2024/03/19 by 玉木 亜弥子 クラウド化が進み、あらゆるサービスがWebで受けられる時代を迎えつつあります。 それに伴い、サービスのセキュリティの第一関門ともいえる認証基盤に対して、ユーザーエクスペリエンス向上と個人情報保護の両立が求められています。 特にEコマースサービスなど消費者向けの認証基盤については、時にはクレジットカード等の機密情報を扱う場合もあり、各国の個人情報法にも配慮しながらアカウントの属性情報を保存しなければならず、より高いレベルのセキュリティ対策が求められます。 優れた認証体験と情報管理をできるだけ管理者に負担をかけずに実現するためにはクラウド化された認証基盤であるIDaaS(Identity as a Service)の利用が有効ですが、多くのIDaaSがサブスクリプション型の課金体系をとっているため、膨大なユーザー数を前にコスト面で導入をためらう企業も少なくないと思います。加えて、存在するが使われていない幽霊アカウントも悩みの種でしょう。 これらの課題について、私自身も顧客向けIDaaS導入の際に頭を抱えてきました。 マイクロソフトが提供する顧客ID管理用のIDaaS「Azure Active Directory B2C」は、これらの課題の解決策としてご注目いただきたい存在です。 DXC TechnologyとMicrosoftはグローバルな戦略的パートナーシップに基づき、幅広いテクノロジーとサービスでお客様のクラウド活用やビジネス拡大をご支援しております。 Azure AD B2Cとは Microsoft Entra ID(旧:Azure Active Directory)は、企業・組織の統合ID基盤として高い知名度があり、特にマイクロソフト製品を導入している場合には、従業員などの組織内のID管理および認証のためによく採用されています。マイクロソフトはセキュリティ対策に莫大な投資を行っており、その知見を活用した基盤であることも特徴の1つだと言えます。 一方でAzure Active Directory External Identitiesの一部であるAzure Active Directory B2C(以下、Azure AD B2C)は、顧客 ID アクセス管理 (CIAM) ソリューションで、会員制サイトやEコマースを運営する企業におけるID管理・認証に関するさまざまな課題に対応します。 内部アーキテクチャはMicrosoft Entra ID上で動作していますので、条件付きアクセス、 Identity Protection等、Microsoft Entra IDのセキュリティ機能を存分に利用できるセキュアな基盤となっています。 1日あたり何百万もの顧客による何十億もの認証をサポートし、もしかしたら利用は1度きりかもしれない顧客のことも視野に入れたうえで必要とされる機能が網羅されているソリューションと言えます。 顧客にとってのID管理の悩み 会員制サイトなどを利用する顧客の立場では、次のような課題があり、Azure AD B2Cが解決手段を提供します。 サービスごとにID/パスワードを登録するのは手間で、覚えるのも大変 サービスを提供する企業はそれぞれ独自の顧客ID管理を行っているため、顧客は登録や管理に手間がかかります。「すでに使われているIDです」などとエラーが発生すると面倒ですし、セキュリティを高めるためにはパスワードの使い回しを避けたいところですが、長さや記号の有無といった規則もまちまちで煩わしく感じます。継続的な利用の予定がなく1度きりの注文になるかもしれないEコマースの場合、なおさらです。 これに対する解決方法の1つが、SNSなどのソーシャルアカウントによる登録・ログインフローの提供です。Azure AD B2CではMicrosoft、Facebook、LinkedIn、Googleなど各種IDプロバイダの認証基盤と連携する仕組みを実装できます。 同じ企業のサービスなのに、全てID/パスワードがばらばら 企業によっては、顧客向けサービスが複数存在する場合もあります。その場合、それぞれのサービスのID/パスワードがバラバラに管理されていたら、単にユーザーが管理すべきIDが増えて面倒なだけでなく、ユーザーエクスペリエンスも損なわれます。ID・アクセスの管理がAzure AD B2Cに統一されれば、顧客側はシングルサインオン(SSO)が可能になります。 サービス提供会社にとってのID管理の悩み サービス提供会社の立場では、次のようなニーズにAzure AD B2Cが対応します。 サインアップ画面をカスタマイズしたい サービス本体とログイン画面のデザインを統一したくても、カスタマイズできる範囲が限定的なIDaaSが少なくありません。Azure AD B2Cでは、ログインエクスペリエンスをHTML、CSS、JavaScriptを使用してカスタマイズできるので、ユーザーエクスペリエンスの統一や、コーポレートイメージの一貫性の維持が可能です。 セキュリティ対策として顧客向けに多要素認証を導入したい Microsoft Authenticator、SMS、電話、ワンタイムパスワードなど、さまざまな多要素認証に対応しています。Microsoft Entra IDの条件付きアクセスと組み合わせれば、ログイン場所(IPアドレス)、ユーザーグループによって求める多要素認証を変えることも可能です。 初回登録やセルフパスワードリセットといったシナリオにも対応したい 通常のログイン処理だけでなく、さまざまなサインアップシナリオが作成できます。初回ユーザー登録やセルフパスワードリセットの他にも、住所や電話番号などの属性情報が変わったときに顧客が自分で更新できるようにするなど、柔軟にシナリオのカスタマイズが可能です。 個人情報保護の法制度に柔軟に対応したい 個人情報保護に関する法的規制の強化が世界で進んでおり、企業は想定していなかった新たな規制にも対応していく必要があります。例えばEUのGDPR(General Data Protection Regulation:一般データ保護規則)では、原則として、ユーザーの承諾を得たとしてもデータをEU域外に持ち出すことはできません。例えばアメリカのデータセンターで運営しているIDaaSの場合、サービスは提供できても、そこに個人情報データを保存してはならないケースがあります。 Azure AD B2C上のディレクトリには、住所、電話番号、メールアドレスなどのカスタム属性をユーザーごとに100個保持できます。サービスは全世界で提供していますが、今後規制によってデータの格納場所を分離する必要に迫られた場合にも対応しやすいアーキテクチャとなっており、データを地元リージョンのAzureやオンプレミスなどの外部システムに格納し、APIで必要に応じて呼び出すことでセキュアに連携する運用も可能です。 スモールスタートしやすくリーズナブルな料金体系 サービス提供会社にとってのメリットで特に強調したいのが、「運用コスト」です。消費者向けサービスにも対応する機能を備えたIDaaSは他にも存在しますが、課金体系はアカウント数で決められている場合が一般的で、何万人という膨大なユーザーを抱えるサービスではコスト負担が大きな課題になりやすいようです。また、消費者向けサービスにおいては、使用されていない幽霊アカウントが増えがちで、これらの取り扱いにも頭を悩ませるところです。 Azure AD B2Cは月間アクティブユーザー(MAU)数に対して課金される従量課金体系で、しかもその価格がリーズナブルです。5万アクティブユーザーまでは無料となっており、それを超えた分についても1MAUあたり0.4円程度~となっています*。 *料金体系や価格等についてはマイクロソフトのWebサイトから最新の情報をご確認ください。 Azure AD B2Cの使用は、Microsoft Entra ID P1(旧Azure AD Premium P1)以上のライセンスが1つとログイン画面用の画像やCSSなどを保存するAzure Storage Serviceの領域があれば始められますので、すでに社内のセキュリティ対策を前向きに進めてきた企業であれば、ライセンス面での初期投資が不要なケースも多いでしょう。 手の込んだカスタマイズには特有の技術力が必要 安価でありながら必要な機能を備えるAzure AD B2CはIDaaS導入のハードルを下げた画期的なサービスです。しかし、前提としてMicrosoft Entra IDの知識が必要です。また、基本的なユーザーシナリオはユーザーフレンドリーなGUIで設定できる「ユーザーフロー」で実現できますが、さらに手の込んだカスタマイズを行う場合にはAzure AD B2Cに特化した高度な知識が求められることに留意が必要です。 次に挙げるような機能は、高度な知識が必要な「カスタムポリシー」で実装する必要があり、Identity Experience Framework(IEF)というフレームワークのXMLファイルを直接編集しなければなりません。 独自の電子メールサービスプロバイダを利用した「ユーザー登録ありがとうございます」のようなメッセージの送信特定のユーザーグループのみ多要素認証を必須とするような、条件付きアクセスポリシーの設定OIDC、OAUTH、REST APIを利用した認証 現時点(2024年2月)では、IEFについて詳しい技術者は多くありません。日本語での解説もほとんど存在しないのが現状です。マイクロソフトがGitHubに導入テンプレートを用意しているものの、マイクロソフト公式のマニュアルの記述はまだ乏しく、これを既存のマニュアルや情報だけで初心者がカスタマイズすることは至難の業でしょう。私自身も初回の導入時には経験のあるコンサルタントに多くの支援をいただきながら導入しました。そのため、上述した「ユーザーフロー」で企業の求めるシナリオを作成できない場合は、IEFを理解しているベンダーなどに依頼することになるでしょう。 DXCテクノロジーはマイクロソフトのグローバル戦略パートナーであり、Microsoft Entra IDおよびAzure AD B2Cに関する知見と合わせて、顧客向けID管理のご支援が可能です。また、セキュリティやシステム構築に関する数多くのプロジェクトを通して、豊富な知見を積み重ねています。セキュリティ事故の発生は企業の信用問題や事業継続に直結し、特に顧客データの流出などによる影響は甚大です。 顧客向けIDaaSの導入や見直しを検討しているお客様は、DXCテクノロジーへぜひお問い合わせください。 著者について 玉木 亜弥子(Amiko Tamaki) テクノロジーコンサルティング事業部 テクノロジーコンサルタント 日本ヒューレット・パッカード入社。その後、外資系コンサルティングファーム、日系事業会社のIT部門、Microsoftパートナー企業を経て、DXCテクノロジーに入社。現在は同社にてマイクロソフトコンサルタントとして活動。Microsoft365、Power Platform、Dynamic365等の幅広いマイクロソフト製品の導入・運用経験がある。
玉木 亜弥子(Amiko Tamaki) テクノロジーコンサルティング事業部 テクノロジーコンサルタント 日本ヒューレット・パッカード入社。その後、外資系コンサルティングファーム、日系事業会社のIT部門、Microsoftパートナー企業を経て、DXCテクノロジーに入社。現在は同社にてマイクロソフトコンサルタントとして活動。Microsoft365、Power Platform、Dynamic365等の幅広いマイクロソフト製品の導入・運用経験がある。