LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
ラックピープル | 

顧客IDをデジタルビジネスの中核に#2 サービス開発のコツはメイン機能への集中とID認証システムの活用にあり

さまざまな場面で「デジタルトランスフォーメーション(DX)をやろう!」と叫ばれています。しかし、経営者の皆さんの立場からすると、何から手を付けていいのか分からないというのも本音でしょう。一方、情報システム部門では"守り"だけでなく、「売り上げに貢献しよう」と"攻め"を求められて困っているという方が多くいらっしゃいます。

この連載は、デジタルビジネスにおいて1on1マーケティングなど「人」が重要となることに焦点を当てています。前編では、セキュリティ要素として、認証が重要になること、その上で顧客IDがデジタルビジネスの中核になることをお伝えしました。後編となるこの記事では、BtoCやBtoB向けの顧客ID管理について、ラックの具体的なアプローチを紹介します。

"ID管理"には、多くの実施項目がある

一見シンプルに見えるID管理ですが、実は多くの実施項目があります。

IDとパスワードを保管する観点では、会員登録設計(ユーザの離脱を防ぐ設計)、多要素認証の実装、ソーシャル(Google、Apple、Facebookなど)のログイン実装、さらにPCだけでなく、モバイルへの対応も必要となります。利用者が触れる入力フォームでは、設計はもちろん、メンテナンス・バージョンアップ、外部IDとの連携などを考慮する必要があります。これらをスピーディーに用意するだけでなく、セキュリティの確保でも継続的かつすばやい取り組みが必要です。

サービス開発において重要なこと

サービス開発において重要なのは、メイン機能の開発に集中し、認証部分のセキュリティに時間を取られ過ぎないことです。

2017年のOWASP TOP 10では、"Broken authentication(認証の不備)" が第2位となっています。2021年では、"Identification and Authentication Failures(識別と認証の失敗)" と、識別の失敗に関連するCWEをより多く含む意味合いのカテゴリとして第7位と、依然としてトップ10に示すべき重要な項目となっています。

開発メンバーはとにかくメイン機能の開発に集中し、サービスはスピーディーにつくる、認証は既存の認証システムに統合するのがよいでしょう。

解決策は「CIAM」

CIAMというソリューションカテゴリをご存知でしょうか?Customer Identity Access Managementの略で、文字通り顧客ID管理のことです。
ちなみに、多くの企業で業務利用している各システム、特にSaaSについてのID管理はEIAM(Enterprise Identity Access Management)と呼ばれます。

前述した「ID管理の実施項目」について、多くのCIAMソリューションでは、これらをGUIで簡単に設計でき、認証のセキュリティを強化、複数サービスへのログイン統合により、ユーザ行動の可視化や利便性の向上を実現できます。

情報システム部門にとってはチャンス

これまでは社内のインフラを安定して提供してきた情報システム部門の方にとって、攻めのITは苦手意識があるかもしれません。しかし、恐れることはありません。例えばActive Directoryに触れたことがあるという方は多いでしょう。私は趣味欄に「Active Directory」を書いてしまうほど、触れてきました。Active Directoryは社内のID統合基盤です。CIAMも考え方としては似たようなものです。これまでの経験を生かして、攻めのITでデジタルトランスフォーメーションを実現しましょう。

認証統合イメージ

CIAMの構成はいたってシンプルで、各アプリケーションの前に顧客ID基盤をおき、CIAMが認証・認可を行います。サービスが追加されるときには、顧客ID基盤に追加するだけです。

認証統合イメージ

この顧客ID基盤には、すべての認証情報が保存されます。ここから、セキュリティに関する情報を、Splunkなどが提供していることで知られる「SIEM(Security Information and Event Management)」に連携するほか、CDP/DMPなどのマーケティング情報、BI/DWHなどの分析システムに情報を連携することで、攻めのデータとしても守りのデータとしても活用し、次のアクションにつなげます。

さいごに

ラックでは、「Okta Customer Identity」をベースとして、顧客IDをデジタルビジネスの中核にするための支援をしています。ID統合は簡単ではありませんが、やらずにDXは実現できません。さらに具体的に顧客IDの活用を掘り下げるために、次回はID統合の進め方を、ラックのよりコアなエンジニアが紹介します。

この記事は役に立ちましたか?

はい いいえ
関連サービス
Okta導入支援サービス