Auth0の岩崎さんと、認証クラウドについてのお話
.
Auth0株式会社の岩崎 輝之さんをお迎えし、認証クラウドのトレンドについてお話しをいただきました。
ショー・ノート
岩崎さん自己紹介
IDaaS(認証クラウド)について
SAML、OAuth2、OpenID Connect等、標準化プロトコルについて
B2C、B2B向けアプリに必要な認証セキュリティとは
トランスクリプト
永野: 私は、SalesforceでHerokuを担当している永野 智です。このエピソードは、Deeply Technicalがテーマとなります。本日はAuth0株式会社の岩崎 輝之さんをゲストにお迎えしております。岩崎さんよろしくお願いいたします。
岩崎: Auth0株式会社の岩崎です。よろしくお願いします。
永野: すいません、突然ポッドキャストに出てねっていう感じで気軽にお願いしちゃったんですけど、ご快諾いただきましてありがとうございました。
岩崎: もちろんです。ありがとうございました、お誘いいただきまして。
永野: 岩崎さんと一番初めにお会いしたのって、まだSalesforceのパートナーさんで働かられた時だったと思うので四年半ぐらい前ですかね。
岩崎: そうですね。アピリオという会社で、当時Salesforce / Herokuのプリセールスからデリバリーまでやっていたことがあるんですけど、その時に、あるプロジェクトでお会いしたのが最初かなと思います。
岩崎: そうですね。
永野: あの時はHeroku Connectで、提案し始めぐらいの時だったので、結構色々ドラマがあったなっていうのを覚えてますけど。
岩崎: そうですね。期待したところが動かないところとかがあって、私が辞めた後ですけれども、無事サービスインして、すごいなというところ感じてます。
永野: ありがとうございます。そこも含めて自己紹介お願いします。
岩崎: 私、今の会社は今年の2月ぐらいに入ってですね、ソリューションエンジニアとして、Auth0株式会社、認証認可のサービスをしている会社ですけども、そこのエンタープライズのお客様のプリセールスとして技術的な支援をさせていただいてます。アピリオは、今から3社前ぐらいになるんですが、元々私のバックグラウンドとしてはですね、製品開発をしておりまして、一番最初は、Lotus株式会社というところにいて、Lotus Notesというグループウェア製品の製品開発をしていました。自分で会社をやったりもして、だんだんプリセールスとかお客さまに会う仕事が増えてきて、今の会社が初めてプリセールスメインの仕事です。あんまりデリバリーしないよというような職種になっています。
永野: 岩崎さんって、結構前からこの業界というか、いろいろ携われてたのですね。もっとお若いかと思ってたんですけど、Lotus Notesって聞いた途端に、なんかちょっと年齢近いか、みたいに思っちゃっいました。
岩崎: そうですね。まあなんか長いこと色々やってて。
永野: Lotusでは、どんな感じでやられてたんですか。開発って、ローカリゼーションとかじゃなくて、完全にバリバリの開発ですか。
岩崎: そうですね。バリバリでして、Lotusは、アメリカのボストン近郊に開発拠点があったんですけど、そっちに出張したりしてですね、その時にInternationalのチームで、アメリカ・日本・中国みたいな感じでつくっていましたね。Internationalなプロダクトを作っていたので、日本チームも国際化のところだけじゃなくて、私はユーザーがログインした後の、ポータル、ウェルカムページみたいなものを作ったりとかして。我々、LotusでもLocalizeだけやってるチームっていうのも勿論多かったですけど、たまたまそういう製品開発できるチームでやってました。
永野: 言語的にはC言語とかそんな時代ですか。
岩崎: そうですね、C++ですね。あと、フロント側は、その頃から私ずっとWeb関連やってたんで、Internet Explorer 5とか、同じチームではNetScape 4の対応してる人とかいてですね、Java ScriptのJQueryとかもない頃に、頑張って作っていたような感じですかね。
永野: そうですか、まだ2000年とかそんなぐらいの話ですか。
岩崎: そうですね、(19)98年ぐらいから仕事してますね。
永野: そうですか、ありがとうございます。今のAuth0でプリセールスエンジニアということだと思うんですけれども、Auth0をお知りになったきっかけというか、リクルーターの紹介とかそういう感じですか。
岩崎: そうですね。Auth0自体はもともとサービスとしては知っていったんですけども、前の会社がですね、それも外資系の会社だったんですけども、事業としてうまくいかなくなってしまうみたいなところがあったんですね。そんな中で、次どこの会社行こうかなっていうところで、Auth0に声をかけてもらうというところですね。
永野: なるほど。今日のメインテーマとしてはAuth0がビジネスを展開している、いわゆる認証だとか、クラウドで解決するようなソリューションを出しているお話をしようかなと思ってたんですけど、最近認証って、いろいろな局面で話題に挙がりやすいのかなって思っていて、特に去年から今年にかけて、情報漏えいだとか、多要素認証ができなかったりだとかっていうことで問題になったようなケースもあったと思うんですけど、岩崎さんがお客さんとお話をされている中で、やっぱり認証は注目を浴びてるなっていう風に思われますか。
岩崎: そうですね、色んなお客様とお話させていただいていてですね、やっぱり今まで別の会社のソリューションを使っているお客さまからもお話いただくことあるんですけど、今までは自社でやっていたんだけども、ちょっとこれから自社でやり続けることがリスクになるのでAuth0を検討しているだよというようなお客様は結構いらっしゃいますね。実はAuth0で、昨年末ぐらいに色んな企業の方に調査をしたものがあってですね、色んな企業の方がいろんなウェブサービスアプリケーション作る中で、83%、8割ぐらいの人が認証の仕組みを伴うようなサービスを作っていらっしゃるんですけど、まだ弊社のような認証システム、外部のものを使っているのが6割弱、58%ぐらいなんですよね。なので、まだまだこれから、知名度とか、利用する方が増えてくるのではないかなと思ってます。
永野: それは、様々な業界がアプリを意識したりだとか、個人情報をクラウドなりベンダーのところに置いて、それにアクセスしていくことで、例えばポイントを扱ったりだとか、何かしらの購入行動を起こしたりするところが増えてきてるからということですかね。
岩崎: そうですね。いくつか理由があるんですけど、ユーザーさんの利便性だとか、ユーザーさんによってパーソナライズというか、ユーザーのどのぐらい使い込んでるかによって違うものを見せたいですとか、そういったものがあります。それとは別に、セキュリティの方向で、ニュースに取り出さされたような問題とかもありますので、自社でセキュリティトレンドを追い続けて運用していくことっていうのが厳しいかもしれないと、そういう風に考えられるお客様というのもいらっしゃいます。
永野: セキュリティ観点で言うと、アイデンティティ、いわゆるデジタルの世界でのEメールだとかパスワードとか、それらに紐づく様々な情報というものを、自社のリスクとして負っていくってところに対しての、投資額もそうですし、技術的なキャッチアップもそうですし、企業側で追いつかなくなってくる。もしくはそういうところにリソースを持ってない企業も、そういうことをやらないと競合他社に勝てないっていうところが出てきたからなんでしょうか。
岩崎: そうですね。リソースが足りないよというお客様もいらっしゃいます。それから、今までID基盤運用していたチームがいたんだけども、利用いただくというお客様もいらっしゃいます。やはり悪意あるアクセスをするような人が出てきているという事と、それに対策するためでもあるんですけど、ブラウザですとかデバイス、スマートフォンですとかクライアント側の仕様も結構変わるというところがあってですね、その両面に自前でリソースをかけて対応していくよりは、Auth0のようなソリューションに任せた方がメリットがあるのではないかということが言えるのかなと思います。
永野: なるほど。やっぱりセキュリティの統計データを見ていると、内部関係者の人たちが盗んでしまうだとか、何かしら設定をしておかなかったから、こういう風になってしまうというところが多そうですよね。
岩崎: そうですね。いわゆる「クラウドにインフラを置く、置かない」という数年前にあった話が、もう一度、認証の場で起きているのかなっていうところがあってですね、自社で管理するのが一番セキュリティ的に良いのかというところが問われているのかなと思うんですね。IDaaS、認証基盤使っていただくことでですね、Auth0はもちろんセキュリティ的な標準にも準拠しているので、こうやって管理していますということが証明できますけど、じゃあ自社の場合って、そこってちゃんとできてますかって言うと、そうでもなかったりするお客さんもやっぱりいらしてですね。そうすると、実は企業のコンプライアンス的にも、外のちゃんとした会社に預けたほうが安全だ、安心できるというところも言えると思います。
永野: 自社に抱えることでリスクも抱えているし、様々なキャッチアップ等が必要になるよっていうところで、他のソリューション、クラウドサービスを使った方が良くなってきてるっていうのを、様々な企業さんが分かり出してきた、もしくは理解し出してきたっていうことなんですかね。
岩崎: そうですね。クラウドプラットフォームを使うことによって、インフラのエンジニアとかが、もっと良いインフラを作ることに時間を使いますよというのと似たような形でですね、この認証の部分に関しても自社の開発者をあてて、頑張って対応していくよりも、Auth0のようなところに任せていただいて、その開発リソースで、Auth0の設定をもっと頑張っていただくですとか、あるいはそのサービスのメインとなるようなイチオシの機能のところをもっと開発リソースを使って、作り込んでいく、そういったことにメリットがあるぞと感じてくださる方が増えてきているのかなと思います。
永野: クラウドっていうことになってくると、インテグレーション、つまりさまざまなアプリケーションなりサービスが、認証サービスと連携していくというところが重要になるかなというふうに思うんですけど、その標準化も結構進んでたりするでしょうか。
岩崎: そうですね。認証部分の標準化としてはですね、結構もの自体は昔からあってですね、SAMLと言われるようなもの、Salesforceでもサポートしてますけど、エンタープライズで認証連携する時に使うようなプロトコルですとか、あとOAuth2ですとか、OpenID Connectとか色々あります。色々あるんですが、意外とですね、方言があったりですとか、標準でこういう引数があるよと言われているものの一部サポートしていないようなサービスがあったりですとか、結構その実際に標準プロトコルあるからライブラリを使えば簡単に繋がるよとはいかないような場合が多くてですね。そういうこともあって、認証、私自身も昔自分で作ったこともあるんですけども、やってみると案外苦労するというところもあるかなと思ってます。
永野: そうですよね。僕も昔SAMLとかでトラブってたのは、やっぱりシステムを作っている人毎に、標準化様式をインプリする時の癖みたいなのがあって、ここのパラメータこういうふうに扱うべきだっていうふうに思っている一つのベンダーと、いやいやこっちのほうで使うべきでしょみたいに思ってるベンターのところで結局合わなかったりするしたりしたのが印象的でした。そういうところって何か解決策みたいなものだとか新しいプロトコルを使うことによってこういうふうに良くなったよみたいなところってあったりしますか。
岩崎: そうですね。プロトコルもそれぞれ工夫しているところもあるにはあるんですけども、Auth0で取っている方法としては、もうまず標準プロトコルで行うことができますとは別にですね、やはりそのお客さんがつなぎたい認証先のベンターってある程度決まってきてるところがあると思うんですね。例えばその一般ユーザ向けのサービスでしたら、Twitter、Facebook、Googleですとか、そういう人気のあるようなサービスについてはもう設定画面で簡単に接続できるよと。そうするとですね、細かい設定の違いの部分ですとか、あるいは取ってくるデータが少し違うみたいなところは、Auth0の責任で吸収して繋がるようにしますよというようなアプローチを取っています。
永野: うんなるほどね。そうですよね。そのシステムごとに開発の方たちがそこをキャッチアップしていくっていうことは必要なくて、Auth0みたいなクラウドサービス使っちゃうことによって、例えばLINEと連携するとかTwitterと連携するっていうところだけオンにしておけば、あとのそのバージョンアップだとかやり方が変わった時のキャッチアップだとかっていうことはあまり気にしなくてもいいっていうことですね。
岩崎: そうですね、おっしゃる通りですね。例えばLINEですとか、一旦作り込んだとしても、LINE側の事情でちょっと繋ぎ方、仕様が変わりますよというような場合ってのはやはり起きるんですよね。だけども、Auth0みたいなところで仕様が変わったところのキャッチアップは面倒見ますよとやることによってですね、お客様側の対応が最小限で済むというところが大きなメリットと言えると思います。
永野: なるほど。B2Cの世界では特にそういうところはすごく重要なのかなというふうに思うんですけど、B2Bの世界、例えばActiveDirectoryの連携だとか、昔のTivoliみたいなそういう社内で使っている認証システムとの連携みたいなところだと、やっぱりかなりのカスタマイズとか、その企業に合わせたインプリみたいなものがあるのかなというふうに思うんですけど、そういうところにもクラウド認証基盤みたいなものが入ってたりしてるのでしょうか。
岩崎: そうですね。Auth0ではB2C、B2Bどちらにも対応しています。B2Bでも、他の会社向けの、企業間のサービスと、社員向けのB2Eとか呼ばれるようなサービスというのも分けられると思うんですね。どちらも対応しているですが、特に企業間でのサービスということになりますと、ActiveDirectoryに対応する必要があるですとか、うちの会社の裏側はSalesforceと繋いでますよですとか、あるいはActiveDirectoryだけどAzure上のAzureADと呼ばれるディレクトリと繋いでますと。新しいお客さんが増える毎に要件があって、そこが満たせば契約しますよみたいな時にですね、いかに迅速に対応できるかっていうのが結構ビジネス上も重要になってくるかと思うんです。Auth0をご利用いただいていれば、そういう主要なEnterprise Directoryにも対応していますし、それ以外のちょっとこのお客さんはセキュリティ厳しいのでこういう仕組みにしてください、対応して、認証したい、こういうことしたいという時にも、迅速に対応できるというところが、B2Bで使う場合の強みになるのかなと思いますね。
永野: なるほど、そうでしょうね。いわゆるパラダイムシフトというか、昔のEDIとかVANみたいなところから、もう既にさまざまなパートナーとの業務というものがセールスフォースしかり、クラウドサービス上で行われているのであれば、そこの認証Directoryとかに対応していることによって、もっと柔軟にエンタープライズアプリケーションを作ることができるいうのも、メッセージとしては、日本のお客さんも大企業から中堅、中小企業まで、使われてるようになっていくっていうことなんでしょうね。
岩崎: そうですね。いかに自社のコアに対してリソースをかけているけど、他の部分は信頼できる第三者のベンダーに任せられるかっていうところだと思うんですよね。Herokuもそうだと思うんですけど、カスタムアプリケーションを作るところはお客さん頑張ってやって下さい。だけどそれを実際デプロイするですとか、そのサーバーのお守っていうところは、もうHerokuにお任せくださいっていうことをされてると思うんですけど。まあそういうことがですね、今後アプリケーションの様々な部分、うちは認証やってますけども、この部分に関してはこのSaaSを使いましょう、あの部分に関してはあっちのSaaSを使いましょう、ということがどんどん進んでいくのではないかなと思います。
永野: なるほど、ありがとうございます。実際に今プリセールスを行なわれている中で、お客さん側は認証エキスパートという方達がいらっしゃらないのかなというふうに思うので、例えばB2Cのアプリケーションでも、多要素認証とかってあんまり入れてるアプリないじゃないですか。それは殆どが利便性の問題で、もう一度認証をかけなきゃいけないみたいなところはハードルが高いのでやらさせたくないとかっていうのがあると思うんですけど、少なくともB2Cのアプリケーションにおいてこれだけのセキュリティは担保しておくべきっていうような、そういうところでございましたでしょうか。例えばMulti-Factor Authenticationって本当に必須条件なんでしょうか。
岩崎: そうですね。それはサービス内容にもよると思うんですよね。どちらかというと、B2Bの方が多要素認証は求められるケースが多いのかなと思います。じゃぁB2Cの場合はどうなのかっていうと、やっぱりインターネット上にサービス自体が出ているので、リスト型攻撃みたいな、一括のアクセスが外国から来ました、あるデータセンターのサーバーから来ましたって言った時に、検出できるのかですとか、あるいはあまりに簡単なパスワードを設定してしまったら、もうちょっと数字混ぜてくださいですとか記号を混ぜてくださいとか、そういうことができますかですとか、それもサービスの内容次第だとは思うんですけど、個人情報をどこまで入れるですとか、課金関係どうなってますかというところがあるとは思うんですけど、それ応じた設定ができるかどうかっていうところなのかなと思います。仰っていたとおり、やっぱりセキュリティを高めようとすればするほど、ユーザーさんの使い勝手的には悪くなってしまうというのが普通だと思うんですよね。そこのバランスって結構難しくて、最近話に出ていて、我々でも実装予定なものが、WebAuthnと言われる、生体認証ですね。最近パソコンでも指紋検出できるようなデバイス付いてるのが増えてると思うんですけど、スマホとかでも勿論ありますけど、そういうものを使って認証すると、パスワードを入れる手間も要らなくなるから一ついいですよねと。かつ生体認証でのセキュリティも確保できるので、もしかするとそっちの方向に行くのかなと。それから、多要素認証にしても、ログインするたびに求めるっていうのはやっぱり面倒だなっていうところなので、特定の処理をした時ですね、例えば個人情報が出てくるようなページを見ましたですとか、クレジットカード情報をチェックしようとした時に多要素認証を求められますですとか、新しいデバイスからのアクセスの時に多要素認証求める。そういう、怪しいぞというところに対して、ちょっとユーザーに作業してもらうというような形になってくるのかなと思います。
永野: なるほど。例えば標準プロトコルに対応していると、生体認証でiPhoneを使っているユーザーさんであれば、本来だったらAppleが用意したSDKを読んでAppleのクラウドの上にあるその認証の情報と連携するっていうアプリを作るっていうことが必須なんだけれども、それに対応してあげればAppleのiPhoneは使ってもいいけれども特にAppleに情報を渡さなくてもそこでアプリケーションとして動くようなものを作って配布することができるということですか。
岩崎: えっとですね、iPhoneで言いますと、そのクライアント側で認証されているのかなと思うんですけども、Appleに関しては、やはりApp Storeがありますので、これを基準を満たしているアプリだけがApp Storeに載せられるというものがあるんですね。なので従わなければならない部分っていうのはあります。そこにですね、仕様も変わっていくっていう中でどう対応していくのかっていうのを、Auth0とかを利用していただくと、こちら側で可能な部分は対応しますし、無理な部分はアナウンスしますよと。そうでない場合は自前で頑張ってくださいねというところになるので、そこの違いが出てくるのかなと思います。
永野: そうですね。ちょっとAppleだと例としてあんまり良くはなかったかもしれないですね。生体認証デバイスっていうのは他のOSだとか、他のいろいろなメーカーでも対応しているので、そこに標準化が関わってくるといろいろなデバイスが出てきた時に、それに載っておけばこのアプリ使えるようになるよっていうことが言いやすいということですね。
岩崎: そうですね、それはあると思いますね。
永野: なるほどありがとうございます。認証のクラウド化、サービス化はトレンドとしてかなり流行ってきてるのかなっていう印象はあるんですけど、日本の業界は、まだまだやり始めぐらいの状況なのかなと思うんですが、実際にこれからIDaaSと呼ばれるものっていうのは、どのくらいの状況で増えていくという風に思いますか。
岩崎: そうですね、おっしゃる通り、まだまだこれからなんですけども、Auth0ジャパンもですね、前四半期は過去最高のおかげさまで業績となっているというような状況もあってですね、あと日本のお客様、やはり他社さんが入れていらっしゃる事例があると、うちもやってみようかなっていうところがあると思うので、Auth0としてもですね、事例を紹介させていただくと、それを見て問い合わせいただくというようなこともかなり増えているので、当たり前になっていくプロセス、皆さんがこれいいなですとか、この会社もやってるなというのが増えていくとですね、日本の企業やはりこれで行くべきだとなって、パラダイムシフトと言いますか、結構マインドが変わってきてですね、ぱっと広がるという可能性が大きくなってくるのかなと思っています。
永野: 特に御社、最近ウェビナーとかで色々お話しされてるのかなというふうに思うので、これから多分、IDaaSはどんどん企業さんとか、個人でも使えるようなものとして使えるようになっていくのかなと思うので、結構期待しております。
岩崎: ありがとうございます。そうですね。私もちょくちょくウェビナーでお話しているんですけど、本当に個人の方も、フリープランが勿論ありますので、個人の方こそ、まずはやりたいアイデアにフォーカスして貰ってですね、こういうサービスを色々活用していただくのが良いかなと思います。
永野: はいどうもありがとうございました。今日は色々認証について教えていただいてありがとうございました。ゲストは岩崎輝之さんでした。
岩崎: ありがとうございました。
Code[ish] JP とは
ゲストを迎えてコーディング・技術・ツール・開発者の日常を探る Heroku の Podcast です。
ホスト
Code[ish] JP の他のエピソード
Fastlyの相澤さんと、CDNについてのお話
HerokuエコシステムパートナーであるFastlyに勤務されている相澤 俊幸さんをお迎えし、CDNやFastlyの特徴的な技術についてお話しをいただきました。
TAOドライブの松本さんと米井さんと、Heroku Connectについてのお話
Heroku Connectを利用することで、Salesforce CRM内のデータを活用し、外向けのアプリケーションを開発したり、データHUBとして様々なWebシステムと連携することが容易にできるようになりました。今回のエピソードでは、SIパートナーのTAOドライブ株式会社から、代表取締役社長の松本さんと、エンジニアでSalesforce MVPの米井さんをゲストに迎え、Heroku…
リゾルバの佐伯さんと、ITコンサルについてのお話
株式会社リゾルバの佐伯 葉介さんをお迎えし、Salesforceエコシステムでのビジネスや、ITコンサルティングについてお話しをいただきました。