2025 Volume 2025 Issue 21 Pages 1-
スマート農業を推進するさまざまな取組が進められる中で,データ活用の重要性が高まっている.高度なデータ活用のために,生産者個人の生産データ,経営データ,電子申請データなど機密性の高いデータを取り扱う場面が増えている.それらのデータを集約・連携するためのデータ連携基盤やAPI(Application Programming Interface)基盤において,データの保護は重要な課題の1つとなっている.しかし,これまで農業ICT分野においては,データにアクセスする利用者を正しく識別し,アクセスの許可および拒否を行うためのID管理や認証・認可システムについて議論されることは少なかった.そこで,筆者らは,農業ICT活用のための共通基盤を用いたID管理および認証・認可手法の検討を行い,ID管理に関する利便性の向上に寄与することと,認証機能と認可機能の一体的な実装が可能であることを確認した.本稿では,ID管理および認証・認可システムの現状と課題および他分野の事例を概説し,共通基盤を用いたID管理および認証・認可手法の検証の概要と結果について説明し,今後の展望と課題について述べる.
The public and private sectors have been promoting Smart Agriculture in various initiatives; thus, the importance of data utilization is increasing. For advanced data utilization, the handling of highly sensitive data such as farmers' production data, management data, and electronic application data, including personal information, is also increasing in agricultural ICT services. Data protection is also an important issue for data collaboration platforms and Application Programming Interface (API) platforms, in which data is aggregated and integrated. However, in the agricultural field, there has been little discussion regarding ID management systems or authentication/authorization systems to correctly identify users accessing the data and allow or deny access. Therefore, we investigated ID management and authentication/authorization methods using a common platform for utilizing agricultural ICT and confirmed that this contributes to improving the convenience of ID management and that it is possible to implement authentication/authorization functions in an integrated manner. This paper outlines the current works and challenges of ID management systems and authentication/authorization systems, as well as examples in other fields, explains the overview and results of verification of ID management and authentication/authorization methods using a common platform, and discusses the prospects and future issues.
農業分野においては,担い手の減少や高齢化などの問題が提起されて久しいが,生産者や関連団体,民間事業者などのさまざまな取組に加え,政府による食料・農業・農村政策の後押しもあり(農林水産省 2024a),ロボットトラクタによる圃場作業(稲野ら 2019),ドローンによる農地のリモートセンシング(井上,横山 2019),営農情報管理システム(Farm Management Information System, FMIS)による経営改善(八木,金 2021)などのスマート農業技術の導入が進み,農業現場も徐々に変革が進んできている.直近では,2024年6月にスマート農業技術の活用の促進に関する法律が制定され,スマート農業技術の活用と併せた生産方式の革新や,技術の開発・成果の普及に向けた計画が立案されている(農林水産省 2024b).その中には,農研機構の研究開発設備の供用や,行政手続きの簡素化などの支援措置について記載されており,供用設備を運用管理したり,行政手続きを電子化したりするためのICTシステムが重要となるだろう.
また,近年ではスマート農機だけでなく,人工知能(AI)等を活用したアプリケーションの研究開発も行われ,AIが病害虫や雑草の画像を診断し有効な薬剤を表示するアプリ(日本農薬株式会社 2024)やAIで収穫適期のピーマンを判定し自動で収穫するロボット(農林水産省 2022)などがサービス提供事業者を通じて生産者に展開され始めている.他方,スマート農業に関するデータを連携・集約し,民間事業者が提供するサービスの高付加価値化を目指す農業データ連携基盤WAGRIの取組(塩見,斎藤 2020),農業現場で使用する圃場機器,乾燥調整機,施設園芸センサーなどのデータをメーカーの垣根なく利活用するための農機オープンAPI(Application Programming Interface)の取組(農研機構 2024),食の生産から加工・流通・販売・消費・資源循環までのフードチェーンを最適化するukabisの取組(スマートフードチェーン推進機構 2024)などが官民の力を合わせて幅広く進められている.これからは,このような取組と連携した農業ICTサービスは高付加価値化・高機能化が進むとともに,今後もデータ活用の重要性が高まっていくと考えられている(松本 2020).
一方,農業分野においてはさまざまな取組によって蓄積された各種データにアクセスする利用者を識別し,権限管理を行うベースとなるID管理システムや認証・認可システムについて十分に議論されてこなかった.そこで,本研究では,農業ICTサービスやAPI基盤などにおけるID管理システム,認証・認可システムの現状と課題を概説し,他分野の事例を紹介しながら,農研機構が運営するAPI基盤において共通基盤を用いた統合的なID管理・認証・認可システムの連携開発実証を行い,その結果および今後の展開について議論する.
令和4年度に農林水産省が調査を実施した「農業新技術活用事例」には,水田作,畑作,施設園芸,果樹,畜産など136の事例が紹介されており,省力化・高品質生産等を実現しているそれぞれの経営体が,導入技術としてさまざまな企業の農機,ドローン,ICTサービス等の技術を積極的に取り入れ,複数のシステムやアプリケーションを使用していることが示されている(農林水産省 2023a).企業のICTサービスを利用する際は,基本的には各社のサービスごとに利用者登録をする必要があり,各社独自の利用者IDもしくはメールアドレスにて当該サービスへのログインを実施する仕組みが主流となっている.この場合,ID情報(アカウント情報)は各社が管理するサーバ上で保管され,ログイン認証の仕組みも各社が開発・運営するプログラム上に実装されている.2024年6月時点において,民間事業者が提供する農業ICTサービスであるアグリノート(ウォーターセル株式会社, https://www.agri-note.jp/,2024年6月13日参照)やKSAS(株式会社クボタ, https://agriculture.kubota.co.jp/ksas/,2024年6月13日参照)など多くの製品がこのような仕組みを採用している.これは,農業分野だけでなく,一般的な,インターネットに公開されている自社の商品やサービスを販売するECサイト(electronic commerce, EC)の利用者登録と認証の仕組みも同様である.
生産者が利用する農業ICTサービスには,利用者の収量データや作業データ,機器の稼働データなどが蓄積されており,近年はそれらのデータを利活用する取組が進んでいる.例えば,地方公共団体による取組として,栽培環境データ,機器稼働データ,出荷データなどを利活用する契約を個々の生産者と締結し,本人の営農・経営改善だけでなく,地域や第三者の営農・経営改善に活用している,高知県によるIoP(Internet of Plants)クラウドの取組が挙げられる(受田 2021).
2.農研機構が運営する農業データ連携基盤WAGRIにおけるID管理民間事業者が提供するサービスの高付加価値化を目指すWAGRIにおいては,会員は個人ではなく民間企業などの法人が主体である.各会員はWAGRI上にメールアドレスで利用者IDの登録を行い,APIの利用者を識別する固有の文字列であるクライアントIDなどの認証情報を設定する.その認証情報をもとに,API実行のためのアクセストークンと呼ばれる有効期限が設定されたランダムな文字列をサーバから取得した上で,農地,気象,生育予測等のAPIにアクセスし,自社サービスに各種データやプログラムを組み込んでいる.
3.農機オープンAPIにおけるID管理農機オープンAPIの取組においては,メーカー間の壁を越えて生産データを連携・共有することにより,単一のメーカーが開発したソフトウェアやサービス以外でもデータが活用され,経営改善が促進されることを目的としている.ここでは各社のサービスに蓄積された利用者のデータをサードパーティー製のサービスに対して安全にアクセス権を与える仕組みが,サードパーティー製のアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークであるOAuth2.0(OpenIDファウンデーション・ジャパン 2024a)を利用して実装されており,メーカー間の垣根を超えたデータ共有が実現され始めている.
しかし,連携する各メーカーのサービスごとに利用者IDとパスワードの管理が必要である点は従来の仕組みと変わらず,サードパーティー製のアプリケーションにおいても,連携したいデータが蓄積されている各メーカーのサービスの利用者IDとパスワードをそれぞれ入力する必要があるため,今後の共通ID導入による効率化が期待される.
4.現状の2課題と他分野事例課題1)前述した通り,現状では多くのサービスやアプリケーションを利用するためには,各社の利用するサービスごとに利用者IDを作成し,パスワードを管理する必要がある.各社のID管理システムにIDを作成する際は,都度,自身の基礎情報を登録する必要があり,メールアドレスや電話番号の実在確認の手間などがかかるだけでなく,利用開始後のログインもサービス毎に実施することになる.また,基礎情報の変更の際には各社の利用者情報をすべて修正する必要がある.さらに,サービスごとにパスワードポリシーが異なる場合などもあり,同一のパスワードが利用できないなど,重ねて管理や運用の手間がかかっている.
課題2)また,各社のアプリケーションにおいて,適切なアクセス権を付与する認可機能を開発する際にも,ID登録時の属性情報を利用する,もしくはログイン後に情報を追加登録するなど,それぞれの仕様に応じて実装する必要がある.さらに,サービスごとに蓄積されたデータを集約・再利用する際にも,同一生産者のデータであるにも関わらず,データに紐づくIDがサービスごとに異なるため,効率的なデータ集約・連携を難しくしている.
このような課題は他分野においても共通のものであるが,昨今では小売事業者が提供するECサイトや会員管理を行うサイトなどでは,ソーシャルログインと呼ばれる技術を採用する事例が増えている.ソーシャルログインとは,Google,Facebook,Yahoo,LINEなどのソーシャルメディアに既に登録されているアカウント情報を利用して,対象のサービスのアカウントを作成し,ログイン認証を行う仕組みである.この仕組みを利用すると,各社のサービス毎に新たな利用者情報を登録する必要がなく,ソーシャルメディアに登録した既存のアカウント情報を再利用でき,結果的に複数のアカウントを管理しなくて良いという特長がある.これは利用者にとっての利便性向上だけでなく,新しいサービスを提供する事業者にとっては,利用者の新規参入を容易にすることにもなり,多くのECサイトや会員管理サイトなどに採用されることとなった(土方ら 2016).
本研究では,先に述べた農業ICTサービスの課題に対して,ソーシャルログインの技術や事例を参考にし,gBizIDおよびeMAFFIDを利用したIDおよび認証連携システム,適切なアクセス権を付与する認可機能を提案する.
農業分野においては,農林水産省がeMAFFIDと呼ばれる農林漁業経営体IDを運営・管理している.eMAFFIDは,農林水産省所管の法令に基づく手続や補助金,交付金の申請をオンラインで行うための農林水産省共通申請サービス(eMAFF)を利用するためのIDであり,2024年6月時点では認定農業者制度,強い農業づくり総合支援交付金事業,経営所得安定対策などの申請時などに利用されている(農林水産省 2023b,2024c).このeMAFFIDは,経済産業省からデジタル庁に移管された法人向けの共通認証サービスgBizIDと連携している.gBizIDは複数の行政サービスを共通のIDで利用できる仕組みであり,省庁が提供する補助金や助成金の申請,地方公共団体が提供する電子申請システムとの連携など,省庁横断的な利用が推進されている(デジタル庁 2024).農林漁業者においてもgBizIDと連携したeMAFFIDを利用することにより,補助金申請など農林水産省に関連する各種申請などをワンストップで利用することができる.
今後,民間事業者が提供する農業ICTサービスにおいても,ID管理システム・認証システムにこれら共通基盤の利用を拡大することで,前述したような課題を解決できることが期待される.この共通基盤が公的サービスであることが,前述したソーシャルログインとの大きな違いである.ソーシャルログインの仕組みにおいては,例えばGoogleなどの一民間企業の意向や経営状況によって,サービス停止や有料化,仕様変更などの大きいリスクがあるが,公的サービスとしての共通基盤にはそのリスクが少ないことがメリットとして挙げられる.
技術的にも,gBizIDと連携したeMAFFIDにおいてはこの分野で標準的に利用が進んでいるOpenID Connect(OpenIDファウンデーション・ジャパン 2024b)という認証連携プロトコルを採用しており,また行政サービスにおいて接続実績を多数有することから,民間事業者向けの共通基盤としての利用にも相応しいと考える.
2.gBizIDおよびeMAFFIDを利用したIDおよび認証連携システムの実証実証には,本来,農林水産省の運営するeMAFFIDを利用することが望ましいが,2024年6月時点では民間事業者向けを含む,認証連携に関する機能・サービスの提供が開始されていない.そこで,eMAFFIDの共通基盤としての連携元であるgBizIDを利用して実証を行うこととした.具体的には,農研機構で開発している,大容量データを高速で処理可能なAPIを実装することを目的とした高速API基盤の検証環境に,gBizIDとの認証連携アプリケーションを構築することで実証を行った(図1).
アプリケーションの開発にはGoogle Cloud(Google社の提供するクラウドコンピューティング環境,Google 2024)上の仮想サーバを利用し,利用者がログインして操作するWEBアプリケーションを想定した構成とした.OSにはWindowsServer2019,WEBアプリケーションのバックエンドにはPython 3.9環境を構築し,FastAPIライブラリ(FastAPI 2024)を動作させた.フロントエンドはHTMLとJavaScriptにて簡易的に実装し,認証連携プロトコルには前述したOpenID Connectを採用した.OpenID Connectには複数の連携方式(フロー)が定義されているが,gBizIDにて使用が指定されているWEBアプリケーションの認証連携の標準的なフローである認可コードフロー(OpenIDファウンデーション・ジャパン 2024b)を採用した.
gBizIDの認証基盤をOpenID Provider(OP)として,連携するWEBアプリケーションをそれに対するRelying Party(RP)として設定した.gBizID側にはWEBアプリケーションの認証フローで利用するリダイレクトURLの情報などを登録し,gBizIDの認証システム側からは認証に利用するクライアントIDとクライアントシークレットが発行された.これらの情報を利用し,OpenID Connectの認可コードフローにてID・認証連携を実施するプログラムを構築し,実証を行った(図2).
次に,実証においては,gBizIDの基本情報およびアカウント情報として法人番号,法人名,所在地,代表者名,代表者名フリガナなどを登録し,gBizIDのdiscovery_urlを参照のうえ,設定されているUserInfoエンドポイントへアクセストークンを送信することによりユーザ属性情報を取得した.取得した項目のうち,gBizIDアカウント種別を示すprofile.account_type属性を参照することで,サインインした利用者のアカウント種別の情報を判別し,その種別によってアクセスできる機能に制限を持たせるような認可機能の実装が可能か,併せて確認を行った.
実証の結果,gBizIDの共通基盤に登録されている法人・個人事業者のIDで,API基盤の管理画面にログインし,操作できることを確認した(図3).
この画面から,課題1の認証機能について検証用アプリに利用者登録をせずとも,gBizIDを利用してログインができ,検証用アプリの中でgBizIDに登録されている属性情報を利用できたということが読み取れる.これは,利用者側にて,複数のサービスやアプリケーションを利用するたびに新しいアカウントを作成する必要がないということに加えて,サービスやアプリケーション側で独自に認証機能を実装する必要がないことを示している.連携プロトコルに,標準の認証プロトコルOpenID Connectの認可コードフローを利用することにより,連携先であるサービスやアプリケーション(ここでは検証用アプリ)にパスワードを入力・保持することなく,安全に認証連携が実現できている.なお,gBizIDの共通基盤側に実装されたUserInfoエンドポイントから取得した属性情報の中には,利用者が共通基盤に登録した基本的な属性情報が含まれていることが確認できた.
また,課題2の認可機能については,本来は共通基盤側にサービス毎の認可に用いる専用の属性を保持し,必要に応じて取得することが望ましいが,今回はユーザ属性であるprofile.account_typeを正常に取得できることを確認した.
ただし,サービスやアプリケーション側にて,利用者個人やその属性に応じたアクセス権の付与をしたい場合や,利用者をグループ管理し,個別の機能制限などを設けたい場合は,連携後にサービスやアプリケーション側にも独自のアカウント情報やグループ情報を作成し,管理する必要がある点について留意すべきである.
また,サービスやアプリケーション側に蓄積されたデータにも,共通基盤側の利用者情報が紐づいていることが確認できたことで,共通基盤を利用する複数のサービス間における,効率的なデータ集約・連携が可能となることを確認した.
情報セキュリティ面からも,共通の認証基盤には標準の認証プロトコルが利用されており,アプリケーション独自に実装した認証機能に脆弱性がある,というリスクを回避できるため,メリットが大きいと考える(表1).
;%0A%09%09%09newWindow.document.open();%0A%09%09%09newWindow.document.write('<img src=%22./Graphics/2025_1_4.png%22>');%0A%09%09%09newWindow.document.close();%0A%09%09)
本研究では,農業分野におけるICTサービス基盤における認証・認可の課題2点に対して,ソーシャルログインの事例を参考にeMAFFIDを共通ID管理,認証・認可の一体的機能として利用する方式を提案し,実証実験を通してその実現性,有用性を確認した.
今回はgBizIDを利用したアプリケーションの開発実証となったが,前述した通り実際に民間事業者が農業ICTサービスに実装する場合はeMAFFIDを利用したID・認証連携が望ましい.既に生産者はeMAFFIDにて各種の行政手続きや補助金申請などを実施しており,このような公的サービスに加えて,民間事業者によるサービスもワンストップで利用できることになり,利便性の大幅な向上が見込まれる.農林水産業以外の行政手続きに関しては連携元となるgBizIDにより同じくワンストップでサービスを利用することが可能となる.
利便性の向上をきっかけに,eMAFFID自体の利用者が増加すると,民間事業者によるサービスにとっても新規利用者の面倒な情報登録の手間がなくなることで,新しいサービスやアプリケーションを利用することが容易になるというメリットがある.また,多くの民間事業者が提供するサービスに共通のIDが利用されることによって,各サービスに蓄積されるデータを集約・再利用することが容易になり,オープンAPIなどの取組に大きく寄与することも期待される.そして,今後,共通基盤を利用したID・認証連携が進むことにより,利用者の利便性が高まると同時に,API基盤やオープンAPIの取組などを通じ,データの集約・活用がより促進され,多くの事業者によって付加価値の高い農業ICTサービスが創出されるだろう.
今後の課題としては,どのようにして農業ICTサービスを利用する生産者の多くにeMAFFIDを取得してもらうか,eMAFFIDによる民間事業者向けのID・認証連携サービスが早期に開始されるかどうか,という2点が挙げられる.1点目は,行政機関や各種団体からのアナウンスや促進活動,そして丁寧なサポート体制が必要であるが,段階的に補助金申請などのオンライン化を必須とすることを検討すべきと考える.2点目は,民間事業者向けのID・認証連携の実証やそれに伴うシステム更改など,サービスを早期に開始できるような取組を農林水産省に働きかけていきたい.
筆者が属するWAGRI推進室としては,今後も継続的にeMAFFIDの動向を追うとともに,農林水産省へ民間事業者向け認証連携サービスの開始を要望したい.そして,サービスの実証が開始された際には,WAGRI等での活用,および民間事業者によるID・認証連携の推進を進めていく.
すべての著者は開示すべき利益相反はない.
