「ユーザー体験が重要視される中、その最初のステップであるログインにもっと注目すべき」と語るのは、認証サービスOkta(オクタ)のカスタマーアイデンティティ担当プレジデントのシヴァン・ラムジ(Shiven Ramji)氏だ。Oktaは、10月に開催した自社イベント「oktane23」にて、「Go Beyond with AI and Identity」をテーマに、AIなどの技術を利用して認証を安全にスムーズにする世界を描いた。ここではラムジ氏の話を中心にまとめる。
ログインは実は複雑、ユーザー体験のスタート地点で戦略的な領域
ログインはユーザー体験の最初のステップだ。Oktaはそのログインに必要な認証サービスを提供するベンダーで、従業員向けの「Workforce Identity Cloud(WIC)」と顧客向けの「Customer Identity Cloud(CIC)」の2種のクラウドサービスを展開する。後者はOktaが2021年に買収したAuth0を元にしており、2つのクラウドは共通の技術基盤を持っている。
Auth0出身でCICを担当するラムジ氏は、「ログインはログインボックスを用意するだけのように見えるが、実に複雑だ」と話す。
複数国に顧客がいるのであれば、各国の規制に準ずる必要がある。ヘルスケアや金融など業界の規制も考慮しなければならない。また、顧客が増えれば拡張する必要があり、性能も重要になる。もちろん、その国の言語にローカライズする必要もある。単にユーザーインターフェイスを翻訳するだけでなく、2要素認証を提供する場合は端末に送るメッセージもローカライズしなければならない。そして、SMSプロバイダは国により異なり、それぞれにインテグレーション作業が生じる。もちろん、安全対策はいうまでもない。
そこで、これらの機能を容易に構築できる、OktaのCICのようなサービスに注目が集まっているという。
ログイン体験がよくなければ、顧客は去ってしまう。その先に優れたサービスや体験を提供しても、入り口を通過しなければ意味がない。「顧客体験のスタート地点であり、実に戦略的な領域だ」(ラムジ氏)。
大手ホテルチェーンは、CICの導入により、開発コストを85%削減
Oktaは、2022年のOktaneにて、既存の従業員向けの認証サービスをWIC、Auth0を顧客向けのCICと位置づけた。ちょうど1年が経過して、WICを利用する既存のOkta顧客が、CICも導入するケースが増えているという。ラムジ氏は、「Auth0に比べてOktaの知名度は高い。開発資金や営業の面でも、買収によるメリットを感じている」と述べる。
基調講演では、大手ホテルチェーンのWyndham Hotels & Resortsが10万人以上の従業員向けにWICを導入後、ロイヤリティメンバー向けにCICを導入したという事例が紹介された。ロイヤリティメンバーは1億人を上回る。
WyndhamのCISOを務めるエリック・ブロム(Eric Brohm)氏は、カスタムのコードをOktaのワークフローに置き換えるなどすることで、開発コストを85%削減、同時に従業員が安全に希望する技術を使えるようになったと述べた。「ホスピタリティ分野の我々にとって、歓迎することはミッションでもある。従業員、そしてロイヤリティメンバーを歓迎する最初のステップが認証で、Oktaでこれを実現できる」とブロム氏。そして、セキュリティと認証への関心は取締役レベルの議論になっている、と付け加えた。
CICで新たにパスキーを対応、AI機能で取り組みを加速
oktane23では、WICとCICにおけるさまざまな新機能が披露。「Go Beyond Login」(ログインの先へ)として、CICのパスワードレスなパスキー(Passkeys)対応が発表された(現在、早期アクセス段階)。開発者は、容易にパスキーをアプリケーションに加えることができる。「パスワードを覚えたり、キャプチャを解いたり、2段階認証のステップを経ることなく、フィッシングに強いセキュリティ対策を講じられる。さらに、ユーザー体験はスマホのロック解除のようにシームレスで、これまでの認証のどれよりも優れたものになるだろう」とラムジ氏は言う。すでにCICのユーザー企業の2割近くが、何らかの形式でパスワードレスのログインを提供しており、パスキー対応でこれを加速させる。
パスキーはAppleやGoogle、MicrosoftなどOS側やデバイス側での対応も進んでいるが、それでもすぐにパスワードがなくなるとは思っていない。
ラムジ氏は「6~12ヶ月もすると(パスキーは)かなり浸透しているだろう。ただ、開発者側でのパスキー受け入れの課題はないが、ユーザー側では時間がかかる。若い世代はすぐに受け入れるが、高齢の世代は時間がかかるだろう」と述べ、高齢者ユーザーが多い保険領域などでは、普及に時間がかかるとの見通しを示した。
一方で、パスキーは将来のログインの一部に過ぎず、セキュリティを改善するには全体の視点が必要だという。「その先のビジネスシステムとの統合、パーソナライズなどユーザーのライフサイクル全体を考える必要がある。従業員の認証も同じだ」と、ラムジ氏は言う。Oktaのユーザー企業の開発者は、認証体験を「数時間で」設定でき、A/Bテストなどのユースケースもあり、マーケットプレイスを利用して統合も容易にできる。ほとんどの企業が、1ヶ月以内に本番稼働に漕ぎ着けているとのことだ。
同社の取り組みをAIにより加速するために、AI機能のセットである「Okta AI」も発表された。その一部には、CICの設定を自然言語を使ってガイドする機能である「Guide with Okta AI」や、開発者がCICのセキュリティやコンバージョン改善につながるようなレコメンデーションを受け取れる「Identity Flow Optimizer with Okta AI」などが含まれる。
今後はセキュリティ分野でのAI活用を積極的に進めていくという。CICのユーザー企業の中には、半分以上のログインへのトラフィックが詐欺目的という顧客もあるといい、セキュリティ強化は切実だ。WICで実現しているログ解析をCICにも拡大することなどを考えているという。
日本市場では、数年前にAWSの東京リージョンをサポートし、マルチテナント認証などの機能が人気で、順調に事業を拡大している。「今後は、ダッシュボードの日本語対応、シングルテナント環境のサポートなども予定している。政府/公共向けにISMAPの取得も進めたい」とラムジ氏は述べた。