[レポート] アイデンティティは新しいファイアウォール #linedevday_report #Auth0JP

アイデンティティは新しいファイアウォール

2019年11月20日（水）・21日（木）にグランドニッコー東京 台場でLINEのデベロッパーカンファレンス「LINE DEVELOPER DAY 2019」が開催されました。

• LINE DEVELOPER DAY 2019

本記事は、セッション「アイデンティティは新しいファイアウォール」をレポートします。

スピーカー

• Martin Gontovnikas [Auth0 VP of Marketing and Growth]

セッション概要

あなたに関連するデータは様々な企業によって保存されています。例えば、地図アプリやライドシェアアプリであれば位置情報データ、決済アプリであれば決済データなどです。あなたのデジタルアイデンティティは新しい通貨であり、アクセスし、使用し、さらには悪用しようとする多くの人から高い需要があります。

意識しているかどうかにかかわらず、あなたのデータはあらゆるデジタルタッチポイント毎に残されています。あなたは、データをプライベートに安全に保存し、誰にも盗まれないようにするために、情報を管理してもらっている企業に完全に依存しています。残念ながら、データは必ずしも安全ではありません。データの漏洩については、2019年の1月から6月だけで41億件もの記録が盗まれています。

今回のトークでは、様々な企業がどのようにして情報を安全に保存しているか、これまでどのように変化してきたか、過去を振り返り、ユーザーの顧客体験が損なわれないことを確実にすると同時に、データをプライベートで安全に保存する方法に関して最新トレンドを紹介します。

レポート

はじめに

• アイデンティティが新しいファイアーウォールになる
• 認証の歴史について話す
• 「次に来るのは何か」について話す

自己紹介

• アルゼンチンからきました
• 元々はソフトウェアエンジニア
• 道を外れた、ダークサイドに陥った
• 現在はAuth0で仕事をしている
• 今日はAuth0が何をするのかを話すが、Auth0の話だけではない
• なぜAuth0を作ったかも触れる

素晴らしいと思うもの

• どこに投資したいのか数寝ると、認証
• 多要素認証を持って認証することに投資したいと言う
• 実情はネットワーク、ファイアーウォールに投資している
• なぜか？
  • どうして始まったのか考える

昔の話

• 認証はなかった
• テクノロジーの分野ではなかった
• 当時のセキュリティは物理カードだけだった
• UXは素晴らしい、キーカードだけでよかった
• セキュリティは？
  • あらゆるリソースにアクセスできてしまう
  • よくはない

素晴らしいことが発明される : パスワード

• 色々なものにアクセスが可能になった
• 1つのパスワードを入れればメインフレームにアクセスできる
• 特定のリソース
• UXはそこそこ良い
• パスワードを覚えればいいだけ
• 大変になったこと
• セキュリティは高まっている
  • 一部にしかアクセスできなくなったから

90年代

• 他のことを始めた
• デスクトップアプリ、サテライトサービスも作り始めた
• その意味は、社員が1つのパスワードを持ってそれぞれのデスクトップに持っていた
• サービスぶん、パスワードを覚えなければいけなかった
• UXは下がる
• セキュリティは落ちる
  • 同じパスワードを使ってしまうなどが起こる
  • 漏洩すると全てに適用されてしまう
• 会社はファイアウォール、DMZに投資
  • 会社にいるだけでアクセスできる
  • 会社以外、他の誰もがアクセスできなくなる
  • 現在もDMZに投資されている
    • 当時大事だったことが強調される
  • 会社の中のものだけにアクセスできることを担保

2000年

• SaaS、クラウドアプリの登場
• たくさんのアプリが登場
• オンラインで存在する
  • 企業は自宅からアクセスを求める
  • デスクトップアプリだけではなく、あらゆるアプリからアクセスしたい
• 物事が複雑化する
• UXは低下する
• セキュリティはあまり変わらない
  • 当時は流出、漏洩はあまりなかった
  • VPN, プロキシ、データ保護に投資
• ネットワークをクラウドに拡張
  • あらゆるところからアクセスできるようにある
  • 企業にいる時と同じようにアクセスできるようになる
  • 自宅からアクセスできるようになる
  • IDを使っていなくてもアクセスできてしまう
• 全てのサービスではあまり意味のないことだが投資している

2010年

• 企業はUXがだだ下がりであることに気づく
• ここで、単一のIDプロバイダが作られるようになる
  • AD, LDAPが人気を博す
  • 社員は一人一人、一つのIDセットを持つだけでよくなる
  • クレデンシャルごとで必要なものにアクセスできるようになる
• 変わったこと
  • 内部、外部が同じ扱いになった
  • VPN、リモートデスクトップ、関係ない
  • IDプロバイダに
  • Oktaなどもそこから生まれた
• UXが改善した
  • 一つだけUsername, Passwordを覚えれば良い
  • ハッキングを受けたと言うことであれば、問題になりうる
  • それほど深刻なことにはなっていない
• 興味深いのは、ID、認証はとても重要になったと言うこと
  • しかし、ネットワーク、エンドポイントセキュリティなどに投資を続けている
  • なかなか変えられない

2019年

• ハッキングを受けた数はものすごく多く、増え続けている
  • 企業は恐れる
  • 侵害が常に起こっている
• 法律ができてきた（GDPR、CCPAなど）
  • 企業としても考えることが増えた
• ゼロトラストコンセプト
  • 誰も信頼してはいけないと言うトレンド（ゼロトラスト）
  • これからは、結局は信じるなと言う世界に
  • ユーザーがログインするたびにMFA
  • 携帯番号を入れるなど
  • アプリでコードをチェックして入れる
  • とっても面倒臭くなった
  • 企業はそれだけ心配しているとこ言うこと
  • セッションが短縮化
  • 認証はログインして、セッションが開き、
  • 1日、1週間などのように時限が決まっている
  • つまり信用していない
  • パスワードを使おうとしても、ハードを持っていなければアクセスできない
  • セッションが終わればアクセスが不可能になる
  • しかし、UXは再び低下する
• 企業としてもIDMに投資を始める
  • しかし、やり方が一生懸命ではない
  • なぜか？
    • いかに企業が投資をするか
    • 多くのことに投資を決める
    • 恐れと売り上げ
    • 恐れ
      • 侵害を受けたくない
      • 存在できなくなる
    • 売り上げも気になる
      • UXが悪くなるので、基本的には匿名のユーザーに対するコンバージョンが少なくなる
      • ECの売り上げを損なうことになる
      • 気にしすぎると売り上げが減る
  • 恐れはセキュリティ、売り上げはUXとデータ

歴史を振り返ると

• IDは一方か他方かで触れてきた
• UXが上がるとセキュリティ
• 両立させるための投資が必要
• IDはログインボックスではない
  • IDはデータ
  • 考えてみれば、ソーシャルIDプロバイダはユーザーの情報をたくさん得ることができる
    • 多くのことをパーソナル化できる
    • IDはプログレッシブなエクスペリエンス
      • 質問が多いとコンバージョンが下がる
      • 例えば、最初は3つしか聞かない
        • ログインするたびに追加で情報を求める
        • 段階的にデータを増やしていく
        • プロファイリングをどんどんリッチにできる
      • IPを見るだけでも、たくさんの情報を見ることができる
        • データを取ってプロファイリングができる
    • パーソナライゼーションはトレンド
      • すればするほど買ってもらえる
  • セキュリティはどうか？
    • アプリに入って行動を見て、入力する
    • これも面倒臭い
    • MFAもこれ
    • 自分が知ってること、持っていること、自分自身で証明する
    • ユーザーはこんなことやりたくない

どうすればセキュリティを改善できるか

• 最近では、連続認証と言う取り組み
  • ゼロトラストの逆
  • 誰かがログインしたら、ログインしたらずっと信じる、セッションが終わらない
  • 認証が個々のイベントから継続的ば認証になる
  • 一回ログインしたら好きなことができるようになる
  • では、この人たちを常に認証できたらどうか？
    • 自分のユーザー名とパスワードを入力し、そのあとにキーボードをどうタイプするか
    • 違う人がわかる
    • 例えばアルゼンチン出身の人が17時に日本からアクセスするとすると？
      • 物理的にありえない
    • コンフィデンススコアを作る
      • その人である角度を持つか
      • コンフィデンスレベルを見ていく
      • 取りたいアクションを取って、やらせるか決める
    • ウォール・ストリートジャーナルを例にすると
      • 記事を読む程度だったら良いが、銀行振込は本人確認が必要
      • その場合は、例えば20%のコンフィデンスレベルであれば顔認証しよう、など
      • アクションによって閾値を変えて、さらなる要素を求める
      • 認証に成功すれば、コンフィデンスレベルを上げる

セキュリティ、ユーザー体験を投資をすることによって得られる効果

• 両立することで、セキュリティを高めつつ売り上げもカバーできる
• ユーザーのデータが得られるので、それを元にした良いUXもできる
• 結果的に会社の成長に繋がる

まとめ

正直に言って、現代のアイデンティティやセキュリティは複雑です。しかしながら、これまでの歴史を知ることによってその背景が分かるようになります。非常に説得力のある素晴らしいセッションでした。

また、Gonto氏は先日開催されたばかりの「Auth0 Day」にて、Auth0と言うプロダクトについてよりフォーカスしてお話しされています。レポートを公開していますので、合わせてご覧ください。

[レポート] Auth0マーケティングトップが語る、Auth0のプロダクトの歴史とこれから #Auth0JP #Auth0Day

Auth0はユーザー体験、デベロッパーの体験を本当によく考えている素晴らしい認証基盤サービスです。ぜひ使ってみてください。

また、私のセッションでもAuth0の良さをLINE Loginとの連携にフォーカスしてご紹介していますので、ご覧いただけると幸いです。