OpenID for CodeIgniter made easy ? All about it | MinhD.net

The idea is great, having some other web service do the dirty authentication work, and have a web framework ready library to do the integration dirty work… Having not to dirty your hands, but get things done. This is too easy to be true. But… I think using RPXNow is a bad idea, at least for me.

via OpenID for CodeIgniter made easy ? All about it | MinhD.net.

だったら釣りタイトルで記事にするなって話だが（笑）。

それにしても、これだけ気軽に実装できるしくみがあれこれと出ているわりに、ぜんぜん使われていないように思えるのはなぜだろうか。何万サイトに一つの ID で・・・という謳い文句はあちらこちらで見かけるが、１年後まで運営してるまともなスタートアップって、その中の何％なんですかという気がする。

実はうちで扱っているナショナルクライアント案件では、提案材料に使いたいとディレクターから一回だけ相談を受けたことがある。もちろん、僕個人の考えを業務に優先させるつもりはないので、与件から必要と判断できれば、当社の情報セキュリティポリシーに従って開発会社を選定したり実装方法を監査したりするという前提で導入を検討するのだが、そのときはセキュリティとかシステム開発の観点から吟味する以前の問題で却下した。

なぜなら、クライアントに新規構築を提案しようとしていたサイトがもともとターゲットにしていたのは、クライアントが運営している既存の会員サイトから誘導してきたユーザだったからだ。どこの馬の骨とも分からん「UA を使えるというだけの、そこそこ知能がある生物の行動記録」をたくさん集めるためのサイトではないのである。しかしディレクターや代理店担当者は、一般のユーザにも広く公開したいという、広告屋特有のスケベ根性が出てきたらしく、そこで OpenID を導入すれば気軽に利用してもらえるのではないかという話になったらしい。なんで一気に OpenID なんだよ。

という経緯があって与件を詳しく確認してみると、まずログインする必要はあるようだ。なぜ与件を確認したかと言うと、そもそも多くの人に利用してもらうことが最大の狙いであれば、企画書の練り方として、認証が必要なウェブサイトを前提に検討すること自体が間違っているかもしれないからだ。すると、比較的長い尺の動画も配信するし、プレゼントキャンペーンを開催して多くの人にサンプルをばらまきたいという思惑もあるらしく、同じ人に発送したりメールを送る機会が多いと予想されるため、個人情報を含む、ユーザの属性は必要だと分かった。他方、無料で開放すると、サイトの作り方にもよるが、ウェブアプリケーションを利用する際の行動パターンという意味での属性は取れるが、もっと具体的な属性は取れない。すると、「プレゼントを発送する」という名目で個人情報を取るしかないだろう（自己申告のユーザアカウント登録だけでは、ウソが書けるのでなかなか難しい）。しょせん EC サイトを運営しているわけでもない多くのクライアントにとって、ユーザがネット上でどう振る舞うかなど、どうでもいいことなのだ。そんなことは、クライアントの意向に沿って「ネット上のユーザをうまくコントロールできる（ユーザからみてコントロールしやすいように作ることが、まさにユーザに好感を抱かせるというコントロールなのだ）インターフェイス」を作るべき、われわれが知っていればそれでよい。こういういきさつもあって、認証と個人情報の取得は必要だろうと思った。そして、既存の会員サイトのユーザは既に個人情報を入力しているのだから、もちろん別のサイトに転用するという断り書きや承認プロセスは必要だが、そうした情報を活用しないわけにはいかないだろう。

それにしても、なんで OpenID なのか。ディレクターたちと話をしているうちに、彼らが何か誤解していることが分かった。簡単に言うと、ウェブのサービスに OpenID を使ってログインしているユーザの数を過大評価していると思える。もちろん、僕にも正確なところは分からないが、少なくとも OpenID プロバイダの人々や、煽り役の自称 IT ポータルが「報道」ヅラをして発表する資料など信用するに値しない。推進団体の人々は、AOL や Yahoo! といった OpenID プロバイダ（「も」やっている会員サービス）にぶら下がっている会員数がそのまま OpenID の利用者であるといったロジックを好んで使うようだが、マーケティング屋が焼き肉屋のトイレで出すウンコみたいな理屈を信じている開発技術者など（OpenID に熱狂している当の本人達ですら）いないだろう。

一つの目安として示しておきたいのは、例えば Simon Willson の OpenID に関する記事へコメントを寄せている人たちの中で見た、OpenID 利用者の割合だ。”Facebook Usernames and OpenID” という記事では、19個寄せられたコメントのうち10個が OpenID でログインしたユーザによっている。要は、OpenID のイヴァンジェリストの一人が運営しているブログであっても、半分のビジターは OpenID でログインせずにコメントを書いているのだ。しかも、こういうブログに集まってコメントを書くユーザは、先の案件でターゲットにしている一般ユーザなどとは、多くの属性についてかけ離れていると言ってよいだろう。殆ど「ヒトである」という共通点しかないのではないか（笑）。こう考えると、一般ユーザの中では殆ど使われていないと思える（「一般ユーザ」の定義の仕方によっては、Google すら殆ど使われていないと言えたりするが）のに加えて、ウェブ開発の標準や実装技術に関心を持っている人たちのあいだですら、ごくふつうに使われているわけでもないと言えるのではないか。こう言ってはなんだが、Google Trends などを見てみると、検索クエリを大量に送っているのが韓国・ロシア・チェコ・ウクライナ・日本というのが何かを考えさせられる。

次にもう少しまともな理屈で行くと、Webマーケティングガイドが主催した調査では、認知度が12%で利用度は1.2%であった。2008年2月の調査である。japan.internet.com が行った調査では、認知度が28.1%で利用度は15.2%である。これは2008年10月の調査だ。徐々に上がってきている印象はあるが、なぜか最近はすっかり調査結果が出ていないおかげで、認知度が低いときの調査結果が検索にたくさんヒットする。認知度や利用頻度が上がってきているなら、ちゃんと上がったという数を残しておく方が少ないときの調査結果というノイズの影響は少なくなるように思うのだが、あのなんたらファウンデーションというのは、大して長大な文章でもなければ難しい英語でもない規格の翻訳すら２年くらい放置したままで、専ら政治的な綱引きでもやってるんだろうか。

正直なところ一般ユーザの認知度は頭打ちのように思うし、そもそも認証というテーマ自体が一般ユーザの関心を引くのは難しいものだ。ウェブ系システム開発者の中では８割や９割の認知度はあると思うが、利用度についてはもっと調査が必要だろう。OpenID コンシューマサービスや OpenID プロバイダサービスを提供する側に立って「いじくったことがある経験」なら増えてきていても、実際に僕らが OpenID でそんなにあちらこちらにログインしているのかと言われれば、全くそんなことはないと言わざるを得ない。

そもそも、例えば当社のようにウェブアプリケーションを展開している企業ですら、自分の OpenID をもっているのは、30名の社員がいて４人ほどだ。しかも自分が頻繁に利用するサイトへログインするために使っているかと言われれば、数百の OpenID をもっている俺でも一ヶ月に一回の割合ですら OpenID を使わない。OpenID を必要とするサイトがないのだ。せいぜい、StackOverflow で何か書くときにわざわざ使うくらいだろう。他人の書き込みを読むだけなら全く不要である。また、２年ほど前には「ブログへの書き込みに使える」という売り文句も見かけたが、そもそもあのフローでは、メールアドレスとニックネームを入力するのと殆ど手間は変わらない。例えば VeriSign PIP だと、OpenID を利用してどこかのサイトへログインするに先立って、あらかじめ VeriSign PIP にログインしておけなければエラーになる。それに、他の OpenID プロバイダを使うとしても、結局のところ（最低でも初回は）普通の ID + パスワードの認証を通るのだ。なにが「ID/PW 認証は古い」だ。

話題作りの一環として無理矢理に導入するとしても（笑）、いったい誰の話題になるのか。山手線周辺の暇な連中が Twitter や tumblr でぶつくさ書く程度のものであろう。ディレクターや代理店側としては、導入すると、OpenID をもっている人がサイトを利用してくれるかもしれないという話をするのだが、そもそも OpenID をもっていようといまいと利用してもらえるようなサイトを作らなければ本末転倒である。もし OpenID の登録者が、「OpenID でログインできるフォームがある！」と見つけただけで、手当たり次第に動物実験のサルと同じくログインするようなアホ揃いであれば、日本のベンチャーはもっとシアワセになっていただろうに、と思う。