#identity#security#enterprise#reliability#automation
Gmailアドレス可変時代のID設計: メール変更に壊れない認証基盤を作る
Gmailアドレス変更の対応範囲拡大は、企業システムに潜んでいた設計負債を顕在化させます。多くの業務システムは、メール文字列をそのまま本人識別子として使っており、変更イベントで一気に破綻します。
参考: https://www.itmedia.co.jp/news/
「メール=本人ID」をやめる
まず、次の3つを分離します。
- 本人識別子(不変の内部ID)
- 認証要素(メール、パスキー、SSO主張)
- 通知チャネル(請求・障害・監査通知)
この分離ができていないと、メール変更のたびに監査・課金・サポートが連鎖障害化します。
現場で起きやすい事故
- 変更後アドレスで別アカウントが生成される
- 請求情報や監査ログが旧アドレスに残留する
- MFA復旧先が退役アドレスのまま
- ドメイン文字列判定だけで権限制御している
原因は一つで、サービス境界を超えて「メール文字列参照」が残っていることです。
安全に移行する実装手順
- すべてのサービス間連携を不変principal ID参照へ移行
- メール履歴テーブル(旧→新、検証状態、変更者)を保持
- 高リスク変更時は既存セッションを再検証へ移す
- 支払い・鍵発行など重要操作は追加認証を必須化
B2B運用なら、管理者UIに変更履歴を表示し、いつ誰が変更したか追跡できる状態を標準化します。
乗っ取り対策としての運用制御
アドレス変更はアカウント乗っ取りの典型経路でもあります。
- 変更要求にリスクスコアリングを導入
- 高権限アカウントにクーリング期間を設定
- 可能なら旧・新アドレス双方へ通知
- 変更直後のAPIトークン新規発行を制限
「変更できるようにする」だけでは不十分で、変更直後の防御設計が必須です。
まとめ
メールアドレスの可変化が進むほど、ID基盤には厳密さが求められます。識別子・認証・通知を分離したシステムだけが、UXを維持しながら安全性を確保できます。
