Scribble at 2021-11-26 11:55:44 Last modified: 2021-11-26 12:01:24

もういまどき「OpenID」なんて言葉を見かけることも少なくなった。それどころか「シングル・サイン・オン」という言葉すら、もったいぶって使うサイトなど見かけない時勢とも言える。しかし、だからといって Yahoo! ID や Google のアカウントでログインできるサービスやサイトが増えているかと言われれば、そんなことはない。みんな、認証システムを構築するコストと引き換えに GAFAM のような巨大資本の支配を嫌がっているようにも見受ける。もちろん、われわれのような非機能要件まで考慮して設計できるレベルのまともなエンジニアがいれば、独自に認証システムをオンライン・サービスに実装することなど大して難しくはない。要は自社のサービスを構築するにあたって、機材だけでなく、われわれのような知性ある〈部品〉に投資するつもりがあるかどうかという、起業家としての見識によって左右されるだけの問題なのだ。

上記は 4Gamer.net というゲームのサイトでユーザ登録のページに掲載されている愉快な事例である。最初に OpenID が廃止されたと言っておきながら、すぐ下で OpenID でログインしようなどと書いている。ゲーマーのあいだでは有名なサイトのようだが、ことほどさようにウェブサイトの運営というオペレーションは、たいてい体系的な運営・管理ポリシーもない人々が担っていて、色々なところに矛盾した説明だとか表記揺れがあるわけだが、この事例は酷すぎる。

ともあれ、当サイトでは OpenID Foundation の理事長である Nat Sakimura（崎村夏彦）氏と Google+ や Twitter でやりとりしていた経緯も含めて OpenID のセキュリティという話題を記事として公開していたのだが、そうこうしているあいだにトレンドは OpenID Connect / OAuth へ移り、結局は OpenID が登場した頃にいくつか出ていた解説書も翻訳されずに、IdP としての巨大資本が基盤を作ってサポートすればいいという風潮へとシフトしてしまったがゆえに、ウェブ・アプリケーションの大半のエンジニアは API だけ知っていればいいというていどのものとして扱われるようになった。レスポンスされるステータス情報を扱うだけなら、さほど取り扱いに高度な技術が求められるわけでもなんでもないため、次第に多くのエンジニアからは関心が薄れていったのは当然のことだ。実際、OpenID Connect について崎村氏が顔を向けているのは、いまやプラットフォーマーや金融屋や官僚だけだろう。

しかし、それもいっときの流行でしかなく、再び自社で認証システムを実装するのがトレンドとなっている。たとえばメディアのサイトへログインするのに SSO を使うなんて事例は、あまりない。僕が利用している The New York Times とか Aeon とか The Atlantic のサイトへログインするのに Google のアカウントを使うなんてことはないし、他の主だったサービスでも同様だろう。日本の新聞社が運営するサイトでは、長らく毎日新聞だけが OpenID をサポートしていたが、いまや毎日新聞も自社のオリジナルの認証システムを使っているらしい。そもそも、たとえば Twitter へログインするのに Facebook の ID を使うなんて考えられないだろう。それぞれ競合どうしでは ID の連携なんてやるわけがないのだから、数多くのジャンルで最も勢いがあるサービスでは、GAFAM の IdP など頼るわけがないのだし（その多くが TikTok や Zoom のように中国に関連する企業だという事情もあるが）、これは当然の結果だろうと思う。"federation" なんて、しょせんは〈アメリカ企業の〉federation でしかないのだ。