複雑化する認証基盤、昨今のトレンドは?
「もう苦労しない!事例から学ぶ認証基盤開発のベストプラクティスとは?」というテーマで行われたマクニカ ネットワークスカンパニーの池田氏のセッションは、IDaaSソリューションの一つ、「Okta Customer Identity Cloud(powered by Auth0)(以下、Okta CIC)」の導入に多くの実績を持つTC3の中村氏との対談形式で行われた。
最初の話題は「認証基盤に関する最新のトレンドについて」。この池田氏の問いに対し、中村氏は「内部向けのWebアプリケーション(以下、Webアプリ)は、ID制限だけのケースもありますが、外部向けのWebアプリは、IDとパスワードを登録して利用させるという仕組みが必須です。そういう動きはここ10年ぐらい変わっていません」と語る。
新しい流れとしては、複数のWebアプリを提供する企業が増えたことで、ID統合が進んでいることがある。また認証基盤の実装の方法も変わりつつある。従来はスクラッチで開発することもあったが、AWSをはじめとするクラウドサービスが提供している認証認可機能を活用するケースが増えたこと。そのため、「実装のハードルはかなり下がりました」と中村氏は言う。
その一方で、難易度が上がっているのが認証方式のキャッチアップだ。サイバー攻撃の複雑化が進むにつれ、認証方式も多様化の一途をたどっている。Webアプリ領域やAI領域など、攻めのDXに特化して開発支援を行っているTC3では、「どんな認証方法があり、その標準はなんなのか。さらには政府が定める規制や仕様はどうなっているのかなど、認証認可の方式に追随することに苦労している人も増えているのでは」と中村氏は問いかける。認証認可の方式への追随という問題は、技術的な観点からだけではなく、ビジネス的な観点でも大きな課題になっているという。
続いて池田氏は「認証基盤が重要だと考える企業が増えているのはなぜなのか」と問いかける。中村氏は「顧客体験、セキュリティ、データ活用の3つを両立させるため」と言う。
認証認可を容易にすることは、顧客体験を向上につながるからだ。「例えば一般消費者向けのWebサービスの場合、パスワードレスで認証したいという話がよく出てきます。また複数アプリを提供している企業は、先ほども話した通り、一つのIDとパスワードで利用させたいというニーズも高まっている。これらは顧客体験や顧客のロイヤリティを向上させ、顧客の獲得につなげることができるからです」(中村氏)
セキュリティの担保は、ビジネスを継続させる上で欠かせない。「最近はB2BのWebサービスでも、MFA(多要素認証)の実装ができるかどうか問われることも増えています」(中村氏)
認証基盤とデータ活用は、一見つながりが見えないかもしれないが、例えばパーソナライズ体験を提供するには、一意のユーザーとして識別できるID管理の仕組みが必要になる。またビジネスを拡張するには、ID統合も欠かせない。