アカウントの休眠状態の検知と、安全なクレデンシャルリカバリー・アクセス権限委譲の標準化

休眠アカウント（Inactive Accounts）の隠れたリスク

インターネットサービスを長く運営していると、必ず発生するのが**「休眠アカウント（Inactive Accounts）」**の問題です。ユーザーが長期間ログインしていないアカウントは、企業にとって単にデータベースの容量を圧迫する（コストがかかる）だけでなく、重大なセキュリティリスクとなります。

最大の懸念は**「不正アクセスの温床になること」**です。休眠アカウントの持ち主は、他サイトで漏洩した古いパスワードをそのまま放置していることが多く、パスワードリスト攻撃の格好の標的となります。さらに、乗っ取られたことにユーザー自身が気づかないため、そのアカウントがフィッシングメールの踏み台や不正な決済に長期間悪用され続ける危険性があります。

休眠状態の検知とライフサイクル管理

企業（IdPやサービス提供者）は、アカウントのライフサイクルを適切に管理する義務があります。

• 検知: 最終ログイン日時だけでなく、連携しているアプリからのAPIアクセスログなどから、「本当に利用されていないか」を正確に判定します。
• 警告と無効化: 一定期間（例：1年間）利用がない場合、ユーザーの登録メールアドレスに警告を送り、応答がなければアカウントを「一時停止（無効化）」し、不正アクセスを物理的に遮断します。
• 削除: 法的要件（データの保存義務など）を満たした上で、さらに一定期間後にデータを完全に消去します。

クレデンシャルリカバリー（アカウント復旧）の難しさ

休眠アカウントを無効化、あるいはユーザーがパスワードやスマートフォン（多要素認証のデバイス）を紛失した場合に必要になるのが**「クレデンシャルリカバリー（アカウントの復旧）」**です。

これはセキュリティ設計において最も難易度の高い部分です。なぜなら、「正規のユーザーが困って助けを求めている」のか、「攻撃者がユーザーに成り済ましてアカウントを乗っ取ろうとしている（ソーシャルエンジニアリング）」のかを見極める必要があるからです。

かつて主流だった「秘密の質問（母親の旧姓など）」は、現在ではセキュリティ基準（NIST SP 800-63等）で**使用禁止（非推奨）**とされています。

安全なリカバリーとアクセス権限委譲の標準化

現在、より安全なリカバリー手法として、以下のような技術の標準化と導入が進んでいます。

1. 代替のハードウェア・セキュリティキー: ユーザーにFIDOセキュリティキーを「2つ（普段使い用と、金庫等に入れるバックアップ用）」登録させる運用。
2. トラステッド・コンタクト（信頼できる連絡先）: パスワードを忘れた際、あらかじめ指定しておいた家族や友人数名の端末に「復旧用の暗号コードの破片（秘密分散技術）」を送り、彼らの協力を得て初めてアカウントを復旧できる仕組み（ソーシャルリカバリー）。
3. 身元確認（IAL）の再実行: 銀行等の重要インフラでは、eKYC（運転免許証の撮影やマイナンバーカードの読み取り等）を再度実行させることで、アカウント作成時と同等の厳密な本人確認を行い、リカバリーを許可します。

今後は、これらの複雑なリカバリー手順や、第三者への安全な権限委譲（Delegation）のプロセス自体を、ベンダーごとにバラバラに実装するのではなく、OpenID Foundationなどの標準化団体が策定する共通プロトコル（標準化API）を通じて、業界全体で統一していく動きが加速しています。