認証基盤の構築は長期投資〜ID統合・スケールを見据えたIDaaS選定〜

認証基盤への注目度が高まっている背景

ーー はじめに、池原さんの現在の業務内容と、これまでのキャリアについて教えてください。

私は現在、Okta Japan株式会社のデベロッパーアドボケイトとして、カスタマーアイデンティティ管理プラットフォーム「Auth0」の開発者リレーションを担当しています。主に開発者コミュニティでの登壇や、カンファレンスでの発表、製品の技術要素に関する日本語での情報提供などを行っています。また、開発者向けイベントの企画運営も担当しています。

私自身、Microsoftの.NET技術を扱うエンジニアになったのがキャリアの始まりです。その後、UIコンポーネントを開発・販売する外資系企業の日本支社に転職し、さまざまなロールを経験しました。具体的には、技術サポートやプリセールス、DevRel、テクニカルアカウントマネージャー、プロダクトマーケティングなどです。その後、クラウドコミュニケーションプラットフォームの企業を経て、2023年3月から現職に至っています。

Oktaに入社したのは、以前に認証周りの実装で苦労した経験がきっかけでした。当時、ID・パスワード認証機能を自作していたものの、「本当にこれでいいのか？」という不安が常にあったんです。そんなときに「Auth0」を知り、機能や使いやすさに魅力を感じました。自分と同じ悩みを持つ開発者の力になりたいという思いから、Oktaを選びました。

ーー近年、認証基盤がなぜ注目されているのでしょうか？

主に3つの理由があります。1つ目は、認証を専門としないエンジニアが多いこと。多くの開発者は認証の専門家ではないため、できれば避けて通りたいと考えています。また、本来のサービス開発に注力したいという思いもあるようです。そこで、私たちのような専門ベンダーの認証基盤を活用を検討する企業が増えています。

2つ目は、ログイン体験がビジネスに直結すること。認証画面はユーザーが最初に触れるファーストタッチポイントです。ここでの体験が悪いとユーザーが離れてしまいますし、BtoBの場合は導入のハードルが上がってしまいます。このように、ログイン体験の良し悪しはビジネスの成長に直接影響を与えかねないのです。

そして3つ目は、認証がセキュリティの要であること。認証は悪意ある攻撃から守る最初の防衛線です。不正ログインや漏洩したパスワードの使い回しなど、攻撃手法が高度化する現在、入り口で防御する仕組みは不可欠でしょう。

ーー 一方で、認証部分を自社開発する余裕がない企業は多そうです。外部の認証基盤サービスを導入すると、どのような事業的価値が得られますか？

大きく2つの価値があります。1つは、エンジニアがコア機能の開発に専念できることです。認証実装に割く時間を削減できれば、新機能開発やUI改善など、事業価値の高い領域に注力できます。

もう1つは、複数サービスを展開する際の効率性です。個別のプロダクトチームがそれぞれ認証基盤を作ると、後からの統合が非常に困難になります。そこで最初から統一された認証基盤を導入することで、複数サービスを横断したアイデンティティ管理が可能になります。これは特にマルチプロダクト戦略を実践する企業との親和性が高く、将来の事業拡大を見据えた先行投資として導入されるケースも増えています。

Auth0で実現できる、理想的な開発者体験

ーーOktaという企業と、Auth0の成り立ちについて教えて下さい。

Oktaはアメリカ発のIDaaS（Identity as a Service）を提供する企業として、主にエンタープライズ向けにシングルサインオンや多要素認証、ゼロトラストといった幅広いソリューションを展開しています。世界的には大企業の従業員ログイン基盤として導入されるケースが多く、社内システムやクラウドサービスへのアクセス統合などで豊富な実績を持っています。

Auth0は、創業者のユーヘニオ・ペースがMicrosoftでクラウドサービスを担当していた経験から生まれました。当時、クラウドサービスの普及とともに認証の標準仕様への需要が高まっており、そこにニーズを感じたユーへニオがAuth0を立ち上げたそうです。

ユーヘニオ自身がエンジニアだったこともあり、Auth0は開発者体験を重要視して開発されてきました。その価値観は主に2つの形で体現されています。

1つは、認証機能を簡単に導入できる点です。使いたい言語やフレームワークを選ぶだけで、テナント情報が入ったサンプルアプリをダウンロードでき、パッケージをインストールして起動するだけで認証機能が追加される。この手軽さは、他社サービスと比べても特筆すべき点のひとつです。

もう1つは、セキュリティへの強いコミットメントです。開発時のセキュリティレベルチェックから、利用者向けのセキュリティ機能の提供まで、製品だけではなく会社全体として重視しています。

そして2021年5月、Auth0はOktaに買収され、現在はOktaが提供する「Auth0」として展開されています。

ーー「Auth0」では、具体的にどんなことが実現できるのでしょうか。

先ほどお話ししたとおり、Auth0はエンジニアがすぐに認証を実装できるように設計されています。これによって、一般的には面倒なログイン周りの実装が短時間で終わり、コア機能開発に集中しやすくなるのが大きなメリットですね。

さらに、多要素認証や漏洩パスワード検知など、セキュリティ面でも充実した機能を備えています。パスキーといった新しい認証方式にもいち早く対応し、常に必要なアップデートを外部サービスに任せられるのは安心感があると思います。

ノーコードで画面フローを編集できる「Auth0 Forms」といった機能も用意されていて、追加情報が必要な場合はGUIベースで項目を設定し、カスタマイズが可能です。 また、マルチテナント機能（Auth0 Organizations）によって、組織（顧客企業）ごとに認証フローを個別に設定できます。この機能を活用すれば、個人ユーザーだけでなくグループユーザー、組織ユーザーなど大きな組織に自社サービスを対応させる場合に顧客側の要件に合わせて認証、認可側の機能をすばやく対応させることができます。

IDaaS選定のポイントは「長期的に投資価値があるか」

ーー 認証基盤の選定で重視すべきポイントを教えてください。

最も重要なのは、長期的な視点で判断することです。初期コストだけで選ぶのではなく、3年後、5年後のプロダクトの姿を見据えて検討する必要があります。

具体的には、BtoCからBtoBへの展開や、複数サービスの統合など、事業のロードマップに合わせた変化を想定しなければなりません。セキュリティ機能が不足したり、マルチプロダクト展開をする際にIDの統合が難しかったりすると、結局は作り直しや追加開発が必要になるためです。実際に、CTOやVPoEの方々の多くは、直近のコストではなく、このような将来的な投資としての価値を重視しているはずです。

こうした長期的な視点の重要性は、現場の声からも裏付けられています。私も「今の認証基盤では実現が難しい」という開発者の声をよく聞くのですが、パスキーのような新しい認証方式への対応や、ユーザーフローのカスタマイズなど、後から要件が複雑化したときの対応に苦労されているケースが多いようです。

ーー その他、どのような点に注目すべきでしょうか？

大規模なサインイン処理の実績やスケーラビリティは、IDaaS選定の重要な判断基準です。私たちの場合、現実世界で何億、何十億というサインインを処理してきた実績があり、大手コンシューマー向けサービスでの採用実績もあります。

セキュリティ面も注視したいポイントです。認証画面はユーザーの最初のタッチポイントであり、同時にセキュリティゲートでもあります。botからの不正登録の防止、普段と異なるIPアドレスからのログインの検知、漏洩した認証情報の使用検知など、さまざまな脅威への対策が必要です。

重要なのは、これらのセキュリティ機能がどれだけ使いやすく実装されているかです。「Auth0」では、ダッシュボード画面から機能をオンオフするだけで、自動的にログインフローに組み込まれる仕組みを提供しています。

ーー 外部サービスの利用と自社開発、どちらがよいのでしょうか？

認証の部分は自社のエンジニアが最もリソースを割きたい部分ではないというのが、多くの企業の本音ではないでしょうか。本来の製品開発により多くの時間を割きたいものの、認証部分の開発・運用に時間を取られてしまうのは本意ではないはずです。

また、ユーザー数が増えていくにつれて、新たな課題が次々と見えてきます。そうした課題に自社で対応していくのは、非常に大きな負担になりますよね。高い技術力を持つチームであっても、認証基盤は外部サービスを活用し、コア機能の開発に注力する方が効率的なケースが多いのではないでしょうか。

また、コスト面で考えると、外部サービスの利用は一種の人件費だと捉えることができます。認証基盤の開発・運用に時間を割くよりも、外部サービスを活用して本来の製品開発に注力した方が、結果的に費用対効果が高いと考えています。

認証は身近な存在。無料プランで気軽に試してほしい

ーー 「Auth0」が今後目指していく世界観についてお聞かせください。

「Auth0」では、基本的な認証・認可機能の提供はこれまで通り継続しますが、開発者のレベルに合わせた機能提供を重視していきたいと考えています。APIを活用してコーディングをしたい方もいれば、時間をかけずに簡単に機能を実現したい方もいますから。

先ほども申し上げましたが、最近はノーコードでユーザーフローをカスタマイズできる機能の充実に力を入れています。

ーー 無料プランが用意されていると伺いましたが、詳しく教えていただけますか？

無料プラン（https://auth0.com/jp/auth0-vs-auth0）を使えば、月間アクティブユーザー2万5,000名まで無料で利用可能です。個人サービスであれば、最初から継続的に使える規模感だと思います。また、GitHubやGoogleなどのソーシャルログイン連携の設定上限がないのも特徴です。

さらに、先ほど言及した異なる組織ユーザーごとの認証フローを設定できる「Auth0 Organizations」も5個まで設定できます。これにより、プロダクトの成長段階の中段階くらいまでは、無料プランで十分対応できると考えています。

個人開発や小規模のPoC段階では、無料のままでも十分すぎるくらい活用できますし、ユーザー数が何万人規模に拡大してきたら有償プランに移行する、といったステップアップもスムーズにできるのが特徴です。最初から大きなコストをかける必要がないので、気軽に検証しやすいと思います。

ーー最後に、開発者全体へのメッセージをお願いします。


認証というのは、プロダクト開発をしているエンジニアからすると遠い存在に感じられるかもしれません。しかし実際は、そんなに遠くないものなんです。これは私自身がプロダクトを使って実感したことでもあり、ぜひみなさんに興味を持っていただきたいと思っています。

「Auth0」では無料プランを提供していますので、個人の開発プロジェクトでも尻込みせずに使っていただきたい。さまざまなクラウドベンダーがIDaaSを提供していますが、私たちのサービスは、それらと遜色ない機能を無料で提供しています。まずは気軽に試していただければと思います。

取材・編集：Findy Tools編集部
執筆：河原崎 亜矢