UXやセキュリティを向上すべく、認証・認可の課題をどのように乗り越えたのか?
新SUBARU IDの基盤構築でAuth0を選定 理由は実装負荷の低さ
2020年11月06日 09時00分更新
2020年11月4日、クラウド型のID管理サービスを提供するAuth0(オースゼロ)は記者発表会を開催し、最新の導入事例としてSUBARUの安室敦史氏が登壇。異なるIDシステムとの統合、改正個人情報保護法への対応、1つのIDでの一貫したマーケティング基盤の構築など、さまざまな課題をAuth0でどのように乗り越えたかが丁寧に説明された。
SUBARU 国内営業本部 ビジネスイノベーション部 将来ビジネス企画開発グループ主事、安室敦史氏
高度なID管理をサービスとして提供するAuth0
Auth0はIDaaS(Identity as a Service)と呼ばれるクラウド型のID管理サービスを提供しており、グローバルでは9000社を超える導入実績を誇る。
アプリケーション開発においてID管理は不可欠な存在。機能はおおむね標準的なのにもかかわらず、自社開発するとリソースを消費し、既存のサービスとの統合も手間がかかる。また、顧客がアプリケーションを利用する際のタッチポイントになるため使いづらいと顧客の満足度は一気に下がる一方で、データ漏えいが起こった場合は被害は甚大だ。こうした面倒だが、重要なID管理をサービスとして提供するのがAuth0だ。
Auth0ではログイン、パスワードリセットという基本機能に加え、SNSによるソーシャルログインやシングルサインオン、MFA(多要素認証)、パスワードポリシーの遵守、認可、ユーザー管理まで幅広いID管理機能を網羅している。APIやSDK、ドキュメントも完備しており、既存のシステムや他のサービスとの統合も容易。ユーザーの規模に応じて拡張できるスケーラブルさという特徴も持っている。
そんなAuth0を用いることで、統合的なID管理基盤を構築したのが自動車・航空宇宙のメーカーとして知られるSUBARUだ。SUBARU 国内営業本部 ビジネスイノベーション部 将来ビジネス企画開発グループ主事、安室敦史氏は、新SUBARU ID基盤の導入の背景やID管理によるデジタルマーケティング基盤について説明した。
SUBARUが属する自動車業界では、Connected(コネクテッド)、Autonomous(自動運転)、Shared(シェアリング)、Electric(電動化)を総称した「CASE」と呼ばれる100年に1度の大変革期にさしかかっている。こうしたトレンドに対応すべく、SUBARUでは安室氏の所属するビジネスイノベーション部 将来ビジネス企画グループが新規事業を手がけており、「SUBAROAD(スバロード)」というカーナビアプリを開発している。
あえてより道を提案する「SUBAROAD」
目的地までの最適な経路を案内する既存のカーナビに対し、SUBAROADは「あえてより道を提案するカーナビ」だ。これは別のメーカーからSUBARUの車に乗り換え、走行距離が大幅に伸びたというロイヤルカスタマーの声を元に作られたもので、ドライブを趣味にする人に向けて「新しい発見と走りがいのあるドライブコース」を提供するという。
1つのIDでサービスを利用でき、改正個人情報保護法への対応
SUBARUでは約3年前から「SUBARU ID」を使ったマイスバルという会員サービスを展開しており、会員数80万人、マイカー登録も55万人に及んでいる。しかし、会社や部署間の壁によって、個別ログインが必要なサービスも一部存在していた。「SUBARUオンラインショップ」や「ニュルブルクリンク24時間レース スバル応援ツアー」の申し込みは別のID基盤を使っていたので、別途ログインが必要だった。
SUBARU IDで利用できないサービスがあった
新SUBARU IDのプロジェクトではID基盤を統合し、顧客データベースと既存のIDとのひも付けるのが目的だ。メールアドレスに加え、電話番号、SNSなどをIDとして利用できるようにし、利便性を向上。また、検討期間から納車、アフターまで分断していたIDを統合して利用できるようにし、共通のデジタルマーケティング基盤での分析を実現するという。
そしてプロジェクトの大きな目的は、2020年6月に国会で成立した改正個人情報保護法への対応だ。これにより、企業は顧客が望まない場合にデータの利用停止を企業に請求できるようになる。そのような「使わせない権利」を顧客から要請された場合に、確実に対応できるようにするためには、同意取得などの情報をもれなく管理できる顧客管理データベースの構築が急務だった。
改正個人情報保護法への対応
プロジェクトの立ち上げは2019年8月で、RFPを経て、Auth0の導入が決まったのは2ヶ月後の10月になる。要件としては、会員登録時、会員情報変更時に二要素認証を実施できること、SNSによるソーシャルログイン連携が可能なこと、アカウントロックやタイムアウト、同時ログオン禁止などの制御ができることといった要件のほか、高リスクと判断された場合の追加認証やアクティブユーザーに対する安定した性能、既存システムからの移行性、運用保守性なども重視されたという。
こうした要件の中、Amazon CognitoやBarista、OneLoginなどの競合サービスに比べたAuth0のメリットは、65以上という対応言語の幅広さ、40以上のソーシャルログイン対応、豊富なエンタープライズディレクトリとのフェデレーションなど。また、全アプリケーションでシングルサインオン(SSO)に対応するほか、ログインウィジェットがデフォルトで用意されている点も大きかった。「たくさんのサービスで認証が必要になるので、とにかく実装負荷が低いのがありがたかった。対応言語も多いし、SDKやドキュメントも充実していた。MAU課金も低コストにつながった」と安室氏は評価する。
ID基盤サービスとの比較
現在、同社はSDKを組み込んでいる途中で、12月には新SUBARU IDの基盤もカットオーバーする見込み。新型コロナウイルスの影響でプロジェクトが一時凍結となったり、大企業ならではの組織間の調整もあったが、安室氏は「お客さまのことを考えたら、優先的にやるべきことというコンセンサスがとれた。だから苦労した点は基本的にはなかった」と振り返る。
