リンクをコピーしました!

ポストバーナー時代:GoogleがIDを分離

ついに、データを失うことなくGmailアドレスを変更できます。 これは、この変化の背後にあるエンジニアリングの現実と、それがデジタルアイデンティティに何を意味するのかです。

🌐
機械翻訳

この記事は英語の原文から自動翻訳されています。 英語の原文を読む

サーバー室でデータストリームによって再構築されている輝くホログラフィックデジタルアバター。デジタルアイデンティティの流動性を表しています。

20 年間、Gmail アドレスは単なる受信箱ではありませんでした。それはデジタルタトゥーでした。高校生のときに cooldude88@gmail.com を作成した場合、その文字列は YouTube の履歴、ドライブ ファイル、Android で購入したものに構造的に結合されています。この問題から逃れるには、アカウントを消去して最初からやり直す必要があり、その過程で 10 年分のデジタル資産を失いました。

2025 年 12 月 24 日、そのアーキテクチャの硬直性はついに粉砕されました。

Google は、ユーザーがアカウント履歴を保持したままプライマリ @gmail.com アドレスを変更できるようにする段階的なロールアウトを開始しました。これは単なる表面上のエイリアス機能ではありません。これは、ユーザーのログイン資格情報をデータベース ID から切り離すための基本的なものです。消費者のメリットは明白ですが(恥ずかしい履歴書がなくなる)、その根底にあるエンジニアリングの変化は、Google が「アイデンティティ」自体を処理する方法の大規模なリファクタリングを意味します。

不変性のアーキテクチャ

なぜこれに 20 年かかったのかを理解するには、データベース スキーマを調べる必要があります。長年にわたり、Google サービスは GAIA ID (Google アカウントおよび ID 管理) に依存していました。

従来のアーキテクチャでは、GAIA ID は内部数値主キーでしたが、電子メール アドレス文字列は、異種システムの数十億行のデータ (YouTube のコメント、Play ストアのレシート、マップのレビュー) にわたってハードコーディングされた外部キーとしてよく使用されていました。電子メール アドレスの変更は、ユーザー テーブルの 1 つのフィールドを更新するだけではありません。エコシステム全体でカスケード更新する必要があり、そのエコシステムは大きすぎて簡単にリファクタリングできませんでした。

新しいアップデートは、Googleが大規模な「アイデンティティの分離」プロジェクトをついに完了したことを示唆している。おそらく、すべてのダウンストリーム サービスを不変の GAIA ID ポインターのみに依存するように移行し、電子メール アドレスを厳密に変更可能な属性として扱っていると思われます。

データベース移行の課題

この移行は、おそらくデータベース史上最大規模の「ホット スワップ」の 1 つでした。 20 年間、Adsense の支払い表から Google マップのレビューに至るまで、数え切れないほどの Google サービスが電子メール文字列をシャーディング キーやインデックス列として使用していたと考えられます。

メール アドレスを変更可能にするには、Google エンジニアは次のことを行う必要がありました。

  1. スキーマのリファクタリング: email を主キーとして使用するモノリポジトリ内のすべてのデータベース テーブルを体系的に探し出し、それを gaia_id に移行します。
  2. 二重書き込み: 電子メールと GAIA ID の両方が記録される二重書き込みフェーズを実装し、ペタバイト規模のストレージ全体でデータの一貫性を確保します。
  3. バックフィル: 大規模な MapReduce ジョブのスクリプトを作成して、gaia_id を電子メール アドレスのみを持つ数十億の従来の行にバックフィルします。
  4. ポインターの交換: スイッチを切り替えて、検索で文字列よりも ID が優先されるようにします。

これは段階的な展開の説明になります。このスイッチをグローバルに切り替えると、データが「孤立」するリスクがゼロではありません。つまり、ユーザーがメールを変更すると、その特定のシャードがまだ old@gmail.com を探していたため、2014 年の Picasa アルバムが突然消えてしまいます。 3 回の変更制限はセキュリティのためだけではありません。おそらく、これらの大規模な伝播イベントの書き込み負荷も制限されます。

Iuser=PGAIA+{Aemail,Aphone,Arecovery}I_{user} = P_{GAIA} + \{ A_{email}, A_{phone}, A_{recovery} \}

以前は AemailA_{email} がログイン目的で PGAIAP_{GAIA} として効果的に機能していましたが、現在は別個のエンティティになっています。

「エイリアス保持」メカニズム

この実装により、リンク切れによる混乱が防止されます。アドレスを old@gmail.com から new@gmail.com に変更しても、システムは古い文字列を削除しません。

  1. 永続的な転送: 古いアドレスは自動的に永続的なエイリアスに変換されます。そこに送信された電子メールは、新しい受信トレイに永久に (またはエイリアスを削除するまで) 受信されます。
  2. ログイン ロックアウト: 古い文字列では サインインできなくなり、新しい ID への意識の移行が強制されます。
  3. 「バーナー」防止: メールアドレスを変更することはできません。1 週間待ってから、古い名前で 新しい アカウントを作成することはできません。エイリアスは、名前空間を GAIA ID にロックします。

この「エイリアス保持」はセキュリティにとって重要です。 Google が old@gmail.com をパブリック プールにリリースした場合、悪意のある攻撃者がそれを要求し、その電子メールにまだリンクされているサードパーティ サービス (銀行や Netflix など) のパスワードをリセットする可能性があります。 Google は、古いアドレスを元のアカウントにロックすることで、ID のリサイクルに伴う「アカウント乗っ取り」のリスクを無効にします。

企業の悩み: IAM と SSO

消費者が喜ぶ一方で、IT管理者はパニックに陥っている可能性が高い。企業の世界では、電子メール アドレスがシングル サインオン (SSO) 統合の「ユーザー プリンシパル名」(UPN) になることがよくあります。 Salesforce、Slack、AWS などのサービスは、多くの場合、権限を特定の電子メール文字列 employee@company.com にマップします。

Google のアップデートは技術的には Workspace アカウントにも適用されますが、管理者はそれを無効にすることができます。ただし、従業員が個人の Gmail アカウントを使用して請負業者ポータルにアクセスする「Bring Your Own Identity」(BYOI)環境では、この可変性が重大な脆弱性を生み出します。

請負業者が電子メールを contractor.john@gmail.com から john.dev@gmail.com に変更すると、文字列の一致に依存する従来のアクセス コントロール リスト (ACL) はすぐに失敗します。安定した GAIA ID に対応する sub (件名) クレームに対して検証する最新の OpenID Connect (OIDC) 実装は、引き続き機能します。ただし、検証のために電子メール アドレスをスクレイピングする何千もの古い、不十分に作成された内部アプリは、事実上、壊れるのを待っている時限爆弾です。この機能により、Web 全体で Identity Access Management (IAM) プロトコルが急速に最新化されます。

競争: リンゴとプロトン

タイミングは守備的だ。 Apple の電子メール マスキング機能と、Proton のようなプライバシー重視の競合他社により、電子メール アドレスは名前ではなく使い捨てのルーティング トークンであるという考えが標準化されました。

Apple のアプローチは事実上「アイデンティティ シャーディング」です。つまり、対話するすべてのサービスに対して無限の固有のプロキシを作成します。これによりプライバシーは最大限に確保されますが、ユーザーのデジタル ペルソナは断片化されます。逆に、Googleは「アイデンティティの継続性」に力を入れている。彼らは、広告ネットワークと AI モデルのためのより明確なシグナルを蓄積するために、ユーザーに * 1 つの * アカウントを生涯保持してもらいたいと考えています。

中身を捨てずに箱のラベルを変更できるようにすることで、Google は Z 世代のユーザーを維持する戦略的な取り組みを行っています。この層は、静的なデジタル フットプリントを負債とみなしています。彼らは、YouTube プレイリストや写真の思い出を失うことなく、自分自身を再発明する自由を望んでいます。

流動性の限界

これは匿名性を目的としたライセンスではありません。 Google は、ブロックリストを回避するためにアドレスを循環させようとするスパマーによる悪用を防ぐために、厳格なレート制限を課しています。

  • フリークエンシー キャップ: アカウントごとに年間 3 回の変更。
  • クールダウン: 制限に達した後、提案されている 12 か月のロック。
  • 元に戻すウィンドウ: ペナルティなしで直前の状態に戻すための 30 日間の猶予期間。

これらの制約により、Identity は変更可能ですが、「一時的」ではないことが確認されます。 Googleは依然として、ユーザーの行動を永続的に追跡可能なグラフで表したいと考えている。グラフのブランドを変更できるようにしているだけです。この機能を賢く使用してください。ストライクは 3 回だけです。

出典

Advertisement

🦋 Bluesky での議論

Bluesky で議論する

投稿を検索中...