「【Qiita Meetup】Auth0創業者が語る認証・認可のこれまでとこれから」イベントレポート
IDとパスワードでログインし、Webサービスを利用する。このようなWeb上での本人認証・認可は、もはや日常になっています。それに伴い、開発者は認証ログイン画面の設定やセキュリティ対策に追われるようになりました。それらの課題を解決するツールとして注目されているのが、Oktaが提供する認証システム「Okta Customer Identity Cloud(以下、Okta CIC)」です。
OktaとQiitaは2022年12月、開発者向けイベント「Auth0創業者が語る認証・認可のこれまでとこれから」を共同開催しました。会場にはカスタマーアイデンティティクラウドの前身であるAuth0(オースゼロ)創業者、ユーへニオ・ペース氏をご招待。認証・認可が今抱える課題と、開発者がそれにどのように向き合うべきかを尋ねました。開発者が今抱える悩みに寄り添った、本イベントの要旨をお伝えします。
Auth0の誕生から約10年。創業者のユーヘニオ・ペース氏が来日登壇
「開発者の認証管理をシンプルに」を掲げて、2013年にAuth0を創業したユーへニオ・ペース氏。イベントでは自らも開発者であるQiitaの清野 隼史を聞き手に、創業時の思いから、認証・認可やソフトウェア開発の未来、開発者に求められる姿勢まで語りました。
目次
プロフィール
終わりのない認証・認可の課題。常に最新のナレッジを共有するために起業した
――Auth0創業期の開発のきっかけや、そこにあった思いを聞かせてください。
ユーへニオ・ペース氏(以下、ユーへニオ):私は2013年に、マティアス・ウォロスキーと共にAuth0を創業しました。それ以前は2000年からアメリカのマイクロソフト本社でエンジニアとして働いていました。当時のマイクロソフト社では、データサーバーへのアップロードからクラウドへの移行が試みられていましたが、遅々として進みませんでした。マイクロソフト社でのキャリアの後半5年ほどは、その壁に立ち向かうために費やしました。中でも大きな問題が、認証でした。
クラウドへの移行とは、データを会社のサーバーではなく、不特定多数の人たちが利用するネットワーク上に置くことです。そのため誰でも利用できるWebサービス上のデータを、様々な脅威から守らなければなりません。結果として、Webサービス利用時における本人認証の重要性が、日ごとに高まりました。
しかしそれは、開発者にとって必ずしも良いことではありませんでした。クラウド化とスマートフォンの普及によってデータ漏えいの危険度が増すとともに、認証には高度なセキュリティが求められるようになります。加えてログイン画面は便利で分かりやすいものでなければなりません。コアビジネスとの関連は薄いけれども、軽視するわけにもいかない。開発者にとって認証は、ある意味「厄介者」のような存在になっていました。
開発者の認証・認可にまつわる懸念を取り除きたい。それが私の目標になりました。その手段として最初に考えたのが、書籍の出版です。私はマイクロソフト社での仕事を通して、「認証」に対して誰よりも真摯に向き合ってきたという自負がありました。その知識をほかの開発者にも共有したいと考えたのです。2009年に仲間と編集・発行した初の書籍は、開発者から一定の支持を得て、成功を収めたかのように見えました。
しかしこのとき、セキュリティには「ここまでやったら終わり」というゴールがない問題を見落としていました。テクノロジーは常に進歩しており、新しい脅威や脆弱性が発見されます。発行時には完全だと思っていた書籍の内容も、わずか数年経つと大幅な修正・加筆が必要になり、私たちは書籍とは別の知識共有方法を探すことになりました。
書籍に替わるサービスを作り、開発者に提供しよう。それが、私たちが熟考した末にたどり着いた結論です。私も、共同創業者のウォロスキーも、エンジニアです。自分たちの手で、自分たちがほしい認証システムを作ろうと考えました。私は早速社内でアイデアを伝えましたが、あえなく却下。私はマイクロソフト社を退社し、ウォロスキーと2人でAuth0を立ち上げました。
ただ、私は起業を即断できたわけではありませんでした。安定した会社員という身分を捨てて、0から会社を立ち上げるのには勇気が必要でしたし、私には起業に失敗した過去があったため、自信もありませんでした。そのような状況で「あなたがやってみたいなら、絶対にやるべきよ」と背中を押してくれたのが、妻でした。妻は言葉だけでなく、起業から撤退判断までのタイムラインも作って応援してくれました。彼女には非常に感謝しています。
シンプルでカスタマイズしやすい。そんな認証システムをめざして
――Auth0を立ち上げたときの展望はどのようなものでしたか。
ユーへニオ:Auth0は、2つのゴールをめざしていました。1つ目は「シンプルであること」です。様々な場所にデプロイされるソフトウェア、言語やサービス、プラットフォームに依存しないユーザーID、高度なセキュリティなど……創業当時の2010年代前半、開発者は多岐にわたる課題を解決するために、複雑な認証・認可システムの構築を強いられていました。このような複雑さを覆すため、アイデンティティ管理を極力シンプルにしたかったのです。
2つ目のゴールは「拡張性の高さ」です。顧客企業からプラットフォームのカスタマイズを求められたとき、コードを何行も書かなくても、簡単にカスタマイズできるようにしたいと考えました。このアイデアが、AWS Lambdaすらまだなかった2014年に、サーバーレスランタイムであるWebtaskを導入するきっかけとなりました。結果として、Auth0は、あらゆるユースケースに対応する幅広いソリューションを提供できるようになったのです。すべての努力は、ただひたすらに開発者の一助となるためのものでした。
――その中で、2022年11月に発表された新ソリューションOkta CICとは、どのようなサービスですか。
ユーへニオ:Okta CICは、Auth0のテクノロジーを用いたサービスです。したがって、根幹にある2つのゴールは変わりません。セキュリティやプライバシーを犠牲にすることなく、ユーザビリティの高い認証システムを提供する。すべての人が、あらゆるテクノロジーへ安全にアクセスできるようにする。このようなAuth0の取り組みをさらに強化し、開発者がイノベーションに集中できるよう支援する手段が、Okta CICというサービスだとお考えください。
世界的に見ても、デマンドに対する開発者の数は不足しています。一朝一夕に増やすことも難しいでしょう。一方でエンドユーザーにとっては、認証・認可やID管理は「見えない存在」であったほうが、Webサービスを快適に使えます。開発者にはセキュリティを担保しながらも認証・認可の存在感を可能な限り薄くするという、難しい対応が求められます。コアな要件でないにも関わらず、少なくない負担を強いられるのです。
Okta CICは、コンシューマーアプリの入口にアイデンティティ管理を導入したり、SaaSアプリでビジネスカスタマーアイデンティティを簡素化したりすることで、開発者の負担を軽減しています。複雑なID管理をOkta CICに任せることで、開発者がコアビジネスに集中できる環境を作りたい。今回の新サービス発表の背景にある、Auth0創業当時から変わらない思いです。
テクノロジーの進歩と増え続ける脅威。解決のカギは「信頼」にある
――今後、認証・認可やソフトウェア開発におけるID管理は、どのように変化していきますか。その中で開発者にはどのような姿勢が求められるのでしょうか。
ユーへニオ:顔認証をはじめとする生体認証を使ったログインや、パスワードを使わないログインの普及がより進むでしょう。はるか遠い未来の話ではありません。技術的には、今すぐにでも実現可能です。開発業界もそのようなイノベーションを受け入れて勢いづいており、進化したログイン手法が主流になる可能性は十分に見えてきています。
テクノロジーが進化すると、未知の脅威も出てきます。近年表出している個人情報の管理やプライバシーに関する懸念は、その最たるものです。一部のプラットフォーマーに個人情報が集中している現在、ユーザーのデータを、ユーザー自身の手に取り戻す動きも出てきています。その一例が、特定のID発行者に依存せず、ユーザー自身が自分であることや自分に関する情報を証明する仕組みの「分散型ID(DID)」です。
様々な問題がありますが、すべての根本にあるのは「信頼」だと思います。ユーザーとの関係をどのように構築していくのか。そして維持していくのか。これらの問いに対して真摯に向き合い、課題を1つひとつ解決していくことが、今後の開発者に求められるのではないでしょうか。
同時に、時流に沿ったクリエイティブな能力の向上も必要になるでしょう。認証・認可の世界でも、新しいイノベーションをいかに早く採用できるかが勝負です。AppleがApple IDでのみログインできる機能を実装したわずか1週間後には、私たちもAuth0にApple IDでのログイン機能を追加しました。第一線で活躍する開発者には、このような対応をものともせずやってのける能力が必須になるはずです。
ソフトウェア開発の分野にも、AI化の波は押し寄せてきています。私はこの分野におけるAIの活用について、当初は懐疑的でした。しかしその進化を目の当たりにするにつれ、考えが変わりました。ソフト面の開発はAIが行い、さらに上流のアイデア出しや計画策定、要件定義などを人間が行う。そのような流れがスタンダードになる未来は、そう遠くないのかもしれません。
もちろん、このような変化にどれくらいの時間がかかるのか、そして最終地点がどこにあるかはまだ見えません。しかし私たちが、パラダイムシフトが起きている転換点に立っていることは確かです。そう考えるとワクワクしてきませんか。日本の開発者のみなさん、共に未知の課題に立ち向かっていきましょう。Okta CICは、そのための良きパートナーになれると信じています。
Okta CICで実現。凸版印刷が挑む「0からのDX改革」
Auth0として世に出したあと、着々と導入社数を増やしていったOkta CIC。同サービスは日本のソフトウェア開発の現場でどのように活用されているのでしょうか。イベントでは、DX推進の一環としてOkta CICを導入した凸版印刷の柳田 賢祐氏、髙橋 慶彦氏が登壇。20年以上にわたりシステム開発に携わるOkta Japanの岩崎 輝之氏を進行役に迎え、トークセッションを行いました。
プロフィール
受託開発から自社開発へ。会社のDNAを根本から変える大胆な改革
――どのようなビジョンを持ってDXへの取り組みを進めていますか。また、取り組みを始めたきっかけを教えてください。
柳田 賢祐氏(以下、柳田):現在、凸版印刷では「デジタル&サステナブルトランスフォーメーション」を方針に掲げ、印刷という枠に捉われない様々な事業を展開しています。めざしているのは、社会課題の解決、事業ポートフォリオの根本的な変革です。
印刷会社として出発した凸版印刷には「お客さまからのご要望に沿ってきちんとモノづくりをする」という、受注産業ならではのDNAがありました。しかし、あらゆる業界でDX化が進む現在、そのDNAだけでは生き残っていけません。そこで、データの活用によってビジネスの付加価値を高めつつ、もともとある基盤の強化にも注力しています。例えば人材育成の分野では、昨今のクラウド化のトレンドを意識して、クラウドの認定資格取得を奨励しています。
――Okta CICを導入した背景について教えてください。
柳田:凸版印刷にはシステム開発部門がありますが、業務の多くを個別の受託開発が占めていました。DX事業をさらに伸ばしていくには、独自の自社サービスを開発していかなければなりません。そのためには相応の人員が必要ですが、当時、専門人材を新しく配置するのは、現実的ではありませんでした。時間も人員も限られている中で、どうすれば安心して提供できる自社サービスを作れるか。考えるうちにたどり着いたのが、Okta CICの導入でした。
髙橋 慶彦氏(以下、髙橋):私たちは活動のキーワードとして「クラウドネイティブ」も掲げています。クラウドサービスを積極的に利用することで、自社の強みを生かした開発にフォーカスできると考えたためです。根本にあるのは、自社で行うべきコアの業務を整理して、それ以外の業務は専門家に任せるという考え方。Okta CICは認証・認可の分野で実現してくれる存在でした。
シングルサインオンを標準装備。認証まわりの開発の悩みが一気に解消
――Okta CICを使って開発したサービスには、どのようなものがありますか。
柳田:Okta CICを使って、2つの自社サービスを展開しています。1つ目は「BRIDGITAL®(以下、ブリジタル)」という資材マッチングサービスです。リアルタイムでの在庫管理によって、在庫や配送の効率化を支援しています。このマッチングの仕組みを応用して、近年社会問題化しているフードロス対策にも貢献しています。具体的には、賞味期限間近の防災備蓄食品を寄贈したい自治体と、寄贈先とのマッチングを行うもので、東京都環境局でも導入されています。
髙橋:ブリジタルはゼロから開発を始めたわけではなく、以前に自社で開発したシステムを改修したものです。既存システムは開発から10年以上の時を経て古くなり、多様化する顧客のニーズに対応できなくなっていました。そこで、機能の切り出しや組み合わせによってシステムの負荷を減らし、効率を高めていこうと考えたのです。当初は自分たちで認証まわりの開発をする予定でしたが、クラウドネイティブの方針に沿って考え直し、Okta CICの導入を決めました。
Okta CICを導入した最初の案件ということもあり、エンタープライズコネクションなどの複雑な機能は使わず、シングルサインオンやユニバーサルログインといった標準機能のみを使っています。簡単ではありますが、AWSの構成も行いました。RDSを使っているのでフルサーバレスのサービスではないのですが、アプリケーションはよくあるサーバーレスの構成を採っています。
柳田:2つ目の自社サービスは「SALAD-BAR®(以下、サラダバー)」という、営業担当者向けのWebサイト作成ツールです。コロナ禍において、多くの営業担当者が「お客さまを直接訪問しづらい」という課題を抱えているはずです。そんなときサラダバーを使えば、取引先企業ごとに最適な提案・セールス用のWebページを構築できます。素材を選んで組み合わせるだけですので、Webの専門知識がない営業担当者でも簡単に操作できるのが強みです。
髙橋:サラダバーはもともと弊社の営業が使っていたサーバーを、外販できるように組み直して作りました。社内では以前から従業員のデータベースで接続し、シングルサインオンでログインできるしくみを構築していたのです。そのためクラウド化にあたっても、シングルサインオンは譲れない条件でした。その点も、Okta CIC導入の決め手になったと思います。サラダバーでは標準機能に加えて、エンタープライズコネクションの機能も使用しています。
サラダバーの開発担当者には、シングルサインオンでログインする仕組みを1から作った経験がありましたが、非常に苦労したそうです。その点Okta CICを使えば、ほぼ設定のみでシングルサインオンが実現できるので、大変助かったと聞いています。認証まわりの開発負担が大幅に減ったおかげで、タイトなスケジュールを乗り越えて期日通りにリリースすることができました。
全機能を試せる無料トライアルが魅力
――Okta CICを導入してよかった点を教えてください。
髙橋:Okta CICの良さは、大きく分けて3つあります。1つ目は「無償プラン」です。自社開発を行う開発者のほとんどは、認証まわりの開発の大変さを痛感しており、Okta CICのようなツールの必要性は十分に認識していると思います。しかし、それぞれのツールが、自社が本当に求めているものかどうかは、使ってみないと分かりません。すぐ有償プランに契約するのは、やはりためらってしまうのではないでしょうか。その点Okta CICには無償プランがあり、トライアル期間中なら無料ですべての機能を試せるため、安心して契約できました。
2つ目は「公式ドキュメントの充実」です。Okta CICは、公式ドキュメントやチュートリアルが非常に充実していて、サンプルアプリも用意されています。経験が浅いエンジニアでも、このような公式ドキュメントを見れば簡単に使えて、ユーザビリティの高いログイン画面を作れます。JavaやPythonなど対応言語も豊富で、エンジニアのキャリアに関わらず使えるのも助かります。
3つ目は「機能の組み込みやすさ」です。認証システムは、単にログインできれば良いというものではありません。不正アクセスをブロックしたりリカバリーしたりする機能、使いやすいUIなど、様々な要素が必要で、開発の難易度が高いシステムです。Okta CICには、それらの機能がひと通り揃っている上に、コードを数行書くだけで簡単に組み込めます。これってすごいことですよね。Okta CICは認証分野の先頭を走るサービスだと思っています。これからも開発者の心強いパートナーとして、この分野をけん引してほしいです。
編集後記
開始から終了までエンジニアの熱気に満ちていた、本イベント。参加者からも「セキュリティや認証・認可の大きな流れや今後の展開がわかり、勉強になりました」「いろいろな事例が聞けて、Okta CICへの興味が増しました」といった喜びの声が上がりました。分野を問わずDX化が進み、国境を超えたデータの移転が議論される現在、認証・認可の重要性はますます高まっていくはずです。その中でOkta CICは、難問に立ち向かう開発者の強い味方であり続けるでしょう。
取材/文:株式会社Tokyo Edit
撮影:高木 成和
Okta JapanではCICの開発者コミュニティを支援するDeveloper Advocateを積極的に採用しています