パスキーがもたらすユーザー体験と考慮すべきポイント
このようなメリットを持つパスキーをアプリやWebアプリに組み込むにはどうすればよいか。それを可能にするため、2024年1月31日、Oktaは「Okta Customer Identity Cloud (powered by Auth0)」で、パスキーの正式リリースを開始した。「早期アクセスではなく、本番環境で使えるものとして一般提供を開始している」と池原氏は力強く語る。料金プランは複数あるが、無料版を含むすべてのプランでパスキーが使えるという。「既にこのソリューションを使っている方は、有効にしていただくだけ。まだ使っていない人はぜひ試してほしい」(池原氏)
パスキーを使う考慮点についても池原氏は言及した。先行して導入している企業の中では、ユーザーを置き去りにしない設計や、問題が発生したときにどうするかという点について、試行錯誤していることが多いという。
パスキーを使う際に考慮すべき点の第一はユーザー体験をどう設計するかだ。ポイントは3つある。1つ目のポイントはオンボーディング。新規ユーザーはもちろんだが、既存ユーザーへの配慮を十分、考えること。新規、既存ともに強制しないような設計をしながらも、パスキーを使ってもらえるようにいかに促すかを考える。たとえば新規ユーザーであれば、新規登録時に「パスキーを使ってみませんか」とシンプルに提案する。一方、既存ユーザーに対しては、サインインのフローの中に差し込むなどだ。パスワード認証後、パスキーの利用オプションを提示するのである。「Okta Customer Identity Cloudでは、ログインフローの中に提案を挟み込める機能を設けている」と池原氏は加える。
2つ目のポイントはログイン時の体験だ。具体的にはどのようなログイン画面にするのが得策なのか。一つはオートフィルを活用すること。パスワードマネージャーの利用を前提とすることで、IDの入力時に、パスキーが利用できるユーザーにはパスキーの利用を促すダイアログを提示するという方法だ。次にパスキーを使用するためのボタンを明示的に表示すること。こうすることで容易にパスキーでのサインインへと促すことができる。今回紹介したログイン画面では、Googleアカウントでサインインするという選択肢も加えている。ユーザーの選択肢を設けることは、ユーザー体験の向上につながるからだ。
とはいえ、サインインするIDを増やすのは「問題がある」と池原氏は指摘する。いろいろなIDでのサインインを提示しすぎると、ユーザーが混乱するからだ。「そのため既存のサービスがどの認証方式に対応しているのかをきちんとチェックしながら、検討していくことが必要になる」(池原氏)
3つ目のポイントはアカウントリカバリー。たとえばDevice-bound passkeysの場合は、パスキーが登録されている端末を紛失したり、故障したりすることが起きるかもしれない。またSynced passkeysの場合は、パスキーが共有されているアカウントへのアクセスが永遠にできなくなった場合も考えられる。
このような場合を考慮して、「何かしらのフォールバックを作っておく必要がある」と池原氏は言う。フォールバックのよくある手が、登録してもらったEメールアドレスを使って認証してもらうというもの。IDとパスワード認証を行い、リカバリーの際に、再度パスキーの登録をしてもらうというような方法である。Oktaでもパスキー機能を提供する際に、アカウントリカバリーについては社内でかなり議論したという。まだ正解がわからないからだ。「それぞれのサービスにあったパターンで、何かしらのフォールバックを作っておくことが必要だ」と池原氏は言及する。
パスキーを使う際に考慮すべき点の第二は日々進化するOSやブラウザのサポート状況への対応である。OSやブラウザのサポート状況は日々、変化し続けている。たとえば2023年の夏にはmacOSでFirefoxを使うとパスキーを利用できなかったが、イベント直前の2024年1月のリリースで利用が可能になっている。「ブラウザサポートもどんどん進化している。どこに制限があるかは理解する必要がある」と池原氏は言う。
Okataでは顧客と話をすることで、求められている機能を実装していくという。
これまでパスキーに関心を持ちながらも、実装への一歩がなかなか踏み出せなかった人も多かった。だが今後、パスキーは広がっていくことが想定される認証方式である。「ぜひ、我々のプロダクトで試してほしい」最後にこう語り、セッションを締めた。
