. Since there is no OAuth2 standard, it seems like every major installation in the world has their own spin on it. That’s bad. It also meant that I couldn’t just copy how someone else did it, I had to make our own.

Plus, the absence of endpoint metadata means we have to document where everything lives, then ask clients to hard code URLs for every OAuth2 provider. It’s a lot of busywork for a developer to add a new IdP to a software installation.

After OpenID Connect became a finalized standard, I gave a presentation to RESO showing how one website in our industry could accept identities from Google, Microsoft, Amazon, and also from our own OpenID Connect Provider, Spark Platform. Since it’s an actual protocol standard, we could simply plug in IdPs with a small configuration change, and the OpenID Connect client libraries would handle the rest. That’s really powerful. We’re used to SSO integrations taking weeks to complete. With OpenID Connect, that turns into minutes.

One suggestion I do have though — I’d like to see the Discovery specification be part of the required Core. It’s such a simple piece to write, and very integral in the grand scheme of what makes OpenID Connect easy to use.

The certification process was pretty easy as well. I was expecting it to be more intensive! Our environment is Ruby on Rails, and I used Nov’s openid_connect Ruby gem for constructing ID Tokens. Other than that, my Provider is written from scratch. It took me about 2 weeks to have a very simple provider running for demo purposes. Then another 2 weeks to have it fully compliant with the certification tools. This is also along side my usual day job tasks of web operations. I’d have to say this was a breeze compared to the old OpenID 2.0.

Thanks for making a great standard!”

And thanks to Cal and the Real Estate Standards Organization (RESO) team for sharing their use case and feedback.

Don Thibeau
The OpenID Foundation

by jfe at October 12, 2015 01:23 PM

October 06, 2015

Nat Sakimura

EU司法裁判所、US-EUセーフハーバー協定無効判断

【ブリュッセル時事】欧州連合(EU)司法裁判所(ルクセンブルク)は6日、米企業が個人情報をEU各国から米国に移転することを特別に認めた「セーフハーバー」と呼ばれるEUと米国間の取り決めについて、情報が十分に保護されておらず無効だとの判断を下した。(http://www.jiji.com/jc/zc?k=201510/2015100600844&g=int)

来ましたね。スノーデン事件以降、こうなるのではと言う話はよく出ていたのですが、経済的なインパクトからそうはならないだろうとも思われていたわけで。HPさんの用にセーフハーバーだけでなく、BCRとかもやっているところは、その先見性が評価されるべきなわけですね。

欧州委員会のティメルマンス第1副委員長は記者会見し、取り決めは無効でも、当面は現行規則の範囲内で情報移転の継続は可能だとの認識を示した。

ま、そりゃそうですよね。経済とまっちゃうもの。これから、米国はどう対応するか。

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at October 06, 2015 05:22 PM

September 28, 2015

Nat Sakimura

NASA、火星に液体の水があることを発表

NASAが日本時間0時30分、火星に液体の水があることを発表しました。

液体の水と言っても非常に塩(perclorate)の濃度が高いものですが、その証拠を発見したとのことです。もっとも、直接観測したのではありません。化学物質は特有のスペクトルを吸収する性質を持っていますが、火星に季節的に表れるRecurring Slope Lineae (RSL)と呼ばれる筋を、衛星からの画像で分析したところ、percolateであると考えられるとのことです。火星の地表は気圧が低いので、摂氏10度で真水は蒸発してしまうのですが、このpercolate水は零下70度からは24度位まで液体として存在するので、RSLには液体として水が存在していると推測しているらしいです。この水は、一部の山のてっぺんあたりから季節的に流れて細い長い黒い後を残した後、毎年蒸発しているようです。NASAの記者会見[0]では、この水が流れ出す(のか染みだしているのか分かりませんが)様を映像で見せてくれていました。どうやら火星は今まで考えられていたような乾いた星ではなく、湿った大気と土をもった星のようです。

まだ生物がいるかどうかは分かりません。しかし、水のありかがわかったことから、生物をどこで探したら良いかのとてもよいヒントになるとのこと。もっとも、火星上の生物がどのような形態を取るのか未知なので、何を探したら良いかもわからないというかなり難易度の高い探索では有りますが。

一方、水があるということが分かったことによって、火星に人を送った時の飲水の確保や、ロケット燃料の確保がしやすくなったとのことです。

NASAが2020年に送り込む機材では、火星の大気の多くをしめる二酸化炭素から酸素を作る実験をするとのことです。

また、水が有り、二酸化炭素があるということは、特定の温室環境では、植物を育てることが可能そうだということでもあります。[1]

次に解くべきパズルは、この水がどこから来るのかとのことです。

Satellite images have identified narrow streaks that appear on slopes during warm seasons, lengthen, and then fade when conditions become cooler. Photograph: Nasa/JPL/University of Arizona/PA

Satellite images have identified narrow streaks that appear on slopes during warm seasons, lengthen, and then fade when conditions become cooler. Photograph: Nasa/JPL/University of Arizona/PA

[0] いまリアルタイムでNASAの発表を見ています。twitter では #askNASAで質問を受け付けています。録画は、http://www.nasa.gov/multimedia/nasatv/index.html で見ることができます。Facebookには要約版ビデオがあがっています→ https://www.facebook.com/NASA/videos/10153573742721772/

[1] 一方、アメリカのジャーナリストの関心としては、地球から送り込む宇宙船によって火星が生物的に汚染するのではないかということがあるようです。

[2]  Nasa scientists find evidence of flowing water on Mars

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at September 28, 2015 04:09 PM

Nat Sakimura

10月9日 IDマネジメント・カンファレンスのクロージングやります

来る10月9日(金)に行われるIDマネジメント・カンファレンスのクロージングセッション(17:55-18:35)に登場します。

お題は

「ビジネスのデジタル変容とアイデンティティ管理」

です。

ITのビジネス利用とITによるビジネスの変革は根本的に異なります。例えば、紙のPDFによる置き換えは前者であり、構造化されたデータ中心に業務を変容して、自動化を推し進めるのは後者です。これを会社の枠を超えて推し進めて行けるかどうかで、企業の産む付加価値は大幅に変わっていきます。本セッションでは、アイデンティティ管理がなぜこの「デジタル変容」の鍵となるのかを、歴史的観点も踏まえて展望します。タイトル的には、IT&IDのクロージングと一緒ですが、こちらの方が時間があるので、IT&IDでは時間がなくて+PCトラブルで触れられなかったようなこともお話する予定です。

<話の流れ>

  1. 清の西用 v.s. 日本の変法
  2. デンマーク:市民ポータル v.s. デジタル・オーストリア
  3. デンマークのリベンジ
  4. 英国の Digital by Default
  5. 日本の設備年齢の増大と国際的な見劣り
  6. デジタル・アイデンティティ・モデルと生産性向上
  7. 法人番号と公表機能
  8. マイナンバー制度とスマホIDP〜未来を拓くマイナンバー
  9. 情報の非対称性とトラスト・フレームワーク
  10. Industrie4.0の推進体制・3つの統合・生産性向上
  11. アリババと盗賊、ローマ軍の鍵配布プロトコル、IBM7090パスワード
  12. しょうがなくやるIdM
  13. お金が儲かるIdM
ビジネスのデジタル変容とID
ビジネスのデジタル変容とID
151009-IDM-Con-01.pdf
Version: 1.0
8.5 MiB
216 Downloads
Details...

まぁ、色々とかぶっている日ではありますが、お手すきのおりにはぜひ事前登録していらしてください!

IDマネジメント・カンファレンス2015

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at September 28, 2015 03:10 PM

Nat Sakimura

UPQ A01返送用封筒が思いもよらずアナログ

さて、さっそくですが、UPQ A01の返送用封筒が到着いたしました。

IMG_8344

なんと、手書き!誠意を感じるというか、なんというか…。でも、日本ではこういう誠意の見せ方が必要なのかもしれません。わたしは、顧客名簿からのラベル打ち出しで全然構わないんですがね。「お前がちゃんとしてないからだ。身にしみろ!全部自分で手書きで出せ!」とかいわれて、まさか社長が泣きながら書いてたりしないよねと心配になります。

中に入っていたのは、こういう説明の紙と返信用のふわふわした封筒、それに飛脚宅配便のラベルです。

Evernote Snapshot 20150928 225430

Evernote Snapshot 20150928 225430

Evernote Snapshot 20150928 225546

送り返すにあたっては、データのバックアップをとって、バッテリーを抜いた電話を、このふわふわ封筒に上記のフォームとともに入れてラベルを貼って出せば良いようです。先方で電源をいれることは無いとのことですが、個人情報の塊であるだけでなく、関係性というプライバシーデータも満載の携帯をそのまま送るというのもちょっと抵抗がありますよね。途中で盗まれるかもしれませんし。私は初期化して送ろうと思います。

これがちょっと面倒なんですよね。アンドロイド携帯の「初期化」とは、単にインデックスを消すだけのようで、データは復元可能なようです。なので、一旦暗号化して、その後に初期化するという一手間が必要そうです。手順はこちら[1]のページに詳しかったです。今日はもう遅いので、明日やってみましょう。

[1] 外村克也『下取りに出す前に実行! Androidスマホを完全に初期化するテク』Ascii.jp x デジタル http://ascii.jp/elem/000/001/005/1005347/ (2015/9/28取得)

Copyright © 2016 @_Nat Zone All Rights Reserved.

by Nat at September 28, 2015 02:28 PM

September 23, 2015

OpenID.net

Foundation Activity and Progress Report September 2015

I spoke last week at the European Identity Management Conference in Amsterdam and this week in Florida at the Global Identity Summit, in both venues the adoption and interest in the evolution of OpenID Connect was clearly evident and important. In a panel I chaired, OpenID Foundation member GSMA referenced the important role OpenID Connect plays in their Mobile Connect deployment. Bjorn Hjelm of Verizon shared an overview of the MODRNA WG  and potential synergies with Account Chooser he is testing with Pam Dingle.

Together with leaders from the US NIST, OpenID Foundation will announce the formation of our newest work group, “iGOV” a profile intended to optimize OpenID Connect for government to citizen applications. NIST is organizing a collaboration with UK and European peers. John Bradley has provide important continuity and leadership in this regard and will post the appropriate WG information soon at openid.net. OpenID Foundation member Justin Richer provides important continuity in these matters that may benefit the HEART WG as well.

Our colleagues at the US NIST plan to include iGOV and OpenID Connect in a workshop planned for January 2016 in the Washington DC area. I will provide more details on OpenID Foundation’s involvement as details become available.

In Amsterdam, the European audience and our colleagues at companies like CA, Ping, Forgerock and others were quite vocal about the importance of the OpenID Foundation providing more information, viability and support of adoption efforts in the UK and Europe. The high viability and potential impact of upcoming EU regulation  of identity systems is a forcing function for interest, investment and education in open identity standards and associated trust frameworks.

The request of European members and potential members was such that I tentatively committed the OpenID Foundation to workshops in Amsterdam and London in the first quarter of 2016. The Foundation will coordinate with member companies like Ping and Forgerock that have company specific efforts now underway to coordinate calendars and content. We hope to build on this interest to optimize the run up to the planned OpenID Foundation Workshop in Munich at the EIC May 10 to 13. The OpenID Foundation will also coordinate with the Open Identity Exchange to find economies of scale and other synergies.

Your comments and contributions are requested.

Don Thibeau

by jfe at September 23, 2015 02:31 PM

September 18, 2015

Nat Sakimura

本日ID&IT開催:クロージングセッションやります

本日ID&IT開催です。
今年はクロージングセッションを担当させていただきます。
題して「ビジネスのデジタル変容とID」
ITのビジネス利用とITによるビジネスの変革は根本的に異なります。例えば、紙のPDFによる置き換えは前者であり、構造化されたデータ中心に業務を変容して、自動化を推し進めるのは後者です。これを会社の枠を超えて推し進めて行けるかどうかで、企業の産む付加価値は大幅に変わっていきます。本セッションでは、真のIDフェデレーションが、なぜこの「デジタル変容」の鍵となるのかを展望します。
idit2015
(まだプレゼンできてないのは内緒…)

by Nat at September 18, 2015 12:56 AM

Nat Sakimura

OAuth PKCEがRFC7636として発行されました。

私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE(ピクシー)」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code Exchange (PKCE、ピクシー=妖精)と名を改めて現在に至っています。

この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of Key をします。RFC6749と後方互換性がありますし実装も簡単ですので、以後はすべからずこちらを使えば良いと思います。

Eduardo Gueiros氏、James Manger氏、Brian Campbell氏、 Mike Jones氏William Dennis氏、そしてこの規格のセキュリティ面の検討に参加してくださった皆様に深く御礼申し上げます。また同様に、OAuth working group の皆様、議長、エリア・ディレクター、この規格の策定にかかわられたIETFの皆様にも御礼もうしあげます。

なお、このOAuth PKCEは、 某社の動画サイトアプリ他に既に幅広く採用されていることを申し添えます。

[RFC 7636] Sakimura, N., Bradely, J., and N. Agarwal:Proof Key for Code Exchange by OAuth Public Clients, (2015/9), https://tools.ietf.org/html/rfc7636

[RFC6749] Hardt, D.: The OAuth 2.0 Authorization Framework (2012), https://tools.ietf.org/html/rfc6749


by Nat at September 18, 2015 12:21 AM

September 09, 2015

OpenID.net

OIDF Summit in Tokyo November 10, 2015

The OpenID Summit Tokyo 2015 will be held this November 10 and will feature technical discussions about OpenID Connect as well as governance in Identity Ecosystem and the IoT (Internet of Things).

Registration is now open and registration details for the event are available here: http://www.eventbrite.com/e/openid-summit-tokyo-2015-tickets-18111127871?aff=es2

The call for presentations is available here: http://j.mp/cfp_oid15. We are soliciting 15 minute presentations plus a 5 minute Q&A including those on:
– New approaches in patient centric consent; e.g., HEART WG
– OpenID Connect for mobile applications; e.g., MODRNA

Proposed presentations will complement those the OpenID Foundation has already secured:
– General Overview of the OpenID Foundation and its Work Groups by Don Thibeau Executive Director OpenID Foundation
– The market impact of OpenID Connect Self Certification, plans for RP certification and its value in internal OA/QC development processes by Mike Jones of Microsoft;
– New models and initiatives in security, e.g., RISC WG and the curation of best practice reference libraries, e.g., Native Applications WG by John Bradley of Ping Identity

The OpenID Foundation Board of Directors has authorized a delegation to meet with new and current OpenID Foundation Japan members, prospective members, and government agencies like the Ministry of Economy, Industry and Trade, the Ministry of Internal Affairs and Communications, and the National Center of Incident Readiness and Strategy for Cyber Security.

The OpenID Foundation delegation will meet also with Masanori Kusunoki, the new chair of the OpenID Foundation-Japan and an executive advisor to the Japanese Government CIO.

Please feel free to contact me for more information.

Don Thibeau
The OpenID Foundation

by jfe at September 09, 2015 07:01 PM

Nat Sakimura

JSON Web Key (JWK) Thumbprint が、RFC 7638 として発行されました。

Mike Jones と私が共著者としてクレジットされている「JSON Web Key (JWK) Thumbprint」 が、[RFC 7638] として発行されました。

この規格はJSON Web Key (JWK)の安定的なハッシュ値を計算するための方法を規定しています。具体的には、JWKのどのフィールドをハッシュ値計算に使うか、これらフィールドの正規化の方法、その結果得られたUnicode文字列のバイト列への変換方法、そしてそのバイト列からのハッシュ値の得方を記述しています。その結果得られたハッシュ値は、対象となる鍵を持つJWKを識別・選択するために利用可能です。

James Manger氏、 John Bradley氏、今回も獅子奮迅の活躍をした Mike Jones氏、そしてこの規格のセキュリティ面の検討に参加してくださった皆様に深く御礼申し上げます。また同様に、JOSE working group の皆様、議長、エリア・ディレクター、この規格の策定にかかわられたIETFの皆様にも御礼もうしあげます。

なお、このJWK Thumbprintは、 OpenID Connect self-issued ID Token の “sub” (subject) claim 値として使われていることを申し添えます。

[RFC 7638] Jones, M., N. Sakimura:JSON Web Key (JWK) Thumbprint, (2015/9), https://tools.ietf.org/html/rfc7638

by Nat at September 09, 2015 07:57 AM

August 31, 2015

Nat Sakimura

PlayストアなどにアップロードされたMalwareを高速に検出する新手法

Indiana university と Penn State Universityの研究者たちが、単純かつ高速で、zero day 攻撃をかけるMalwareの多くも検出できる手法を発表しました。

Finding Unknown Malice in 10 Seconds: Mass Vetting for New Threats at the Google-Play Scale[1] という論文で、その手法が紹介されています。私もまだちゃんと読んでいないのですが、ざっと見る限り、

  1. Android Malwareの大部分は既存のMalwareのリパッケージングである=>Java method を見れば分かる、
  2. 有名なライブラリのメソッド以外で、関係ないAppが同じmethodを使っているのは怪しい、

ということを使って検出するようです。つまり、すごーくざっくり書くと、

  1. 最初に、有名なライブラリのメソッドリスト(A)を作っておき、
  2. Google Playストアの各apkファイルのメソッドを抽出(bi)、
  3. 各iについて、ci=bi\Aを求め、
  4. 全てのi,jについて、c∩cj≠∅があるかを確かめる

ことによってチェックするようです。もし c∩cj≠∅があったら怪しいというわけです。

これだと随分擬陽性が出そうですが、実際にやってみるとそんなに出ないらしい。そして、ゼロ・デイ攻撃をかけるコードは複数のアプリで拡散される傾向があるので、それも検出できるそうです。

現在のGoogle Playストアの審査体制だと、あるMalwareが排除されても、それは開発者が排除されるだけなので、同じコードが他の申請者から出て通ってしまうというのがままあるそうですので、このような仕組みを審査体制に入れると非常に役立ちそうです。

ちょっとここのところ時間がなくて詳しいことを書く時間がないのですが、ご興味のある方は、原論文を読んではいかがでしょうか?

[1] Chen, K., et al:Finding Unknown Malice in 10 Seconds: Mass Vetting for New Threats at the Google-Play Scale, Indiana University (2015/8/31) http://www.informatics.indiana.edu/xw7/papers/vetfast.pdf

by Nat at August 31, 2015 08:25 AM

August 19, 2015

Nat Sakimura

「大人のプライバシー」:不倫サイトのヌード写真や性的妄想もふくむ顧客情報とクレジットカード情報が公開

Ashley Madison Site Image

(Source) Ashley Maddison 

米国時間8月18日の夕方、不倫専門出会い系サイト「アシュレイ・マディソン」[1]から盗まれた3,700万人分の、ヌード写真や性的妄想もふくむ顧客情報とクレジットカード情報が公開されたそうです。データの量は約10ギガバイト。通常の検索エンジンなどでひっかからない「ダークウェブ」への公開です[2]。

クレジットカードは止めれば良いですが、この「不倫希望者」というラベルの付いた名簿は、現在の世界では、それ自体のほうがプライバシー・インパクトが高いですね。また、その経済的な価値もかなりのものになりそうです。ゆすりに使えますからね。きっと、裏社会の人々が既に暗躍を始めているでしょうね。

こうした被害をなくするのに一番良いのは、「不倫?それが何か?」「そんなデータ、だれも興味無いよ。」というふうに、人々が「大人」になることですね。これを称して、JICS2013か何かのクロージング・パネルだったかなでは、私は「大人のプライバシーが今求められている。」とお話したことが有ります。

これから、どんどんデータは漏れだしていくのです。それは不可避でしょう。そのプライバシーインパクトは何故生じるか?それは、そのデータをプライバシー・インパクトがあるように使うからです。もし、そのデータが落ちていても、皆が見なかったことにすればプライバシー・インパクトは無くなるのです。

現在の、「データの漏洩=実プライバシー・インパクト」な状況は、使わなければ良い物を、みなが使ってしまうからですね。まるで、がきんちょ。そう、現状は「がきんちょプライバシー」な状況なのです。男女関係を追いかけるマスコミなんかもそうですよね。恋人同士を囃し立てる小学生みたいなもんです。

IoT時代、プライバシーデータの完全な制御も機密の確保もできなくなるでしょう。1999年1月に、サン・マイクロシステムズ社の社長だったスコット・マクニーリーが「ゼロ・プライバシー」という言葉を使いました。「もはやプライバシーなんて無いんだよ(ゼロ・プライバシー)。乗り越えて行けよ。」[3] 彼はこの言葉で袋叩きになったわけですが、今なら皆さんもこのこの言葉を噛みしめることができるのではないでしょうか。今風に言い直すなら、

もはや、だれも何もかも秘密にしておけるなんてことは無いんだよ。大人になれよ。

「他の人がきっと秘密にしておきたいと思ってるだろうなという情報に接したら、見なかったことにしてそっとしておけよ」[4]ということです。そう、これが「プライバシーを尊重する (privacy respecting)」ということ、すなわち「大人のプライバシー」なんですね。

少しでもはやく、人々が「大人」になることを祈念しております。

そうでないと、IoT時代、シッチャカメッチャカになりますよ!

[1] Ashley Madison: https://www.ashleymadison.com/

[2] Gizmode:『全米が泣いた。不倫サイトの顧客情報、本当にネット上に暴露される』, CNET:『不倫サイトAshley Madisonの会員情報、ついにネットで公開か–ハッカーらが声明』など、たくさん報道されています。

[3] Scott McNealy: “You have zero privacy. Get over it.” (1999/1) from Wired:”Sun on Privacy: ‘Get Over It'” (1999/1/26)

[4] 「プライバシーの権利は、そっとしておいて貰う権利(Right to be let alone)」だ。Warren & Brandeis の論文[5]の、プライバシーの権利を定義した有名な言葉ですね。味わい深い言葉です。

[5] Warren, S.D.,  Brandeis, L.D.:“The Right to Privacy” (1890), Harvard Law Review. Vol. IV    December 15, 1890  No. 5

by Nat at August 19, 2015 12:05 PM

August 18, 2015

OpenID.net

Registration Now Open for OIDF Workshop October 26, 2015

Registration http://openid-workshop-oct-2015.eventbrite.com is now open for the OpenID Foundation Workshop being held on October 26, 2015, the Monday before the Fall IIW meeting) at Symantec’s HQ in Mountain View, CA. OpenID Foundation Workshops provide early insight and influence on widely adopted online identity standards like OpenID Connect. The workshop provides updates and hands-on tutorials on new OpenID Connect Self Certification Tests by developer Roland Hedberg and the UMEA University team. We’ll review progress on the MODRNA (Mobile Profile of OpenID Connect) as well as other protocols in the OIDF pipeline like RISC, HEART, Account Chooser and Native Applications. We hope to launch the new iGOV Work Group’s development of a profile of OpenID Connect for government applications. Leading technologists from Forgerock, Microsoft, Google, Ping Identity and the US Government will review work group progress and discuss how they enable new solutions for enterprise and government Internet identity challenges. Thanks to OpenID Foundation Board Members Roger Casals and Brian Berliner and Symantec for hosting the workshop.
Planned Agenda:
11:00 – 11:30 Introduction – Don Thibeau
11:30 – 12:00 OpenID Connect – Mike Jones, John Bradley, Nat Sakimura
12:00 – 01:00 Lunch
01:00 – 01:30 iGOV Profile of OpenID Connect – John Bradley, et. al
01:30 – 02:00 MODRNA (Mobile OpenID Connect Profile) – Torsten Lodderstedt, John Bradley
02:00 – 02:30 Break
02:30 – 03:00 Account Chooser – Pamela Dingle
03:00 – 04:00 RISC – Adam Dawes
04:00 – 04:30 Native Applications – Paul Madsen
04:30 – 05:00 Health Relationship Trust Profiles (HEART) – Deb Bucci, Eve Maler, HMG Cabinet Office Chairs
05:00 – 06:00 OpenID Connect Conformance Testing – Mike Jones and Roland Hedberg, UMEA University

by jfe at August 18, 2015 09:19 PM

August 17, 2015

Nat Sakimura

だだ漏れている企業ビッグデータ

どうやら、多くの企業の「ビッグデータ」はだだ漏れているようです。スイス・チューリヒのセキュリティ企業BinaryEdge[1] の調査の結果[2]、大量のデータがそのままインターネットにさらされているようなのです。その総量はなんと1.1ペタバイト。

同社の調査は、Fortune 500企業からベンチャーまで幅広い企業のインターネットに晒されているホストをスキャンし、公開されているMongoDB, Memchached, Elastic Search, Redis Cache などからメタデータを引き抜いてくるというものでした。(同社は、データ自体は取得していないことを明言しています。)

それによると、

  • 35,330件のRedis Cache、
  • 39,134件のMongoDB、
  • 118,574件のMemcached、
  • 8,990件のElastic Search

が、認証・認可無くデータを全世界に晒していたようです[3]。また、古いバージョンのものもままあり、中にはサーバ乗っ取りを可能にするバージョンもあるとのこと。

この調査に対して、The Registerが更に取材をして記事[4]を書いています。それによると、メタデータの内容から、

  1. 「ユーザ名」「パスワード」「セッション・トークン」など;
  2. 医療機関のものには、「患者」「医師リスト」など;
  3. 銀行のものには、「coin」「money」など;
  4. ロボット製造業のものには、「設計図」「プロジェクト名」など;

の項目が晒されているとのことです。このブログの読者には、1. とか 2. とかが特に興味があるところでしょうか。パスワードが漏れているのは論外として、セッション・トークンも、セッション乗っ取りに使えそうです。また、「患者」などは医療データが晒されている可能性を示唆していますね。重大なプライバシー侵害の恐れがあります。

一方、経済的に一番深刻なのは4.かもしれません。「設計図」を晒すとは…。まぁ、オープンソースハードウェアなのかもしれませんが…。

なお、BinaryEdge社は、見つけた問題は当該企業に通知しているとのことです。同時に、継続的監視サービスも提案しているとのことです。

この調査結果が示唆しているのは、こうしたテクノロジーを使っている人たちが、セキュリティを確保することが重要であるということすら認識していなであろうということです。ちょうど、昭和40年代前半までの日本企業が、汚染水を垂れ流すことの重大なインパクトについて全く認識していなかったとおぼしきことと同じですね。教育では時間がかかりすぎますから、やはり何らかの規制なり課税なりが必要なのかもしれません。

[1] BinaryEdge https://binaryedge.io/

[2] Binary Edge:Data, Technologies and Security – Part 1 (2015-08-17), http://blog.binaryedge.io/2015/08/10/data-technologies-and-security-part-1/

[3] 上記の結果には、当該IPレンジをスキャンして欲しくないという企業は含まれていないそうなので、実際にはもっと多くのサーバがデータを晒していると思われるそう。

[4] Leyden, John:Misconfigured Big Data apps are leaking data like sieves, The Register (2015-08-13), http://www.theregister.co.uk/2015/08/13/big_data_apps_expose_data/

by Nat at August 17, 2015 06:55 AM

August 10, 2015

Nat Sakimura

HTCスマホに指紋画像を誰でも読み出し可能な脆弱性〜株価急落

The HTC One Maxの指紋読取装置が指紋を誰でも読める形で保存していたことが発覚 写真提供: HTC

The HTC One Maxの指紋読取装置が指紋を誰でも読める形で保存していたことが発覚 写真提供: HTC

The guardian の記事[1]によりますと、HTCのスマホが利用者の指紋画像を誰でも読み出せる形で保存していたことが発覚したようです。発見したのはFireEyeの4人の研究者達で、8月5日にBlackHat[2]で論文[3]が発表されました 。指紋画像は /data/dbgraw.bmp に暗号化もされず World Readable でおいてあるそうです。したがって、アプリ等から自由に読み出せるとのこと。

この発見のあと、HTCの株価は2割近く急落、その時価総額は解散価値を下回っている[4]とのことです。

発覚後、HTCの株価は急落

発覚後、HTCの株価は急落

このセキュリティホールはHTCのものですが、Samsungを含む多くのスマホメーカーは、ARMなどが提供する組み込みのセキュリティ機能を使用していないため、攻撃者は自由に、かつ気づかれることなく、秘密裏に利用者の指紋を読み取り続けることができるそうです。

パスワード窃盗は大きな問題になっていますが、生体データ〜特に生の生体データ〜の窃盗はそれよりも遥かに重大な問題をはらんでいます。これらは、パスワードと違って取り替えることができないからです。その結果、パスワード以上に深刻なIdentity窃盗問題を産みかねません。より慎重な取扱が求められます。

[1] The Guardian: “HTC stored user fingerprints as image file in unencrypted folder”, (2015/8/10)  http://www.theguardian.com/technology/2015/aug/10/htc-fingerprints-world-readable-unencrypted-folder

[2] BlackHat Briefings – August 5-6, https://www.blackhat.com/us-15/briefings.html

[3] Zang, Y., Zhaofeng, C., Xue, H., Wei, T.: “Fingerprints On Mobile Devices: Abusing and Leaking”, (2015/8) https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Fingerprints-On-Mobile-Devices-Abusing-And-Leaking-wp.pdf

[4] Biggs, J.:”HTC Is Now Essentially Worthless (And Insecure)”, (2015/8/10), TechCrunch, http://techcrunch.com/2015/08/10/htc-is-now-essentially-worthless-and-insecure/?ncid=rss&utm_medium=twitter&utm_source=twitterfeed

by Nat at August 10, 2015 05:53 PM

Nat Sakimura

お盆だから安保法案と憲法改正について考えてみた

永江氏の「なぜ安保法案の容認派はデモに不快感を覚えるのかということと、安保法案の代替案について」[1]という文を読んだ。

堀氏や堀江氏ら安保法案容認派がデモになぜ強い嫌悪感を抱くかということの永江氏による分析で、あたっている気がする。一読の価値ありだ。

一方で、永江氏は安保反対派への戦術的な提案としては、

1 国会へではなく、世界中の中国大使館に圧力をかける
(中国が暴挙を止めれば安保法案の必要性は激減)

2 火力発電止めて全部原子力発電でいくことを主張する
(エネルギー安全保障の観点[2]。)

の2点を上げている。

実際、「反対」するときには対案を出さないとねと思うので、この案には賛成だ。

あともう一つ私から推進派に注文。

憲法改正と正面から向き合うべきだと思う。憲法改正が大変そうだからって、違憲な法律をゴニョゴニョつくろうとするのは、立憲主義の否定であり、近代の否定、中世へ逆戻りだ。それよりは堂々と9条廃止するほうが比較にならないほどマシである。

自民党憲法改正草案[3]は笑っちゃうけど、だからといって現在の日本国憲法が良いとは僕もちっとも思っていない。

まずは日本国憲法第26条、27条、30条から、国民の義務規定を削除するところあたりから始めてみてはどうだろうか。憲法は国民が国家権力に対して命じるものであって、国民の義務なんぞが書いてあるのはそもそもおかしい。ところが、現行憲法では、

第二十六条 すべて国民は、法律の定めるところにより、その能力に応じて、ひとしく教育を受ける権利を有する。すべて国民は、法律の定めるところにより、その保護する子女に普通教育を受けさせる義務を負ふ。義務教育は、これを無償とする。

第二十七条 すべて国民は勤労の権利を有し、義務を負ふ。賃金、就業時間、休息その他の勤労条件に関する基準は、法律でこれを定める。児童は、これを酷使してはならない。

第三十条 国民は、法律の定めるところにより、納税の義務を負ふ

のように国民の義務を規定している。ちなみに、対応するGHQ草案には国民の義務は無い。現行憲法の26条、27条に対応するのはArticle XXIV (24条)だが、以下のようになっている。

GHQ草案

Article XXIV. In all spheres of life, laws shall be designed for the promotion and extension of social welfare, and of freedom, justice and democracy.Free, universal and compulsory education shall be established.The exploitation of children shall be prohibited.The public health shall be promoted.Social security shall be provided.Standards for working conditions, wages and hours shall be fixed.

(私訳)あらゆる生活面において、政府は社会福祉、自由および正義ならびに民主主義を向上するべく法律を制定しなければならない。政府は無料かつ普遍的な強制的教育を提供しなければならない。政府は児童の搾取を禁じなければならない。政府は公共衛生を推進しなければならない。政府は社会保障を提供しなければならない。政府は労働環境、賃金、労働時間の基準を定めなければならない。

教育と労働が一緒の条文になっているのはどうかと思うが、一貫して政府の義務を書いており、国民の義務は書いていないのは、まさにそうあるべきと言えよう。

なので、憲法26条、27条、30条をたとえば:

第二十六条 すべて国民は、法律の定めるところにより、その能力に応じて、ひとしく教育を受ける権利を有する。政府は無償かつ普遍的な強制的教育を提供しなければならない。すべて国民は、法律の定めるところにより、その保護する子女に普通教育を受けさせる義務を負ふ。義務教育は、これを無償とする。[4]

第二十七条 すべて国民は、勤労の権利を有する。し、義務を負ふ。政府は、賃金、就業時間、休息その他の勤労条件に関する基準は、法律でこれを定めるを法律で定めなければならない。政府は、児童の搾取を禁ずる法律を制定しなければならないは、これを酷使してはならない

第三十条 国民は、法律の定めるところにより、納税の義務を負ふ。(削除)

のように改正する案を出してみれるのが良いのではないかと思う。これくらいだったら、通るんでは無いですかねぇ。これで通ったら、憲法改正のやり方と前例ができるから、第9条も改正にトライすれば良いじゃないですか。

逆に野党と国民の皆様へ。第96条の憲法改正要件を緩めようというような変な主張を蹴散らすためにも、ちゃんとこれくらいは通さなきゃダメですよ。

[1] 永江一石『なぜ安保法案の容認派はデモに不快感を覚えるのかということと、安保法案の代替案について』 (2015/8/9)

[2] まぁ、全部は無理としても、依存率は下げられるので、ホルムズ海峡の武力による通行の維持は今ほど重要でなくなる。

[3] 自由民主党『日本国憲法改正草案』(2012/4/27)舛添要一「憲法の基本を知らない国会議員たち」他の言うように、憲法が根本的に分かってない。

[4] 義務教育を国民の義務として書かなければ、学校に行かせない親や行かないこどもが出るではないかという人が出てくると思うので先手をとって。そんなのは、普通の法律に書けば良いことであって、憲法に書くことじゃないです。

※ アイキャッチ画像は、はてなココ氏の作品です。CC3.0-BYで提供されています。元画像のリンクはこちらです:http://free-illustrations.gatag.net/2014/01/01/120000.html

by Nat at August 10, 2015 12:52 PM

July 24, 2015

OpenID.net

The Path Forward for Self-Certification

The increasing adoption of OpenID Connect deployments has required the OpenID Foundation to develop new certification models that support the practical business, legal and technical realities of today’s Internet scale deployments. Throughout 2015, the pilot phase of OpenID Connect self-certification has been testing the efficiencies, cost effectiveness and trustworthiness of this new approach. Early adopters helped “test the tests” and put a wide range of solutions through the first iteration of OpenID Connect self-certification.

OpenID Connect self-certification is underway for the first set of OP tests with additional OP and new RP pilot testing planned later for this year. Certification costs/fees to be determined by the Executive Committee will reference the guidelines below as adopted by the OpenID Foundation Board. In this way, OpenID Connect self-certification is breaking new ground and setting precedents for certification in the foundation’s future.

OpenID Foundation Self-Certification Guidelines
1. Adoption is the foundation’s highest priority.
2. The foundation’s goals include incentivizing membership, certification of multiple profiles per implementation and international participation.
3. Certification Profiles are rolled out in three phases: pilot by early adopters, membership beta and general availability.
4. OpenID certification pilots and betas are to be available to all members in good standing.
5. Upon completion of the beta and pilot phases, certification for those profiles will be made available to non-members.
6. All fees are waived during the pilot phase; fees will be charged during the beta and general availability phases.
7. The Foundation intends to authorize fees sufficient to cover the costs of operating a certification program once the corresponding pilot phase is complete.
8. OpenID Foundation certification fees are to be the same for all members.
9. Certification fees are due at the time of submission and are charged per implementation.
10. Certification(s) will be approved once payment is received.

The Executive Committee is now working through the actions needed to make the planned OP and RP self-certification available to members and non-members and fully operationalize the OpenID Connect self-certification program. Your feedback is welcome at don@oidf.org

Don Thibeau

by jfe at July 24, 2015 02:42 PM

July 23, 2015

OpenID.net

Introducing RISC: Working together to protect users

According to a recent Gallup poll, more people are worried about their online accounts being hacked than having their home broken into.With more and more of our digital lives accessible online, attackers are redoubling efforts to steal our personal information, and increasingly exploiting the interconnectedness of web services and apps to “leapfrog” from one account to the next.

Attackers often target multiple accounts across service providers for a single individual, knowing that users normally register for all their internet services with just a few email addresses. For example, a victim’s social networking account may send password recovery information to their email account, or they might log into her photo sharing account using their social network credentials. When criminals exploit these linkages, a single weak link can create a cascade of account takeovers.

That’s why the OpenID Foundation is pleased to announce a new effort dedicated to tackling this problem by working together on account defense. This month, a consortium of technology companies including Aol, Confyrm, Deutsche Telekom, Google, LinkedIn, Microsoft, Nomura Research Institute, and Ping Identity chartered an initiative to design an “early warning system” that safely and securely raises the alarm when accounts are at risk.

This Risk & Incident Sharing and Collaboration Working Group (RISC) initiative has set its initial mission as the development of standards designed to enable providers to prevent attackers from compromising linked accounts across multiple providers and coordinate in restoring accounts in the event of compromise.

The RISC group takes the approach that through open collaboration, the internet industry can design and deploy mechanisms that significantly lessen the impact of account hijacking. The effort focuses on sharing security events that occur at the individual account level, like the fact that a specific account was put on hold because of a suspected compromise. The group will also work with an attention to minimizing impacts on user privacy. The RISC group is not focused on identification or defense against malware or other system or network level attacks.

To learn more about the working group please visit the OpenID Foundation RISC Workgroup or contact Don Thibeau Executive Director, don@oidf.org.

by Adam Dawes at July 23, 2015 07:13 PM

July 16, 2015

Kaliya Hamlin

I'm Quoted in Guardian Article re: Ellen Pao

Yesterday a reporter called me up and asked me for comment on Ellen Pao. I said “What did you expect?” It became the headline! – I continued “Ellen was at the center of a high-profile sexual discrimination suit versus a major VC firm and she was put in charge of the teenage boy section of the internet. What did you expect was going to happen? It was inevitable that they would turn on her,”

You can read the whole article here – I wasn’t the only one unsurprised by what happened. 🙂

‘What did you expect?’ Women in tech reflect on Ellen Pao’s exit from Reddit

by Kaliya Hamlin, Identity Woman at July 16, 2015 07:29 PM

Kaliya Hamlin

Enabling Multi-Stakeholder Consensus on Cybersecurity Issues

My friend Allen who was at Brookings got a job with NTIA to figure out what issues to focus on and how to get multi-stakeholder collaboration on cyber security issues.  Because he asked me to respond I took the time to give him my thoughts and input drawing on my experience with the attempts by NSTIC to do this same thing.  Here is the PDF document. IPTF-Kaliya-2

I will in time work to publish it in blog sized sections online so it is more internally linkable (starting with an index from this post). Until then enjoy.

by Kaliya Hamlin, Identity Woman at July 16, 2015 06:36 PM

July 08, 2015

Nat Sakimura

Internet Identity年表 | @_Nat Zone

そろそろ知っている人がだんだんいなくなってきそうなので、Internet Identity年表をまとめ始めました。個人的に重要だと思うイベントを独断と偏見で収録しています。まだまだ不完全ですので、「ここにこんなのがあったよ」などは、日付、見出し、出典(リンクなど)、それが重要だと思う理由を、(この記事ではなく)Internet Identity年表のコメント欄に書き込んでください。

by Nat at July 08, 2015 05:07 AM

Nat Sakimura

Internet Identity年表

そろそろ知っている人がだんだんいなくなってきそうなので、Internet Identity年表をまとめ始めました。個人的に重要だと思うイベントを独断と偏見で収録しています。まだまだ不完全ですので、「ここにこんなのがあったよ」などは、日付、見出し、出典(リンクなど)、それが重要だと思う理由を、この記事のコメント欄に書き込んでください。

# Contributionが結構あるようだったら、別途 Bitbucketか何かでプロジェクトをつくろうと思います。

by Nat at July 08, 2015 05:04 AM

June 22, 2015

Kaliya Hamlin

Internet Identity Workshop #21 Registration is open

Here is the registration for the 21st Internet Identity Workshop.
Join us its going to be great.

by Kaliya Hamlin, Identity Woman at June 22, 2015 10:09 PM

June 21, 2015

Nat Sakimura

1passwordのWebSocket 不認証脆弱性について

さて、MacOS XとiOSのXARA脆弱性について[1]では、もと記事[2]で1passwordを作っているAgileBItsも対策はムズカシイと言っているということについて、「なんでかなー」と疑問を呈したわけですが、AgileBitsの説明[3]を読みに行ってわかりました。そりゃそうだ、ってなもんです。あと、論文の著者たちの書き方は、自分たちの業績を売り込むためなんでしょうが、ちょっと誤解を招くなと。

この論文の著者たちが指摘する1passwordの脆弱性というのは、1passwordブラウザ拡張から1password miniへの通信がマルウェアによって傍受される可能性があるというものでした。1pasword miniは6263番ポートでWebSocketを開けて待ち受けているはずなんですが、1password miniがこのポートを専有する前にマルウェアで専有してしまえば、1passwordブラウザ拡張が送ってくるパスワード他をかっぱらうことができるというものです。逆に言うと、ユーザが入力してかつ1passwordに新たに保存することに決めたたパスワードをかっぱらうことしかできませんです。1passwordに保存済みのパスワードが漏れてしまうわけではありません。

これに対して私はMacOS XとiOSのXARA脆弱性について[1]で「インストール時に1passwordアプリにキーペアを生成させて、公開鍵をブラウザ拡張に持たせて、ブラウザ拡張からポート6263への通信を全てその公開鍵で暗号化してしまうんですけどね。」と書きました。確かにそれはそうなんです。ただ、AgileBits的には、それじゃダメでしょうと。

なぜか。

そんな変なプログラムを仕込まれてしまう状況では、1passwordのブラウザ拡張から1password miniに送られるWebSocketの通信を横取りするよりも、ブラウザへのパスワード入力をそのまま引っこ抜くほうが楽で確実でしょうというわけですね。そりゃそうだ。1password miniが使うポートを乗っ取るのよりも、入力されたパスワードを全て引っこ抜く方がカバレージ全然広いし確実ですからね。

[1] http://www.sakimura.org/2015/06/3100/4/

[2] https://sites.google.com/site/xaraflaws/

[3] https://blog.agilebits.com/2015/06/17/1password-inter-process-communication-discussion/

by Nat at June 21, 2015 04:02 PM

June 18, 2015

Nat Sakimura

MacOS XとiOSのXARA脆弱性について

今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」[1]というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。

その論文は、これです。

  • Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” [2]

まずは、著者たちに拍手をしましょう。

その上で:

著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。

  1. Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS X]
  2. Container Cracking (Apple App Storeの、BundleID確認の手違い) [MacOS X]
  3. IPC Interception (3.a WebSocket non-authentication, and 3.b local OAuth redirect) [MacOS X]
  4. Scheme Hijacking [MacOS X, iOS]

このうち、少なくとも3.b と4は実は私たちは少なくとも2013年11月から知っていたもので、現在規格策定の最終段階に入っているOAuth PKCE[3]が解決しようとしている問題そのものです。また、「対処方法は無い」と書かれていますが、正確に言うと、エンドユーザとしてすぐに出来る対処方法は無い、ですね。開発者として自分のアプリが脆弱性を持たないようにする方法はあります。これも以下で紹介します。

[1] http://gigazine.net/news/20150618-ios-os-x-password-killer/

[2] https://sites.google.com/site/xaraflaws/

[3] Sakimura, N., Bradley, J, and N. Agaawal:”Proof Key for Code Exchange by OAuth Public Clients”, IETF, (2015)

by Nat at June 18, 2015 03:49 PM

June 17, 2015

Nat Sakimura

3つのゴールドベルグ変奏曲〜グレン・グールド、マリア・ティーポ(ブゾーニの孫弟子)、筋肉ピアニスト-ツィモン・バルト(ブゾーニ盤)とブゾーニの演奏を巡って

今日、夜中の電話会議が終わってナクソス・ミュージックライブラリを開けたら、今週の一枚としてマッスル・ピアニストことツィモン・バルトのゴルトベルグ変奏曲(F.ブゾーニ盤)が出ていた。なんでもナクソスイチオシのピアニストらしい。

J.S.バッハの通称「ゴールドベルグ変奏曲」の正式名称は「2段鍵盤付きクラヴィチェンバロのためのアリアと種々の変奏」 (Clavier Ubung bestehend in einer ARIA mit verschiedenen Veraenderungen vors Clavicimbal mit 2 Manualen)  (BWV 988)であり、全4巻からなる「クラヴィーア練習曲集」の第4巻をなす。1742年に出版されたこの曲は、チェンバロ時代が終わりピアノ時代になってからは長らく忘れられていた曲だが、モダンチェンバロをつかったランドフスカの演奏もさることながら、なんといってもグレン・グールドのデビュー録音の大ヒットによって広く知られるようになった曲と言って良いだろう。

そんなわけもあって、ゴールドベルグ変奏曲と言ったら、グールドの新旧録音、そう僕は長いこと思っていた。特に、82年10月にグールドが無くなった直後、前年の新録音を聞いた時の衝撃はすごかった。今でも、ナイロビのわが家にマーク・オバマ・ンディサンディオ[1]がLPを抱えて「まぁ聞け」とやってきてかけて、二人でしびれたのをよく覚えている。1時間が一瞬であった。


Goldberg Variations (CD)


   明確なリズム、引き込まれるような鋭利なアプローチ、そして対位法による演奏で、衝撃のデビューを飾った1955年のゴールドベルク変奏曲と比べると、この1981年の再録音は驚くほど違った演奏になっている。1981年の方は、もっとゆっくりしたペースで、シンプルに表現されており、装飾には深い熟考のあとがうかがえる。また、テンポが見事に組み立てられている(人によっては、やや大げさに聞こえるかもしれないが…)。1955年の時は反復は一切なかったが、今回はカノン、フゲッタ、その他のフーガ調の変奏でAパートの反復が見られる。素早く手を交差させながら正確に鍵盤をタッチする指さばきは健在で、感嘆せずにはいられない。しかし、ゆっくりなテンポの時の方がこの曲の舞踏的要素をうまく表現しているようだ。(Jed Distler, Amazon.com)
List Price: ¥ 1,623
New From: ¥ 751 In Stock
Used from: ¥ 680 In Stock

グールドの録音を信奉したのはそれだけが理由では無い。当時、マークの師匠でも有り妹の師匠でもあった、数少ないヴィルヘルム・ケンプの直弟子のミセス・デイヴィスも絶賛していたのだから、当時高校生だった私が影響を受けないわけは無い。

それが覆ったのはごく最近、マリア・ティーポを聞いてからだ。ミラノの女ホロヴィッツと称され、あのアルゲリッチが尊敬する女流ピアニストであるマリア・ティーポの演奏は、グールドがピアノでチェンパロでの演奏を再生したとしたら、あたかもオーケストラ付き合唱を再現したようであった。とにかく教会での合唱が聞こえてくる。テノール、バス、アルト、そしてそれにかぶせてソプラノが出てくる。「あー、バッハはチェンバロでこれをやりたかったんだろうな。」そう思えてくる演奏だ。


Bach: Goldberg Variations & Italian Concerto etc (MP3 ダウンロード)


New From: ¥ 1,800 In Stock
Used from: Out of Stock

マリア・ティーポは日本ではあまり知られていない、いや、ヨーロッパでもあまり知られていないかもしれないが、ものすごいピアニストだと思う。アルゲリッチが2000年のインタビューで「マリア・ティーポ。彼女はセンセーショナルだ。彼女がもうピアノを弾かなくなった(のは残念だ)」[2]と言っているのからも分かるだろう。

マリア・ティーポはイタリアのピアニストで、母親はブゾーニの直弟子、アルフレッド・カゼッラの弟子である。1931年生まれで、17歳でジュネーブ国際コンクールで優勝している。1955年のアメリカツアーの折にたった4時間で録音したスカルラッティの12曲のソナタは「ニューズウィーク」誌により「今年最も優れたレコード」と絶賛されている。「ナポリの女ホロヴィッツ」の面目躍如である[3]


Scarlatti Sonatas (MP3 ダウンロード)


New From: ¥ 1,600 In Stock
Used from: Out of Stock

さて、ここで一回り回ってツィモン・バルトのゴルトベルグ変奏曲である。使っているのはブゾーニ版の楽譜、つまり、マリア・ティーポが直系に連なるイタリアの大ピアニスト・作曲家が編纂した版である。


Bach: Goldberg Variations, BWV 988 (MP3 ダウンロード)


New From: ¥ 1,500 In Stock
Used from: Out of Stock

出だしからグールドを超えるほどの遅さと、グールドには見られない「ロマン派」的なリズムの揺れを見せるのだが…。どうなんですかね…。慣れればそれはそれで良いのかもしれないが…。ちなみに、ブゾーニ本人のバッハの演奏を聞くと、そんなにテンポ揺らさないですよ。リストもあっさりしてますしね。ロマン派の人たちって、一般に現代のわれわれが考えるよりもずっとあっさりしたテンポの早い演奏しますよね…。

という訳で、ブゾーニの残した数少ない録音の中で、生前のブゾーニの演奏を知るブゾーニの孫弟子、Gunnar Johansenがブゾーニを伝える唯一のピアノロール録音と語る録音で最後は締めることにしよう。

リストの「鬼火」。F. ブゾーニの演奏で、どうぞ。うまい、よねぇ。ケレン味なくすごくあっさりひいていながらダイナミックで。

【脚注】

[1] 当時は彼の兄がアメリカの初代有色人種大統領になるとはつゆ知らず…(笑

[2] イタリア・Radio 3「An Interview with Martha Argerich」(2000/2/16) http://www.andrys.com/argitaly.html 同門のアバドと一緒にインタビューを受けている。

[3] 硬質の音とともに、スカルラッティを得意とするところ、そしてアルゲリッチを上回るとまで言われるテクニックも、ホロヴィッツを彷彿とさせるのだろう。

by Nat at June 17, 2015 06:15 PM

Nat Sakimura

先週気になったプライバシー関連ニュース(2015/6/10〜17)

News書こうと思ったことが山積みでまったくかけていない今日このごろですが皆さんいかがお過ごしでしょうか。

ブログをしっかり書く時間が無いので、ネタとして書こうかなと思ったニュースの一覧のみを。

仏当局、グーグルに全世界での「忘れられる権利」適用を指示

[パリ 12日 ロイター] – 個人情報保護を扱うフランスの独立行政機関CNILは、米グーグル(GOOGL.O: 株価, 企業情報, レポート)に対し、現状にそぐわない過去の個人情報に関して削除を求められた場合、欧州だけでなく全世界のネット検索結果から削除するよう指示した。15日以内に従わない場合、制裁措置に踏み切るという。(出所)ロイター

仏蘭西も随分攻めてきますね。そこまで駆り立てるのは何なのでしょうか…。

「あなた既に転出されてますが」 私の住民票、誰がなぜ

(高橋淳2015年6月15日11時28分)
ある日突然、知らない土地に、自分の住民票が異動させられていたとしたら。そんな奇怪な出来事が静岡県富士市に住む男性の身に起こった。誰が、何のために――。なぞを追った。(出所)朝日新聞デジタル

これ、ISO/IEC 29115とかの身元確認プロセスでLevel 2以上をやっていたらこういうことは基本起きないはずなんですけどね。結局、「誰が確認したか」よりも「どのように確認したか」の方がよほど大切ということの証左であります。住民基本台帳はマイナンバーカードを発行する際の基本的なデータベースなわけですから、ここの運用はもっとしっかりやらないと。ちなみに、本気で高いレベルのクレデンシャルを発行しようと思ったら、根本的にやり方変えないとだめです。まずは公務員あたりから身元確認をやり直して、そこをトラストアンカーにして徐々に広げていかないとね。

情報公開・個人情報保護審査委員会

情報公開・個人情報保護審査委員会は,平成27年7月1日から最高裁判所に設置される諮問機関です。
委員会は,外部有識者3人で構成され,最高裁判所の諮問に応じ,全国の裁判所がした司法行政文書又は保有個人情報の開示・不開示等の判断について調査審議の上,答申を行います。裁判所は,答申を尊重して対応を行うこととなります。
また,答申の内容は,順次公表する予定です。(出所)最高裁判所

情報公開がらみですね。

EUカウンシルがEUデータ保護規則に同意

(2014/6/15)

Today, Justice Ministers in the Council reached a General Approach on the new data protection rules confirming the approach taken in the Commission’s proposal back in 2012. Trilogue negotiations between the Council, the European Parliament and the EU Commission will start next week on 24 June. (出所)Privacy Laws & Business

EUカウンシルが新データ保護法への方針に同意したとのこと[1]。2012年のコミッション提案の多くを踏襲しているとのこと。(例:EU Directive→EU Regulation,(EU市場でサービス提供する)域外企業に対する適用、(制限付き)忘れられる権利、データポータビリティ)。

6月24日からEUカウンシルと議会とコミッションのトライアローグが始まるとのことです。

by Nat at June 17, 2015 03:10 AM

June 11, 2015

Nat Sakimura

サイバーセキュリティ国際会議、沖縄で11/7,8に開催へ

TBSNews iの報道[1]によると、政府が今年11月に沖縄県でサイバーセキュリティに関する国際会議を開催するとのことです。

日程は、11月7、8日で沖縄県名護市のリゾートホテルで行なわれ、現在、ダボス会議を主催する「世界経済フォーラム」を通じて、世界各国の財界人や企業、法律の専門家などに出席を呼びかけているとのこと。日本側からは山口IT政策担当大臣が出席する予定のほか、安倍総理の出席についても検討されているらしい。

おりしもその前の週は横浜でIETF (インターネット技術タスクフォース)の横浜会合をやっています。IETFは、で利用される技術を策定する組織で、インターネットはIETFによって作られていると言っても過言ではありません。年に3回、世界回り持ちで総会を開き、最新の技術策定を行っています。もしオープン参加ならば、この横浜会合に来日したインターネット技術界の重鎮が参加しに行くことも考えられそうです。

8/5追記:

この会議、Strictly Invitation Only だそうです。情報サイトは: http://cyber3conf-okinawa2015.jp/

[1] TBSNews i 『サイバーセキュリティ国際会議、沖縄で開催へ(2015/6/11)

by Nat at June 11, 2015 08:15 AM

June 10, 2015

Nat Sakimura

【本日の情報漏洩】東商の会員情報、最大1万2000件流出=PCウイルス感染、警視庁捜査へ

ここのところ、スパートがかかって、日替わりデータ漏洩となってきておりますな。

時事通信の報道[1]によると、今日10日は、東京商工会議所が標的型攻撃を食らって、データ漏えいをした旨の発表があったようです。国際部のファイル共有サーバーに保管されていた過去3年間のセミナー参加者の名簿などが漏洩だそうです。内容は、名前、電話番号、メールアドレス、社名など。銀行・証券口座など金銭関連の情報は含まれていないそうです。警視庁は不正指令電磁的記録供用の疑いなどを視野に捜査する方針だそうな。経産省への報告は4日[2]

さらに、記事曰く

個人情報へのアクセスは国際部職員に限られていたため、パスワードは設定していなかった。現時点で被害の報告は入っておらず、感染したパソコンは1台だけという。

って…orz。こういう境界セキュリティの考えはもうやめて欲しいものですな。ちゃんとデータに対してアクセス制御をかける。

ん、まてよ。パスワードを設定していなかったって、妙な書き方だな。ひょっとして、データベースに入れて、国際部のIPアドレスからのみDBにアクセス可能にしていたとかじゃなく、エクセルか何かのファイルで、それにパスワードを掛けていなかったとかいうのかな…。

【脚注】

[1] 時事通信『会員情報、最大1万2000件流出=PCウイルス感染、警視庁捜査-東商』 http://www.jiji.com/jc/zc?k=201506/2015061000093&g=soc (2015/6/10取得)

[2] 時事通信『再発防止求める=東商情報流出-菅官房長官』http://www.jiji.com/jc/zc?k=201506/2015061000403&g=eco

by Nat at June 10, 2015 02:55 PM

Nat Sakimura

「番号」設計のあるべき姿 〜 年金番号漏洩事件によせて

年金番号漏洩事件では、「漏洩した番号は全て変更する」のだそうです[1]。個人的には「あーあ」という感じでありんす。昨日の記事[2]でも書いたとおり、適切に運用していれば、番号自体の漏洩は大したリスクではなく、一緒に漏れた住所氏名他が変えられない以上、年金番号だけ変えてもあまり意味が無いからです。

逆に、設計の古い年金番号は、変えるとなると、連動して変えなければいけないところがあった場合にうまく変わらないことが想定され、そのことがかえって被害を産む恐れもあります。

「番号」(本当は識別子と呼ぶべきですが、ここでは便宜的に「番号」と呼びます)の設計というのは、想定される利用形態によって様々な考慮点があります。したがって、『「番号」設計のあるべき姿』はある意味ケースバイケースということにはなります。しかし、一方では、最低限満たすべき要件というものもあるのですね。

という訳で、ちょっとリストアップしてみましょうか、「番号」のそういう要件を。

  1. 主キーとなる識別子、「個人番号」を作る。これは基本不変。変えたくないので、使う「番号」(以後、「番号」)の内部的管理にしか使わない。もちろん門外不出。
  2. 「番号」は、発行日、有効化日、停止日、再有効化日、廃止日[3]を持ち、主キーに紐付けて管理する。
  3. 「番号」には、ユニークな形式を導入する。たとえば、3桁目がカタカナで、4桁目がチェックサム、とか。これは、データが漏洩した時に、この形式のものは検索エンジンに引っかからないようにとかするため。
  4. 「番号」は有効期限を持つ[4]
  5. 「番号」はいつでも変更可能。管理システムは、変更するためのAPIを持つ。
  6. 組織は「番号」を受け取ったら、(「番号」管理組織の提供する)組織別「番号」発行APIに、「番号」「組織番号」「組織クレデンシャル」を提示し、当該個人の「組織別番号」を取得する。「番号」は即時廃棄する[5]。以後、当該組織は、この「組織別番号」を利用する。
  7. ある組織が他の組織から情報を要求する場合には、認可サーバから当該データを取得するための「許可番号」[6]を取得し、これを使ってデータを要求する。情報提供組織はこの「許可番号」を認可サーバに提示し、誰のデータを提供すればよいのかを知り、当該データを提供する。
  8. 原則、データは主担当組織のみが持つことにし、各組織は必要に応じて取得、利用、その後速やかに廃棄する。

こんなところですかね。

これの何が良いかというと、

  1. ある組織がお漏らししても、そのデータは他の組織が持つデータと結合することはできない。つまり、プライバシーインパクトが低いので、コストが安く済む。
  2. お漏らしした組織の「組織別番号」を変更しても、他の組織には影響ないので、いくらでも変更可能。これも、コスト安につながる。
  3. お漏らしされたデータそのものは、検索エンジン等に引っかからないようにできる。また、回収も楽。これなんざ、今は望むべくも無いですね。[7]
  4. 「番号」は定期的に変わるので、これを使って、過去と現在を結びつける異時点間名寄せによる「無情社会」[8]を生みにくい。これもコスト安につながる。
  5. そもそも、各組織は自分が主担当のデータしか持っていないので、現在のように各組織がデータをコピーして持っている場合に比べて、データ漏洩時のプライバシーインパクトが低い。

なんと、いいコトだらけじゃないですか。

え?「こんなことしたら、システムが大変?1億人を収容するような大規模なシステムじゃ動かない!」ですって?何をおっしゃいますやら。これって、インターネットが動いてる仕組みそのものですよ。その世界では「1億人は小規模」なんです。そりゃー、変な仕組みにしたら動かないでしょうよ[9]。でも、GoogleとかFacebookとかがやっているような、JSON/RESTアーキテクチャなら大丈夫ですよ。ちゃんと設計すればね。

ちなみに、実は「マイナンバー」のシステムにはかなりこの考えが入っています。情報提供ネットワークのところとか。肝心の「マイナンバー」自身が「原則不変」なところがあれですが…[10]。たぶんこれは政治的な話で、システム的には変えられるようになってると思いますよ。うん、きっと。

【脚注】

[1] 郷原信郎 『「流出した基礎年金番号は変更」「変更通知は郵送」で本当に大丈夫なのか』(2015/6/9), ハフィントン・ポスト, http://www.huffingtonpost.jp/nobuo-gohara/nenkin-number_b_7540210.html

[2] 崎村夏彦『「番号」は漏れると危ないのか?』(2015/6/9), @_Nat Zone, http://www.sakimura.org/2015/06/3038/

[3] 日じゃなくて、本当はせめて秒だけど。

[4] EUでは一番最近と思われるeIDカードの発行にあたって、ドイツは「番号」を書面番号とした。したがって、再発行で変わる。これはとても正しい。

[5] これ、米国国防総省の社会保障番号の利用ガイドラインでも基本そうなっています。ちなみに、「番号」を組織に渡すのもリスクだと考える場合、個人が「組織別番号」を取得して組織に渡す方式があります。SAMLのNameIdentifierとか、OpenIDのPPIDって、そういう仕組です。自動化されているので、個人は気づかないでしょうが。

[6] 専門的には、Access Token といいます。

[7] 悪意があって、「番号」を他のものに付け替えられたらだめですがね。

[8] 崎村夏彦『無情社会と番号制度〜ビクトル・ユーゴー「ああ無情」に見る名寄せの危険性』(2010/12/13), @_Nat Zone, http://www.sakimura.org/2010/12/686/

[9] エンタープライズなXML/SOAPシステムとかね。あれは、せいぜい200万人とか向けのシステムですから。XMLベースだと、余計なデータと演算が多くなっていけません。あれで1億人やるのは大変…。

[10] あと、各組織(雇用者、金融機関など)がマイナンバーを保存してまうとかも、あれだなぁ…。

by Nat at June 10, 2015 02:29 PM

June 09, 2015

Nat Sakimura

個人情報保護法案(含むマイナンバー法案)、当面採決見送り

6月9日のNHKニュース曰く

マイナンバー法などの改正案を審議している参議院内閣委員会は、9日、理事懇談会を開き、日本年金機構のシステムから大量の個人情報が流出した問題を受けて、状況の推移を見極める必要があるとして、改正案の採決を当面、見送ることで与野党が一致しました。

マイナンバー法案とここでは言っているが、正式には「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」[1]であり、個人情報保護法の改正とセットである。したがって、個人情報保護法の採決も先延ばしとなってしまったのであった…。さてさて…。

[1] http://www.cas.go.jp/jp/houan/189.html

by Nat at June 09, 2015 02:40 PM

Nat Sakimura

Microsoft Azure や Dropboxが、クラウドプライバシー コントロール国際基準 ISO/IEC 27018 に準拠

Microsoft Azure が、クラウド唯一のプライバシー コントロール国際基準 ISO/IEC 27018 [1]に準拠した初のクラウド コンピューティング プラットフォームとして確認されましたらしい。認証はBSIがやっているそうだ。しかも今年の2/16と旧聞。見てたかもしれないが、流していたのだな。

さらに、今週気がついたのだが、Dropbox もまたISO/IEC 27018認証を取得しているらしい。BSI大忙しですな。JIPDECさんもやらないのですかね。Pマークがあるから無理か?

ISO/IEC 27018購入ページ

ISO/IEC 27018購入ページ。PDFだけでなく、ePub版もあるのが便利

ISO/IEC 27018 というのは、ISO/IEC 27002 がカバーしていないプライバシー部分を、ISO/IEC 29100 のプライバシー・フレームワークに沿って足しているものだ。対象は、ISO/IEC 29100 でいうところの PII Processor、いわゆる「委託先」である。委託先ではないデータコントローラを対象にする規格は、ISO/IEC 29151として策定が進んでいる。実はISO/IEC 27018は、策定が始まるところから日本の委員はもとより、国際委員みなで「びみょ~」「いるのか?クラウド特有のなんて無いだろ。」と言いながら、「まぁ、27017でセキュリティをやるならそれとセットで整合性のために」スタートした規格だ。ナイロビ会合でしたかねぇ。審議はSC 27/WG 5(私が国内主査をしているWG)でやっていた[1]のだが、まぁ、あまりやることがないので非常に高速にとっとと決まったという経緯がある。さらに、全体の枠組みとしては上述の29151が担当なので、そこが終わらないうちにやるのはどうかという話もある。なので、「うちはISO/IEC 27018対応!」とか言われると「びみょ~」という気分になるのだが、それでももちろんやらないよりは良いので…。

Microsoft Azure Japan Team Blog (ブログ) です。このBlog (ブログ) は Microsoft Azure に関する最新情報や、開発に役立つ情報を提供します。

情報源: Microsoft Azure が、クラウド唯一のプライバシー コントロール国際基準 ISO/IEC 27018 に準拠した初のクラウド コンピューティング プラットフォームとして確認されました – Microsoft Azure Japan Team Blog (ブログ) – Site Home – MSDN Blogs

dropbox-27018

[1] ISO/IEC 27018 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

[2] 国内委員会の主担当はHPの佐藤さん。

by Nat at June 09, 2015 09:18 AM