Webアプリケーションの構築で課題となることが多いのが、ユーザー認証とその周辺部分だ。安全な実装、高い可用性が要件となるほか、最近では他のサービスのアカウントやAPIとの連携も求められる。オージス総研は6月13日、「AWS Summit Tokyo 2019」での講演で、AWS上で動作する統合認証基盤を紹介。会場には多くの開発者が詰めかけ、「認証」への関心の高さがうかがわれた。(取材・文/日高 彰)

アクセス集中でも落ちない
統合認証基盤

 現代では、顧客向けに何らかのWebサービスを提供している企業が多い。代表的なものとしては、Eコマース、ポイント管理、アフターサービスの窓口などが挙げられるが、いずれのWebサービスでも必要となるのが、ユーザー認証の仕組みだ。

 最近では、顧客の利便性向上や、より高度なマーケティング施策の実施を目的として、自社で提供する複数のサービスのIDを統合するケースが多い。ユーザーが一度ログインするだけで、全てのサービスを横断的に利用できる形にすれば、より便利で高度なサービスを提供でき、自社への“囲い込み”を促進する効果も期待できる。しかし、セキュリティ要件を満たしながら複数のサービスに対応する認証基盤を、一から開発するのは容易ではない。

 このような課題に対し、オージス総研は統合認証パッケージ「ThemiStruct Identity Platform」を提供している。これはAWSのコンポーネントを組み合わせて実現したクラウドネイティブな認証基盤で、約2時間という短時間でセットアップできるのが特徴。AWSのサーバーレスアーキテクチャー「Lambda」を利用して動作し、Webサービスに突発的にアクセスが集中した際にも、ダウンすることなく認証機能を提供し続けることができる。特にEコマースのようなサービスでは、新商品やキャンペーンの投入時、物販のシステムには十分な性能の余裕があっても、認証システムがボトルネックとなって売り上げに悪影響が発生するケースがあるが、Lambdaをインフラとすることで、最小限の投資で高いスケーラビリティーを得ることができる。
 
八幡 孝
部長
 
 また、認証の機能をSaaS型で提供する「IDaaS」と呼ばれるサービスも登場しているが、ThemiStruct Identity Platformはパッケージ型の認証ソリューションで、あくまでユーザー企業がAWS上に用意したVPC(仮想プライベートネットワーク)内で動作する。多くのIDaaSではカスタマイズの範囲が非常に限定的なのに対し、ThemiStruct Identity Platformは認証画面のUI変更やカスタム機能の追加を比較的柔軟に行えるほか、ユーザー情報などのデータを自社が管理するVPC内のデータベースにとどめておくことができるので、セキュリティポリシーとの整合がとりやすいというメリットがある。
 
 

社内システムからAPI連携まで
幅広いユースケース

 オージス総研の事業開発本部で認証ソリューション事業を担当する八幡孝・テミストラクトソリューション部長によると、この製品は当初、企業内システムにおけるID管理業務の効率化、ガバナンス強化を目的に開発したということだが、最近では社内システムでなく、前述のような顧客サービス向けのID基盤としての採用が増えているという。八幡部長は「B2B/B2Cを問わず、多くの企業が顧客向けにWebサービスを提供しているが、サービスの数が増えていく中、安全かつ可用性の高い認証基盤を構築し、24時間365日の体制で運用するのは骨が折れる仕事。ソーシャルログインなど、時代の要求にどう応えていくかも課題となる」と述べ、自社で認証基盤を開発・運用するのに限界を感じる企業が増えていると説明する。

 さらに、複数のサービスの認証を一つの基盤に統合することで、ユーザーごとのサービスの利用状況を横断的に分析できるという副次的なメリットも生まれる。ビジネスにおいてカスタマーエクスペリエンスが重視されるようになるにつれ、ID管理や認証の役割もより重要なものになってきているのだという。

 また、八幡部長によると、企業内システム、顧客向けWebサービスに続いて、今後統合認証基盤のニーズが高まると期待できるのが、FinTechの分野だという。例えば、A社が提供する資産管理アプリケーションが、B銀行の口座情報にアクセスするといった連携では、複数のサービス提供者の間で、ユーザーが明確に同意した範囲でAPIへのアクセスを許可するという複雑な制御が必要になる。ThemiStruct Identity Platformは、このようなAPI連携の認証を管理するプラットフォームとしても利用が可能だ。

 また、認証プロトコル「OpenID」の国際標準化団体・OpenID Foundationでは、高度なセキュリティが求められる金融分野向けの仕様として「Financial-grade API(FAPI)」の策定を進めている。このような技術標準は専門的で、一般のサービス開発者には理解する上でのハードルが高い仕様であるため、正しく準拠するには専門ベンダーが提供するパッケージの導入が現実解となる。

 八幡部長は「個別の設計やインテグレーションで認証の課題を解決するのが難しい場合、ぜひこのソリューションの活用を検討してほしい」と述べ、認証パッケージを導入することで、利便性とセキュリティの両立や、サービス品質の向上といった効果が期待できるとアピールした。