複雑化する認証基盤、昨今のトレンドは?
「もう苦労しない!事例から学ぶ認証基盤開発のベストプラクティスとは?」というテーマで行われたマクニカ ネットワークスカンパニーの池田氏のセッションは、IDaaSソリューションの一つ、「Okta Customer Identity Cloud(powered by Auth0)(以下、Okta CIC)」の導入に多くの実績を持つTC3の中村氏との対談形式で行われた。
最初の話題は「認証基盤に関する最新のトレンドについて」。この池田氏の問いに対し、中村氏は「内部向けのWebアプリケーション(以下、Webアプリ)は、ID制限だけのケースもありますが、外部向けのWebアプリは、IDとパスワードを登録して利用させるという仕組みが必須です。そういう動きはここ10年ぐらい変わっていません」と語る。
新しい流れとしては、複数のWebアプリを提供する企業が増えたことで、ID統合が進んでいることがある。また認証基盤の実装の方法も変わりつつある。従来はスクラッチで開発することもあったが、AWSをはじめとするクラウドサービスが提供している認証認可機能を活用するケースが増えたこと。そのため、「実装のハードルはかなり下がりました」と中村氏は言う。
その一方で、難易度が上がっているのが認証方式のキャッチアップだ。サイバー攻撃の複雑化が進むにつれ、認証方式も多様化の一途をたどっている。Webアプリ領域やAI領域など、攻めのDXに特化して開発支援を行っているTC3では、「どんな認証方法があり、その標準はなんなのか。さらには政府が定める規制や仕様はどうなっているのかなど、認証認可の方式に追随することに苦労している人も増えているのでは」と中村氏は問いかける。認証認可の方式への追随という問題は、技術的な観点からだけではなく、ビジネス的な観点でも大きな課題になっているという。
続いて池田氏は「認証基盤が重要だと考える企業が増えているのはなぜなのか」と問いかける。中村氏は「顧客体験、セキュリティ、データ活用の3つを両立させるため」と言う。
認証認可を容易にすることは、顧客体験を向上につながるからだ。「例えば一般消費者向けのWebサービスの場合、パスワードレスで認証したいという話がよく出てきます。また複数アプリを提供している企業は、先ほども話した通り、一つのIDとパスワードで利用させたいというニーズも高まっている。これらは顧客体験や顧客のロイヤリティを向上させ、顧客の獲得につなげることができるからです」(中村氏)
セキュリティの担保は、ビジネスを継続させる上で欠かせない。「最近はB2BのWebサービスでも、MFA(多要素認証)の実装ができるかどうか問われることも増えています」(中村氏)
認証基盤とデータ活用は、一見つながりが見えないかもしれないが、例えばパーソナライズ体験を提供するには、一意のユーザーとして識別できるID管理の仕組みが必要になる。またビジネスを拡張するには、ID統合も欠かせない。
認証基盤開発にたちはだかる3つの課題をIDaaSで解決
だがこれらを両立させる認証基盤をつくるのは簡単ではない。「どのような課題が立ちはだかるのか」と池田氏は中村氏に問いかける。
「課題は3つある」と中村氏。第一の課題は認証基盤のサイロ化だ。「これは私たちが最もお客さまから聞く課題です」と中村氏は続ける。2010年代からWebアプリの開発が始まり、多くの企業は必要なタイミングでさまざまなWebアプリをつくってきた。「そのため認証認可の機能もすべてサイロ化されてしまったのです」と中村氏は明かす。これまでWebアプリの開発現場では、スピーディーにアプリを作って、顧客に展開することが重視されていた。同じ企業が提供しているサービスなのに、サービスごとに異なるIDとパスワードが求められるため、「顧客体験が悪い」「買い回りを期待したが、その導線が無い」という状況に陥っているのだ。「認証基盤のサイロ化の改善に取り組む企業が増えています」(中村氏)
第二の課題は属人的なメンテナンス。IT業界は人材の流動化が進んでいる。そのため、アプリを設計、開発したエンジニアが退職してしまったというケースも珍しくない。実際、中村氏が担当した顧客の中にも、アプリの認証基盤を担当していたエンジニアが退職し、ID周りのクレームに対応できなかったケースがあるという。「ソースコードを読んだり、ログを掘り起こしたりして、アプリの問題なのかそれ以外なのか、問題を切り分け、ようやく対応できました。アプリの開発がサイロ化されていることで、セキュリティ体制も開発者に依存してしまうため、どうしてもメンテナンスも属人化してしまうのです」(中村氏)
第三の課題は複雑な認証トレンドへの追随。先述したように認証認可に関わらず、テクノロジーの進化は早く、多様化・複雑化の一途をたどっている。そのため新しい技術トレンドへの追随は、エンジニアにとって至難の業となっているのだ。
これらサイロ化、属人化、複雑化という認証認可にまつわる課題を解決するのが、認証基盤統合という考え方である。その手段の一つとして導入が進んでいるのが、複数サービスのIDやパスワード情報を一元管理するクラウドサービスIDaaSである。IDaaSを導入すれば、サイロ化や属人化が解消されるだけではない。認証技術のトレンドへの追随もIDaaS側に任すことができるため、複雑化も解消される。「IDaaSはビジネスサイドが求めるSSO(シングルサインオン)やパーソナライゼーションへの、最初の一歩となるソリューションだと思います」(池田氏)
IDaaSを導入する際に注意すべきポイント
IDaaSの導入で、どんな課題を解決したのか。中村氏が紹介したのは、MS&ADインターリスク総研の導入事例だ。MS&ADインターリスク総研はMS&ADインシュアランスグループが展開するリスク関連サービス事業の中核企業。同社では新規でWebアプリを複数展開するにあたり、後に認証基盤やID管理が問題にならないよう、早期から共通認証基盤の構築を検討したという。
MS&ADインターリスク総研が共通認証基盤を開発するために採用したソリューションが、Okta CICである。Okta CICの認証認可機能とセキュリティ機能は、基本的にAPIベースのサービスとなっている。
また同社の案件では「組織ユーザー」という概念も取り入れた。同社はB2Bビジネスを展開しており、組織としてアプリを使うことが想定されたからだ。Okta CICではOrganizationsというマルチテナント認証認可機能が提供されているが限定的な活用になるため、中村氏は「私たちの方で組織データベースを作成し、実装しました」と語る。
現在は共通認証基盤上で複数のWebアプリが稼働。今後もアプリの数は続々増えていく予定だと言う。
IDaaSを活用する際に気をつけるべきポイントについても中村氏は紹介。第一は、ユーザー管理ポータルの開発だ。IDaaSはユーザー管理ポータルの機能を提供していないため。MS&ADインターリスク総研の案件でも、「属性情報の管理や、利用できるアプリの管理などができるユーザー管理ポータル、業務ユーザー向けの管理ポータルについては、TC3が業務フローを確認しながらスクラッチで開発しました」と中村氏は話す。また画面設計の際には、どんなユーザーにどこまでの情報を見せるのかなどの整理をすることも重要だという。
第二に業務プロセスに合わせたフローの設計。Okta CICはID・パスワードというような基本的なサインアップは実装可能だ。だが企業の中には、ユーザー登録の際に反社チェックを入れるなど、業務プロセス上、特定のステップを組み込みたいというケースもある。「こういう場合は、作り込みが必要になります」(中村氏)
第三は、組織としてユーザー管理。MS&ADインターリスク総研のようにB2Bサービスだけではなく、昨今ではB2Cサービスでも、家族間でIDの使い回しによるセキュリティリスクを削減するよう、ファミリープランなど家族単位で認証認可できる仕組みを提供するケースも増えている。組織に対して利用を許可するような構造を実現するには、IDaaSの技術だけでは足りないため、「組織ごとの管理、組織ごとに使えるアプリケーションを制御する設計・開発が必要になる」と中村氏は言う。
こうしたベストプラクティスに関してOktaなどから、ユーザーアイソレーションモデルに関するドキュメントが用意されているという。それらを参考にして開発するのも一つの手だが、TC3ではこれらの解決策として、カスタマー・エンゲージメント・ハブ「TACTNA」を用意している。「TACTNAを活用することで、自社業務に合わせたユーザー向けの管理サイトを簡単に準備。また、課金管理や契約管理などのカスタマイズUIの追加やさまざまなユーザーの状態変化に応じた他システムへのワークフローの定義も可能です。開発者向けの管理ナビも提供しており、スピーディーにアプリも追加できる。企業の業務に合わせた形で実装できます」(中村氏)
認証認可機能はIDaaSに、IDaaSが提供していない非機能系の要素やポータル関連の顧客向けユーザーインターフェイスはTACTNAに任せる。顧客体験、セキュリティ、データ活用の3つが両立する認証基盤開発のベストプラクティスと言えそうだ。最後に池田氏は、「ぜひ、気軽に相談してほしい」と参加者に呼びかけ、セッションを締めた。
顧客向け認証基盤プラットフォーム「Okta Customer Identity Cloud(CIC)」とは?
統合管理/セキュリティ強化/開発人材不足の課題をIDaaSで解決。Okta CICの活用場面や機能をご紹介します。