[レポート] Auth0マーケティングトップが語る、Auth0のプロダクトの歴史とこれから #Auth0JP #Auth0Day

2019年11月19日（火）にAuth0社の自社イベント「Auth0 Day 2019」が開催されました。本記事ではブレイクアウトセッション「Auth0のプロダクトの歴史とこれから」をレポートします。

Auth0 Day 2019

#イベント

#Okta Customer Identity Cloud（Auth0）

#勉強会

#認証認可

諏訪悠紀

2019.11.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ブレイクアウトセッション

2019年11月19日（火）にNagatacho GRiDでAuth0社の自社イベント「Auth0 Day 2019」が開催されました。

Auth0 Day 2019

本記事は、ブレイクアウトセッションをレポートします。

スピーカー

Martin Gontovnikas [Auth0, Inc. VP of Marketing and Growth]
中島りか [Auth0株式会社 Marketing Manager Developer Advocate Engineer]

セッション概要

今回はAuth0本社からマーケティングトップのGontoをお呼びし、 Auth0のプロダクトの歴史、そしてこれから目指していく先についてお話します。また、Auth0 Ambassador ProgramやAuth0 User Community、そしてPartnerの紹介など、日本からAuth0およびAuth0 Japanを支えてくださっている方々についてもお話します。

Auth0 Japanと日本での活動の紹介

まずはじめに、Auth0 Japanと日本での活動について、Auth0 Japanの中島りか氏よりご紹介いただきました。

Auth0 Japanについて
- Jun Fujita
- Miki Oikawa
- Hisashi Yamaguchi
- Rika Nakajima
Auth0 Japan Pertners
- 販売代行、実装支援を行うパートナー
- 現在は4社
  - Classmethod
  - Cloud Native
  - FLECT
  - FUTURE
Auth0 Japan Ambassadors
- Yuki Suwa
- Yo nagao
- Naohiro Fujie
- Takahiro Tsuchiya
Auth0 Japan Community Leaders
- Yuki Suwa
- Atsushi Harada
- Takahiro Tsuchiya
Today's Guest from HQ
- Gonto VP, Marketing Growth
- Dave CRO

とにかく Big Thanks! とのことでした。

Auth0 Product Roadmap

Auth0のマーケティングVPのGonto氏より、Auth0のこれまでとこれからについてお話いただきました。

Auth0 Product Roadmap

皆様へのお話
- Auth0の一連のビジョン
- 今後のロードマップに何が載っているか
- 世界中の開発者からどのようなものが出てきているか
Auth0の戦略
- 開発者にフォーカスを当ててきた企業
Auth0の考え方
- 認証、認可の会社
- ID管理だけではなく、開発チームに関してもお手伝いしたい
- クラウドファーストが重要だった
- サブスクリプション、SaaS（Software as a Service）として提供
- 開発者のエクスペリエンスも大事に考えている
Auth0の実装
- 2,3行で始められる
- AngularやJavaなど、数多くの言語やプラットフォームをサポート
- Webアプリだけではなくデスクトップでも使える
- モバイルアプリでも使えるiOSでもAndroidでも
Auth0をスタートしてから気づいたこと
- 開発者がどんどん慣れてきている
- 様々なSaaSを使い、それぞれを統合することを行なっている
- 競争が激しい
- Auth0としては、コアのビジネスのソリューションにフォーカスを当てなければいけない
- コアな機能のために人々は使っている、Stripe、Twilio、GitHubなども同じように
明らかなこと
- セキュリティ事故が世界各地で起こっている
- Yahoo, PlayStation, Adobeも同じ経験をしている
- セキュリティの重要性が増している
エンドユーザーのために
- UX、CXを高めるのが重要
拡張性の強化
- Auth0はコードを書いて、認証パイプラインの中で実行できる修正できる、自由にカスタマイズできる
- 例えば日本からのアクセスに制限するルールをかける、そうでなければFailにする
- Auth0を企業のニーズに合わせられる
- 認証ベンダーと大きく違う点
- 驚くべきことに、87%の顧客が拡張している（Ruleを書いて、ニーズに合わせている）
2016、大きなエンプラが使うようになる
- スケーラビリティやコンプライアンスが重要に
- コードのチェックをしていく
- 30億以上のログインを毎月管理している、多くのユーザーがコンスタントにアクセスしている
- 5ヶ国、5億2,100万人のプロファイルを管理している
- 12万ものアプリケーションがある
そしてまたコンプライアンスも重要になっている
- トラストセキュリティを確立する
- 27001, SOC2, HIPPA, 27108, を取得
なぜ日本でお話したかったか
- プロダクトビジョン、計画を伝えらかかった
- セキュアなアクセスを色々な人たちに対してワンクック以下で提供したい
- 開発者やAuth0チームに止まらず、認証を使っている人々（エンドユーザー）に良い体験を届けたいと思っている
- WebもあればモバイルもあればIoTもAuth0を使ってる
- ログインを1クリック未満でやらせたい
- 認証でセキュアなを担保は大事だが、UXも大事
- コンバージョンが減ってしまうと売り上げも減るため
いろんなペルソナを使って考えている
- エンドユーザー
  - 考えると、認証は「一つの孤立したイベント」
  - ログイン状態がある程度の期間が続き、その後ログアウトされ、またログインを必要とされる
  - UXとして良いとはいえない、ユーザーだったらログインが保たれつつ、セキュリティを維持してほしい
  - ログインがされると認証プロセスが動く
  - 例 : 2ヶ月何もしなかったあと、突如1万ドルを振り込みたいとした場合
    - フィンガープリントを使うことで、コンフィデンスレベルが上がる
  - ユーザーの活動に応じて、セキュリティコンフィデンスレベルが変わってくる
  - 他の認証をやってもらってコンフィデンスレベルが上がる
  - 継続的な認証が行われる
- セキュリティエンジニア
  - 世界中でユーザーがログインしている
  - 基本的な考えとしては、セキュリティエンジニアとしてとしては何がおきていて、ディテクションをして何を防ぐかを把握したい
- オンボーディング、マネージ
  - 色々なツールがある
  - 新規ビジネスカスタマーは色々やりたい
  - 例えばログインの新しい方法に変更するとか、一部の人にMFAするとか
  - SlackのメッセージでMFAの設定を要求
  - ユーザーの権限を管理、繰り返し繰り返し受ける
  - Auth0はIFとして提供、ID管理マネージャーとしては自分たちでリクエスト管理できるようになる
- Imprement
  - 誰が導入するのか
  - 開発者、我々 (Auth0)
  - 必要な限りシンプルかつパワフルに
  - とても簡単にスタートできる
  - 設定が簡単
  - Google, FBを介してログインできる
  - ログインすると認証ファネルをAuth0で通過してログインできる
  - ダッシュボードでスイッチをON/OFFするだけで使える
  - 他の製品では色々複雑が設定が必要
  - Auth0はMFAなども簡単
  - ログインイベントをSlackに送ることも可能
  - 「情報をもっとリッチにしたい、新しい質問を投げたい」に対応できる
  - MFAを設定したい
  - 色々な物を設定できる
  - フルコンタクトな情報を要求もできる
  - 色々な情報をプログレッシブプロファイルという形でできる

Capabilities we added in Q3

AUthN & AuthZ
- SIWA
- LINE (in JAPAN)
- Enterprise OIDC Connections
Service Management
- Log Search Filtering
Exprorer
- https://exprorer.auth0.com
- 全ての設定をビジュアライズできる

Coming next (Q4 to 2020)

IN PROGRESS
- AuthN & AuthZ
  - Custom copy for Universal Login
  - Expanded support for Importing hashed passwords
  - Passwordless support for embedded login in native and web backend apps
  - Refresh token rotation for added security and to mitigate ITP2 session interruptions
  - On Behalf Of Flow to support delegated access from one application to other downstream applications without requiring realtime user consent
- Service Management
  - Enterprise team accounts for dashboard access control
  - Near real-time log streaming to 3rd party systems
- Security Features
  - Confidence scoring to mitigate fraudulent logins
    - ログインに関する操作についてスコアリングする
    - 例 : ログインする時間帯などを判断基準にする
PLANNED
- AuthN & AuthZ
  - Abillity to select multiple factors during MFA enrollment In Universal Login
  - Native Facebook Login
    - Facebookではネイティブアプリの場合、ネイティブ対応が推奨されているため
  - Provider-sourced and hosted groups for RBAC
  - Third-party API access control
- Session Security
  - Signing key rotation
  - Refresh token expiration after proionged inactivity
- Service Management
  - Log consistency improvements
- Developer Experience
  - Hook management via the management API
CONSIDERING
- AuthN & AuthZ
  - Enhanced customization of Universal Login
  - MFA support for WebAuthN and security keys
  - Consent customization and licalization
  - Easier app migration to Auth0
  - Store why a user was blocked
  - Ephemeral password reset flows via endpoint
    - パスワードリセットフローのカスタム化（時間などのカスタマイズ）
  - Organizations for streamlined B2B SaaS
- Security Features
  - Credential stuffing (bot attack) protection
    - IPアドレスのブラックリスト化、Captureを見せるなど
- Session Management
  - Ability for end-users to control active sessions by device
  - View and revoke sessions via an API
- Developer Experience
  - Contextual error handling for hooks
- Service Management
  - Create and manage tenants via an API