テクノロジーコンサルタントの小池です。
ECサイトでの会員登録やお問い合わせなどでは、ますます個人情報の管理が重要視されるようになってきています。
とは言え、IDやパスワード、その他の重要な情報の管理にはこれまで大きなコストがかかっていたため、セキュリティ対策が事業を進めるうえでのボトルネックになるケースも見受けられました。
そこで今回ご紹介したいのが、ID・パスワード管理に特化したIDaaS(identity as a service、複数のIDやパスワードをクライドで一元管理できるサービス)である、「Auth0」です。LIGではAuth0導入のお手伝いもしています。この記事ではAuth0とはなにか、メリットとともにお伝えできればと思います。
目次
そもそもAuth0とは?
Auth0はログインまわりの機能全般を提供しているプロダクトです。機能としては、IDやパスワードを登録して会員登録をするという基本的な機能に加え、Google、Apple、Facebook、Instagramなど、いろいろなSNS認証にも対応しており、高いユーザビリティが特徴と言えます。
IDパスワードの桁数なども会社のセキュリティポリシーに則って構築できるため、途中からでも柔軟に導入が可能です。
Auth0はテナントがいくつあってもそれぞれの認証を設定し、一元管理が可能なため、複数のブランドを持つ企業にも向いています。
そもそもなぜIDaaSが求められるのか
そもそもなぜIDaaSが求められるようになっているのでしょうか。そのひとつの答えは、シングルサインオン(SSO)のニーズの増加です。
例えば、ディズニーランドでは公式サイトの会員やショーの抽選用アプリなど、1社がさまざまなアプリを提供しています。他にも、M&Aによりどんどんサービスが増えていき、自社にアプリやサービスが乱立する場合もあるでしょう。
この場合、何も対策しなければ各サービスによってバラバラのIDとパスワードを使わなければならず、ユーザーからすると面倒です。
こうしたバラバラになっているサービスをひとつのIDとパスワードでログインできるようにし、自社でユーザーの情報を一元管理するのがシングルサインオンという仕組みであり、IDaaSが大いに役立つのです。
IDaaSを使わずに自社でパッケージやオープンソースでつくる場合、常にセキュリティを最新にアップデートする必要があります。不正な業者も日進月歩で技術を習得するので、そういった人たちに対応していくためのセキュリティ対策を自社で進めるには、相応のリソースが求められます。
一方で、IDaasであれば、セキュリティは常に最新に保たれ、自社で運用・管理する必要はありません。導入に関しても、基本的な設定ならクリックとIPの設定程度で済むため、コスト面でも大きなメリットがあります。
Auth0の優れている点とは
Auth0が優れている点としては、以下の4点が考えられます。
- 段階的にセキュリティレベルを調整できる
- 実績が豊富
- 金額がおさえられる
- 複雑な認証への対応
段階的にセキュリティレベルを調整できる
Auth0を導入する1つ目のメリットとして、段階に合わせてセキュリティレベルを調整できるという点が挙げられます。
銀行のeKYC(electronic Know Your Customer、オンライン上で本人確認を完了させる仕組み)で使えるくらいなので、グレードが高くなるほど料金は上がりますが、少しでも情報漏えいを気にする企業なら導入する価値はあるでしょう。
例えば、最近流行ってるD2C(消費者直接取引)のような自社で小規模にコスメを売っており、年商1億円くらいのECサイトを構築したとします。では、そのサイトに強いセキュリティが必要かというとそうではなく、通常ならID・パスワードとSNS認証で事足ります。
しかし、ECサイトがもっと大きくなると、管理する顧客情報も増え、情報漏えいのリスクも増大します。ここではじめて、IDパスワード以外のセキュリティ性の高い認証方法が必要になります。メールアドレスを登録してアドレス宛に送られたメールのURL先から本人確認をしたり、ボット検知のためのキャプチャ機能を搭載することで、簡単にセキュリティを向上することができます。
また、Appleがやってるような生体認証やSMS認証、プッシュ認証などを導入するのも手です。
このように、現在は必要なくても、状況や規模に応じてその時々で必要なセキュリティ機能を追加できる点がAuth0の強みです。
実績が豊富
Auth0は実績が豊富で信頼性が高いIDaaSと言えます。日本企業でも、スバルやマツダ、ドコモ、シャープなどの大企業で導入実績があります。ログインまわりのツールは長く使うことが想定されるので、実績のあるサービスだと安心です。
大企業ではなくても、個人情報を扱う会社、例えば旅行代理店などでもクレジットカードの情報など重要情報を扱います。こうした企業であれば幅広くAuth0をおすすめできると思います。
金額が抑えられる
IDaaSには、Auth0の他にもAzure ADなど類似のサービスが複数ありますが、toBのシングルサインオンを想定したサービスが多く、toC向けのものはそれほど多くありません。
toB向けのサービスをtoCで使ってしまうとコスト面も高くつくので、一般ユーザーの情報を管理したいならAuth0はかなり優れていると言えます。
また、オープンソースで開発するとメンテナンスにも大きなコストがかかってしまいますが、Auth0では常に最新版のプロダクトが使えるため、支出を抑えながらセキュリティ対策が可能です。
複雑な認証への対応
また、その他にAuth0が優れている点として、複雑な認証への対応があります。例えば銀行が提供するアプリでは、写真を撮る際に免許証の情報も銀行に送るなど「eKYC」と呼ばれる認証の仕組みを使いますが、Auth0ではこうした方法もすべてカバーすることができます。
サイトにログインする際などは、セキュリティ上必要なプロセスであってもユーザー側にとっては面倒なことが多いものです。連続する文字はいくつまで、大文字を入れてなど……。Auth0でももちろんこうしたセキュリティ要件を設定することは可能ですが、ユーザーに負担を与えない認証方法を導入することで、ユーザー体験が向上することが期待できます。
メディアやECサイトを運営するうえでもっとも気を付けなければならないのが、ハッキングやログイン情報の不正使用です。
例えば「リスト型攻撃」というものがありますが、Auth0ではこのような行為が行われた可能性がある場合、システムが検知してログインを一時的に停止させる措置を取ります。また、「総当たり攻撃」と呼ばれる手法、いつも使っていないIPアドレスからのログインなど、不審な動きがあればユーザビリティを毀損せずにセキュリティを保護してくれます。
Auth0がマッチしないケースとは
企業のセキュリティ対策は、ID・パスワードの統合管理がスタート地点になると思っています。統合管理をしたうえでCRMと組み合わせてお客様情報を一元管理すれば、マーケティングにつながるようなビッグデータや、お客様のペルソナ特定につなげていくことも可能です。
このように、Auth0と他のツールや仕組みを組み合わせてお客さん情報を集約し、ECやユーザー動向を分析してマーケティングに活用していく、というのが我々としては効果的だと考えています。
一方で、Auth0のデメリットも考えてみると、柔軟性の高い運用は難しいという点が挙げられます。Auth0は海外のパッケージであり、海外では一般的にSaaSパッケージにあわせて既存業務を変えていくことが多いのですが、日本のお客様は逆に既存の業務にあわせてパッケージ自体を変えたいというニーズが根強くあります。
しかし、Auth0はログインまわりがある程度決まったフォーマットでつくられているので、「ID・パスワードの入力前に必要な項目を入れてもらいたい」などの特殊なログインフローを想定している企業には向かないかもしれません。
さいごに
- この記事の内容のまとめ
-
- Auth0はユーザビリティに配慮したIDaaS
- 段階的にセキュリティを上げるられる
- 導入実績が豊富
- 導入費用を抑えられる
- 複雑な認証にも対応可能
セキュリティ対策は事業を進めるうえで重要な要素ですが、それだけに費用や工数をかけるわけにはいきません。自社サービスのセキュリティにお悩みの企業さんにとって、この記事が少しでも役立てば幸いです。
LIGではAuth0導入のお手伝いもしています。導入を検討されている企業さんは、ぜひご相談ください。
