20260515 ⾃分のアカウントとプライバシーを守る認証と認可の話〜利⽤者向け〜

⾃分のアカウントとプライバシーを守る認証と認可の話〜利⽤者向け〜 2026年05⽉15⽇⼀般社団法⼈ OpenIDファウンデーション‧ジャパン安永未来

自己紹介安永　未来伊藤忠テクノソリューションズ株式会社所属 • 大学との共同研究でOSSの開発中 • OIDF-J ではデジタルアイデンティティ人材育成推進WGやトップガンアンダー40WGで
日々勉強中 2

目次 1. 利用者って誰？ 2. なぜ今日の話が必要？ 3. なぜログインが必要？ 4. そもそもデジタルアイデンティティとは？ 5.
サービスが確認する2つのこと 6. 自分のアカウントを守るには？（認証） 7. 自分のプライバシーを守るには？（認可） 8. まとめ 3

利用者って誰？ 1

1. 利用者って誰？ 5 ネットで買い物をする人 SNSを使う人メールを送る人送金アプリを使う人仕事で会社のサイトを使う人

1. 利用者って誰？ 6 SNSを使う人ネットで買い物をする人仕事で会社のサイトを使う人メールを送る人送金アプリを使う人これらはすべて、サービスの利用者です

1. 利用者って誰？ 7 つまり、今日の話の主役はあなたです

なぜ今日の話が必要？ 2

2. なぜ今日の話が必要？こんな経験ありませんか？パスワードの使いまわしなんとなくメールのリンクからログインとりあえずアプリの権限を許可

2. なぜ今日の話が必要？こんな経験ありませんか？パスワードの使いまわしなんとなくメールのリンクからログインとりあえずアプリの権限を許可それ、危険かも！？

2. なぜ今日の話が必要？こんな経験ありませんか？パスワードの使いまわしなんとなくメールのリンクからログインとりあえずアプリの権限を許可アカウントを乗っ取られる偽のサイトに誘導される
（フィッシング攻撃）個人情報が盗られる

2. なぜ今日の話が必要？こんな経験ありませんか？パスワードの使いまわしなんとなくメールのリンクからログインとりあえずアプリの権限を許可アカウントを乗っ取られる偽のサイトに誘導される
（フィッシング攻撃）個人情報が盗られるそのようなリスクを減らすために、今日の話を聞いてほしいです！ ※本資料では、利用者向けの説明として一部内容を簡略化しています。

なぜログインが必要？ 3

3. なぜログインが必要？適切な利用者に、適切な情報や機能を提供するため 14 ウサギさんのメールボックスを表示しますタヌキさんのメールボックスは表示できませんウサギさんは管理者なのでメンバーの情報を表示しますウサギさんがログインしました

3. なぜログインが必要？適切な利用者に、適切な情報や機能を提供するため 15 ウサギさんのメールボックスを表示しますタヌキさんのメールボックスは表示できませんウサギさんは管理者なのでメンバーの情報を表示しますウサギさんがログインしました
ではサービスは何を手がかりに利用者を見分けるの？

そもそもデジタルアイデンティティとは？ 4

4. デジタルアイデンティティとは？デジタル上で自分を示し、他者と区別するための情報 17 • 会員ID • 名前 • メールアドレス
• 所属 • 生年月日 etc……

サービスが確認する 2つのこと 5

5. サービスが確認する2つのこと認証利用者が本人かどうか認可利用者に何をさせてよいのか

自分のアカウントを守るには？（認証） 6

6. 自分のアカウントを守るには？（認証）認証（利用者が本人かどうかを確認する仕組み）を強くすることが必要認証利用者が本人かどうか

6. 自分のアカウントを守るには？（認証）認証は以下の3つの要素で考えられる 22 知識パスワード PINコード etc… 所有スマートフォン
ICカード etc… 生体指紋顔 etc…

6. 自分のアカウントを守るには？（認証）代表的な認証方式の紹介 • パスワード認証 • 多要素認証 • 例：SMS ワンタイムパスワード
• パスキー 23

6. 自分のアカウントを守るには？（認証）パスワード認証 • メリット • 利用者にとって馴染みがある • 端末を問わず使える •
デメリット • 覚えるのが大変で使いまわしてしまう（漏洩のリスク） • フィッシング攻撃のリスク • 単純なパスワードは推測されやすい 24

6. 自分のアカウントを守るには？（認証）パスワード認証 • メリット • 利用者にとって馴染みがある • 端末を問わず使える •
デメリット • 覚えるのが大変で使いまわしてしまう（漏洩のリスク） • フィッシング攻撃のリスク • 単純なパスワードは推測されやすい 25 便利で身近ですが、パスワードだけに頼るのは危険！

6. 自分のアカウントを守るには？（認証）多要素認証認証の3要素である知識、所有、生体を2つ以上組み合わせたもの 1要素の認証よりも強い • 例：銀行でキャッシュカードをATMに挿入し、暗証番号を入力 26
キャッシュカードを落としたけど、暗証番号に救われました…… 所有知識

6. 自分のアカウントを守るには？（認証）多要素認証（ SMS ワンタイムパスワード）パスワード入力後に、SMSで送られてきたコードを入力 • メリット • パスワード認証のみよりも、フィッシング攻撃の被害を受けにくい
*偽サイトにその場でコードを入力すると、防げないことがある • デメリット • 入力に手間がかかる • 端末の紛失/変更時に対応が必要 27

6. 自分のアカウントを守るには？（認証）パスキーパスワードの代わりに、生体認証やPINなどでログイン 28 パスキーの使用を選択ログイン成功！ Face ID
※厳密な内容は書籍「パスキーのすべて」などをご確認ください

6. 自分のアカウントを守るには？（認証）パスキー • メリット • デバイスがないと認証できないのでリモートの攻撃に強い • フィッシング攻撃に強い *正しいWebサイトと結びついているので、偽サイトに騙されにくい
• デメリット • PINなどを盗み見られ、端末を盗まれると不正利用の恐れがある • パスキーを管理している端末やサービスに問題が起きると使えなくなる 29 ※厳密な内容は書籍「パスキーのすべて」などをご確認ください

6. 自分のアカウントを守るには？（認証）紹介した3つの例をまとめると 30 認証方式特徴フィッシング耐性パスワード認証最も身近で使いやすい ×
SMSワンタイムパスワードパスワード＋SMSで送られるパスワードで認証 △ パスキー正しいWebサイトと紐づけて認証 ◦

6. 自分のアカウントを守るには？（認証）紹介した3つの例をまとめると 31 認証方式特徴フィッシング耐性パスワード認証最も身近で使いやすい ×
SMSワンタイムパスワードパスワード＋SMSで送られるパスワードで認証 △ パスキー正しいWebサイトと紐づけて認証 ◦ では結局、どうすればよい？

• パスワードだけに頼るのは今日で卒業！ • まずはアカウントの設定を確認してみましょう 6. 自分のアカウントを守るには？（認証） 32 パスキーを使いましょう！（使えない場合は、多要素認証を有効にしましょう）

自分のプライバシーを守るには？（認可） 7

7. 自分のプライバシーを守るには？（認可）アプリに自分の権限を渡すと、とっても便利　例： • 「カレンダーへのアクセスを許可」→　自動で予定を追加 • 「連絡先へのアクセスを許可」→　自動で知人を見つけられる • 「位置情報の許可」→　現在地付近のお店を探せる

7. 自分のプライバシーを守るには？（認可）アプリに自分の権限を渡すと、とっても便利　例： • 「カレンダーへのアクセスを許可」→　自動で予定を追加 • 「連絡先へのアクセスを許可」→　自動で知人を見つけられる • 「位置情報の許可」→　現在地付近のお店を探せる
とはいえ、むやみに権限を渡すと危険！

7. 自分のプライバシーを守るには？（認可）認可（誰に何をさせてよいのかを設定する仕組み）に注意が必要認可利用者に何をさせてよいのか

7. 自分のプライバシーを守るには？（認可）実際の攻撃例 37 次のスライドで過去どのように、プライバシーが侵害されたのかを見てみましょう！

7. 自分のプライバシーを守るには？（認可）参考：https://internet.watch.impress.co.jp/docs/news/1057962.html

7. 自分のプライバシーを守るには？（認可）参考：https://internet.watch.impress.co.jp/docs/news/1057962.html では、どうすれば防げたのでしょう？

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 40 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 41 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372 本当にGoogleドキュメント？

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 42 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372 Gmailへのアクセスは必要？連絡先へのアクセスは必要？

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 43 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372 Gmailの権限はこんなに必要？連絡先の権限はこんなに必要？

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 44 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372 本当にGoogleドキュメント？ Gmailの権限はこんなに必要？連絡先へのアクセスは必要？

7. 自分のプライバシーを守るには？（認可）誰が、どこに、どこまでアクセスするかを確認する 45 出典：https://isc.sans.edu/diary/OAUTH+phishing+against+Google+Docs+beware/22372 本当にGoogleドキュメント？ Gmailの権限はこんなに必要？連絡先へのアクセスは必要？とはいえ、
どこにアクセスさせるとまずいの？

7. 自分のプライバシーを守るには？（認可）アクセス権の重さ • 軽い権限 • 例：名前やアイコンを見る →影響は小さいが、必要かは確認する • 重い権限
• 例：連絡先を見る、カレンダーを見る →個人情報や仕事の情報が流出する恐れ • かなり重い権限 • 例：メールを送信する、読む、削除する →なりすましや情報の改ざん、削除につながる恐れ 46

7. 自分のプライバシーを守るには？（認可）アクセス権の重さ • 軽い権限 • 例：名前やアイコンを見る →影響は小さいが、必要かは確認する • 重い権限
• 例：連絡先を見る、カレンダーを見る →個人情報や仕事の情報にアクセスされる恐れ • かなり重い権限 • 例：メールを読む、送る、削除する →なりすましや情報の改ざん、削除につながる恐れ 47 その権限は本当に必要か、確認しましょう！

7. 自分のプライバシーを守るには？アクセス権の重さ • 軽い権限 • 例：名前やアイコンを見る →影響は小さいが、必要かは確認する • 重い権限
• 例：連絡先を見る、カレンダーを見る →個人情報や仕事の情報にアクセスされる恐れ • かなり重い権限 • 例：メールを読む、送る、削除する →なりすましや情報の改ざん、削除につながる恐れ 48 すでに許可してしまったものはどうするの？

7. 自分のプライバシーを守るには？アカウントの管理画面からアクセス許可を取り消せる例：Googleの場合は「サードパーティ製のアプリとサービス」から取り消せる 49

7. 自分のプライバシーを守るには？アカウントの管理画面からアクセス許可を取り消せる例：Googleの場合は「サードパーティ製のアプリとサービス」から取り消せる 50 使っていないアプリや、見覚えのない連携は見直しましょう！

まとめ 8

8. まとめ自分のアカウントを守るには？→認証を強くする！ • パスワードだけに頼らず、パスキーを使う • 使えない場合は多要素認証を有効にする自分のプライバシーを守るには？ →認可に注意する！
• 誰が、どこに、どこまでアクセスするのかを確認する • 使っていないアプリや、見覚えのない連携を見直す

8. まとめ自分のアカウントを守るには？ • パスワードだけに頼らず、パスキーを使う • 使えない場合は多要素認証を有効にする自分のプライバシーを守るには？ •
誰が、どこに、どこまでアクセスするのかを確認する • 使っていないアプリや、見覚えのない連携を見直す認証を強くし、認可を見直すことが、自分を守る第一歩です！

20260515 ⾃分のアカウントとプライバシーを守る認証と認可の話〜利⽤者向け〜

20260515 ⾃分のアカウントとプライバシーを守る認証と認可の話〜利⽤者向け〜

More Decks by OpenID Foundation Japan

Other Decks in Technology

Featured

Transcript