Auth0 by Okta導入で、認証時セキュリティは専門IDaaSにお任せ、プロダクト間SSOはほぼ開発レスで実現

400万以上の登録アカウント（※2021年当時）を抱える”ビジネスインフラ”たるサービスとして、登録アカウントのセキュリティを担保するために、業界最高級水準で対応し続ける必要がありました。しかし、「Chatwork」の中核機能は「ビジネスチャット」です。ビジネスチャット機能開発を滞らせることなく更なるセキュリティ対応を推進するにはどの様な技術戦略が最適か、再考中でした。

導入目的

(1) 日々推移するセキュリティ課題への対応、追従については、専門のIDaaSにお任せできることが理想です。それによって、「ハイトラフィックなビジネスチャット」という「Chatwork」の中核機能に開発リソースを集中できる状態を目指していました。

(2) 2024年時点で「BPaaS」という新規事業展開を進めています。技術面でみると、「Chatwork」登録ユーザーへ、ビジネスチャット以外のプロダクトの提供を、新たな登録手続きを踏むことなく、実現できる必要があります。
そのために、内部的に運用する認証基盤を業界標準に準拠させながら、「Chatwork」本体から分離独立させて、他プロダクトの認証機能としても運用できる状態を目指していました。

• Okta
• その他

以下の観点から比較を行って決めました。

• パフォーマンス
  ・今後の「Chatwork」のMAU推移予測に対して、それを十分カバーできるパフォーマンスプランを提供している事。
• 費用体系
  ・従業員のID管理ではなく、顧客のID管理、すなわち「CIAM」が目的である。IDaaSの価格体系がユーザー数ベースだと、ビジネスモデル的に合わない。MAUベースの料金体系である事。
• 費用水準
  ・かつ、MAU当たりシステム費用には当然ながら上限があるので、それに見合う価格水準である事。
• 国内データセンター
  ・電気通信事業法上、必須の要件。
• 不正アクセス対策
  ・不正アクセス対策機能に関して、IDaaS自身が継続的に拡充を行なっている事。
• その他、各機能のFit/Gap
  ・マルチテナンシーの実現がサポートされている事。（※「Chatwork」はB2Bであることから必要。）
  ・URLにカスタムドメインが使用できる事。
  ・CAPTCHA, MFA, Social Login, SAML, IP制限, ...といった機能が直接サポートされている、または実現可能である事。
  ・ネイティブモバイルアプリ向けにもログイン画面を提供できる事。

パフォーマンス要件、国内データセンター、不正アクセス対策の継続的拡充という重要要件を満たし、その他各機能のFit/Gapの成績が良いもので、Auth0とOktaが残りました。費用の観点からAuth0を最終候補として選定し、トライアルで利用しました。開発メンバーが試用や調査、PoCを実施し、致命的な問題が無いことを確認した後、採用に至りました。

導入により当初の課題は概ね解決されました。
[開発省力化]

• 認証系に対する開発資源の省力化は、概ね達成できました。
• 元々Gapが大きいと分かっていた一部の機能部位について、既存コードベースへの依存が高いままで残っている状況です。
  

[セキュリティ課題への対応、追従]

• 不正アクセス対策関連機能は、運用上活かしきれてない部分を残してはいるものの、期待通りに機能しています。
• Auth0としてのトレンド追従も、着実にしていただけているという認識です。
  

[他プロダクトへの認証機能提供]

• 他プロダクトへの認証機能提供は、想定通り、大きな開発無く、ほぼAuth0の構成変更だけで達成できました。

パフォーマンス要件は当初より明確でした。しかし機能要件詳細は元々モノリシックに作り込んでいたので、どういった機能をIDaaSに期待すべきで、どういった機能を「Chatwork」の課題とすべきか、分別できていませんでした。IDaaSによっては、特定の機能を求める場合には追加費用が必要となるケースもあります。そのため、これらの機能を一部内製するかどうかの判断も、当初は整理できていませんでした。
その点については各ベンダー様と会話させていただく中で、自分たちの機能要件が整理されていきました。