あらゆるサービスの構築において必要となる「認証」の仕組み。ID・パスワードを照合するだけの単純なシステムと誤解されることが多いが、実装に少しでもミスがあれば大きな事故につながりかねず、利便性とセキュリティの両立は容易ではない。また、デジタルトランスフォーメーション(DX)時代に求められる、サードパーティーとの連携においても適切な認証の仕組みは不可欠だ。オージス総研は2月19日、都内で開催したITイベント「東京デジタルイノベーション 2020」で、サービス公開にあたっての認証基盤の重要性を訴えた。

個別開発の負荷なく
利便性と安全性を両立

 企業と消費者がデジタル技術を介して直接つながる時代となり、多くの企業が顧客向けのWebサイトやモバイルアプリを提供している。それらのサービスに対して顧客からのアクセスがあった際、まず要求することが多いのが、アカウントへのログインといった「認証・認可」のプロセスだ。

 ごく限られたユーザーを対象とした単一のサービス内に完結するものであれば、認証・認可の仕組みを実装するのはそれほど難しくないかもしれない。しかし、オージス総研の事業開発本部テミストラクトソリューション部の金井敦プロフェッショナルサービス第一チームマネジャーは「サービスを増やすにつれて、認証・認可においてはさまざまな課題が発生する」と指摘する。
 
金井 敦 プロフェッショナルサービス第一チームマネジャー

 典型的な状況としては、一つの企業や企業グループ内で、複数のサービスを提供している例が挙げられる。顧客からすれば、一度会員登録をすればその企業グループが提供するすべてのサービスを利用できる状態のほうが便利だ。しかし、異なるサービスが逐次開始されていったため、認証・認可の仕組みが各サービスごとに個別に実装されているケースは少なくない。この場合、単に顧客が不便な思いをするだけでなく、モバイル端末や多要素認証への対応といった追加要件が発生した場合、すべてのサービスの認証・認可プログラムを改修する必要があるなど、運用・保守コストの面でも大きなムダが発生する。もし実装にミスがあった場合、顧客情報の漏えいやサービスの不正使用といった重大な問題にもつながりかねない。

   オージス総研では、統合認証基盤製品「ThemiStruct(テミストラクト)Identity Platform」を提供しており、企業はこれを利用することで自社のWebサービスに認証の機能を安全に実装できるという。複数サービスの認証を一つの基盤に統合できるだけでなく、例えば多要素認証や、Googleアカウントなど他社アカウントを利用したソーシャルログインといった高度な機能を活用できるようになる。サービス開発・運用の負荷を軽減しながら、認証・認可に関する最新の技術動向をフォローできるのがメリットだ。

パスワードを渡さずに
外部アプリと連携可能

 さらに、近年になって認証・認可に関する課題が浮上しているのが、APIを介したサービス連携の場面だ。DX、オープンイノベーションといったキーワードが注目され、企業のサービスは他社を含めた幅広いアプリケーションと柔軟に連携できることが必要とされている。しかし金井氏は「組織内だけからアクセスできればよかったクローズドなAPIと異なり、オープンAPIにおいては、必要なサービスに対するアクセス権限のみを、適切な期間に限って公開できる必要がある」と述べ、従来とは異なる権限管理の仕組みが不可欠になると説明する。

 例えば、銀行の提供するオンラインサービスにおいて、サードパーティー製のモバイルアプリから口座残高を参照できるようにするケースを想定してみる。簡単な方法としては、オンラインバンキングへのログインに用いるユーザーのID・パスワードを、モバイルアプリ内に保存してしまう実装が考えられる。しかし、このようなアプリにID・パスワードを渡した場合、アプリがオンラインバンキングのすべての機能に無制限にアクセスできることになる。もしサードパーティーの開発者に悪意があったり、アプリに脆弱性が含まれていたりしたら、不正送金などにつながる恐れがある。

 この問題を解決するのが「OAuth 2.0」と呼ばれるオープンスタンダードの技術だ。ユーザーはサードパーティーのアプリにアカウント情報そのものを渡すのではなく、認可サーバーを通じて、「アプリが口座残高データを参照する」権限のみを認可する。認可サーバーからモバイルアプリに対しては、認可を得ていることを示すトークンが発行され、モバイルアプリは銀行のAPIに対してトークンを提示することで、認可された範囲内でのサービスへのアクセスが可能となる。このプロセスの中で、モバイルアプリはユーザーのパスワードを扱っていないのがポイントだ(図参照)。
 

 ThemiStruct Identity PlatformはOAuth 2.0準拠の認可サーバーの機能を搭載しており、企業が自社で認証・認可の仕組みを開発することなく、オープンなAPI連携を安全に実現できる環境を提供している。オージス総研によれば、従来ThemiStructは社内システムのシングルサインオンを目的とした導入が多かったが、近年は外部サービス提供のための採用が増えているといい、今後はFinTech領域などDXを追い風としたAPI連携でのニーズ拡大が期待されるとしている。