認証に関する欧米の動向
――認証・認可の重要性は言うまでもありませんが、IDなどの認証情報の管理をクラウドで提供する、いわゆるIDaaS(Identity as a Service)と呼ばれるサービスは、日本ではまだまだこれから広がっていく段階だと認識しています。欧米では現在どのような動きがあるのでしょうか?
Jasmit 欧米に限った話ではありませんが、サービスの利用者は自身の情報をコントロールしたいと考えています。そこで重要となることは、利便性とプライバシーとセキュリティの3点です。
利用者は、早くそしてスムーズにアクセスすることを望んでおり、時間がかかると致命的です。そこで、1点目として利便性がとても重要なポイントになります。
2点目のプライバシーについては、欧州の場合GDPRが始まっており、準拠することがマストとなります。
3点目のセキュリティについては、個人情報をやり取りするのだから当然重要なのですが、特に生体認証が最近では1つのキーワードです。生体認証は若い世代との関連が強そうですが、年代や地域や性別など、デモグラフィックに調査する必要があります。
Jasmit 欧米に限った話ではありませんが、サービスの利用者は自身の情報をコントロールしたいと考えています。そこで重要となることは、利便性とプライバシーとセキュリティの3点です。
利用者は、早くそしてスムーズにアクセスすることを望んでおり、時間がかかると致命的です。そこで、1点目として利便性がとても重要なポイントになります。
2点目のプライバシーについては、欧州の場合GDPRが始まっており、準拠することがマストとなります。
3点目のセキュリティについては、個人情報をやり取りするのだから当然重要なのですが、特に生体認証が最近では1つのキーワードです。生体認証は若い世代との関連が強そうですが、年代や地域や性別など、デモグラフィックに調査する必要があります。
Auth0 インターナショナルソリューションヘッド Jasmitさんはロンドンから参加
――利便性とプライバシーとセキュリティが重要なのは日本でも同じだとお考えですか?
Jasmit これは人間の行動に基づくので、日本でも同じだと考えます。デジタルサービスの利用が、特に金融業界で増大していますが、先の3点はデジタルサービスの活用度に関わらず重要です。
Jasmit これは人間の行動に基づくので、日本でも同じだと考えます。デジタルサービスの利用が、特に金融業界で増大していますが、先の3点はデジタルサービスの活用度に関わらず重要です。
認証・認可に関するニーズの業界差異
――NTTデータでは『Auth0』のリセールを金融マーケット事業部という組織が担っていますが、金融機関だけでなく製造業やインフラ業界にも導入実績があります。認証・認可について、業界による違いはあるのでしょうか?特に金融業界で特徴的なニーズがあれば教えてください。
Jasmit 金融機関で重要となるのはカスタマーエクスペリエンスだと思います。それは直観的でなくてはならないからとても難しく、過去には失敗の歴史があります。特にミレニアル世代は、新しい金融デジタルサービスにアクセスするため、金融業界こそカスタマーエクスペリエンスが重要となる業界なのです。
認証の観点から言えば、金融機関が認証サービスを選択する際には、将来も継続されるサービスであるという保証と、拡張性がポイントとなります。なぜなら、金融業界は規制の変更や新しい法律の適用が頻繁に起きるからです。柔軟性も必要です。規制変更などを背景に、ある日突然、認証プラットフォームのユーザーが激減してしまうことがあるかもしれません。また突然プロモーションがうまくいって、ユーザーが激増することだってあるでしょう。
また、金融デジタルサービスという観点では、オムニチャネルの機能を備えていなければなりません。
――金融業界、特に欧州では“PSD2(Payment Service Directive 2 ※1)”という決済に関する規制がホットトピックとなっている認識です。PSD2ではオープンAPIによるサービス向上が期待されていますが、同時に厳格な本人認証が求められます。PSD2に対して金融機関はメリットがあるのでしょうか。
(※1)PSD2(Payment Service Directive 2):国際市場における決済サービスのあり方に関して、欧州議会がメンバー各国に法制度化の義務を課した指令のこと。2015年に成立。
Jasmit ずっと昔の銀行との付き合い方を思い出して欲しいと思います。かつては、利用者は歩いて銀行に行き、ATMがない時代は、銀行員と顔を合わせてお金のやり取りをしたでしょう。それでセキュリティが担保されていたのです。それと同じことが技術により実現されるに過ぎません。
次に、スーパーに行った時のことを考えてみてください。もしあなたがパスタを好きだったとしたら、色が白いもの、茶色味があるもの、オーガニックのものと、10個以上のブランドから好きなものが選べるでしょう。金融業界だって、顧客に選択肢を与えなければなりません。PSD2は規制ではありますが、そういった柔軟性を提供する前向きなものとして捉えています。
銀行をはじめとして金融機関がオープン化するのはとてもポジティブな動きです。イギリスはその点進んでいると思います。オープン化に際して認証が必要となりますが、サードパーティーでその機能を実現するのであれば、冒頭に述べた利便性、プライバシー、セキュリティが重要になってきます。
金融サービスで人々を幸せにするため、どのようにサポートするかということを考えなくてはなりませんが、それに終わりはないのです。Auth0では、そのトレンドを作り上げることや、より安全なサービスに向け進化を継続しています。
Jasmit 金融機関で重要となるのはカスタマーエクスペリエンスだと思います。それは直観的でなくてはならないからとても難しく、過去には失敗の歴史があります。特にミレニアル世代は、新しい金融デジタルサービスにアクセスするため、金融業界こそカスタマーエクスペリエンスが重要となる業界なのです。
認証の観点から言えば、金融機関が認証サービスを選択する際には、将来も継続されるサービスであるという保証と、拡張性がポイントとなります。なぜなら、金融業界は規制の変更や新しい法律の適用が頻繁に起きるからです。柔軟性も必要です。規制変更などを背景に、ある日突然、認証プラットフォームのユーザーが激減してしまうことがあるかもしれません。また突然プロモーションがうまくいって、ユーザーが激増することだってあるでしょう。
また、金融デジタルサービスという観点では、オムニチャネルの機能を備えていなければなりません。
――金融業界、特に欧州では“PSD2(Payment Service Directive 2 ※1)”という決済に関する規制がホットトピックとなっている認識です。PSD2ではオープンAPIによるサービス向上が期待されていますが、同時に厳格な本人認証が求められます。PSD2に対して金融機関はメリットがあるのでしょうか。
(※1)PSD2(Payment Service Directive 2):国際市場における決済サービスのあり方に関して、欧州議会がメンバー各国に法制度化の義務を課した指令のこと。2015年に成立。
Jasmit ずっと昔の銀行との付き合い方を思い出して欲しいと思います。かつては、利用者は歩いて銀行に行き、ATMがない時代は、銀行員と顔を合わせてお金のやり取りをしたでしょう。それでセキュリティが担保されていたのです。それと同じことが技術により実現されるに過ぎません。
次に、スーパーに行った時のことを考えてみてください。もしあなたがパスタを好きだったとしたら、色が白いもの、茶色味があるもの、オーガニックのものと、10個以上のブランドから好きなものが選べるでしょう。金融業界だって、顧客に選択肢を与えなければなりません。PSD2は規制ではありますが、そういった柔軟性を提供する前向きなものとして捉えています。
銀行をはじめとして金融機関がオープン化するのはとてもポジティブな動きです。イギリスはその点進んでいると思います。オープン化に際して認証が必要となりますが、サードパーティーでその機能を実現するのであれば、冒頭に述べた利便性、プライバシー、セキュリティが重要になってきます。
金融サービスで人々を幸せにするため、どのようにサポートするかということを考えなくてはなりませんが、それに終わりはないのです。Auth0では、そのトレンドを作り上げることや、より安全なサービスに向け進化を継続しています。
APIに関する認証のトレンド
――認証に関するキーワードとしては、FAPI(Financial-grade API)という金融機関サービスのためのAPIの標準も挙げられます。このような世の中の動きに対し、Auth0社はどのようにトレースし、キャッチアップしているのでしょうか。
Jasmit 我々は、専属のエンジニアリングチームを抱えています。彼らがその動きをキャッチし、内容を理解し、そして金融機関へのインパクトを分析しています。その影響はグローバルで見れば国ごとに異なる可能性もあるため、その点も分析しています。このような変化は、特に金融業界で多く見られます。
金融機関が我々に求めるのは、変化に対しより柔軟に設計できることです。しかし慌てて一部の仕様にのみ対応するようなことがあってはいけません。『Auth0』は、広範な機能と柔軟性を持つため、まさにこのような状況で役に立つのです。そのために多額の投資も行っています。
――金融機関がそれを内製で行うことはできるのでしょうか。
Jasmit それはとても大変なことで、競争力を失う結果を招くでしょう。規制や技術が変われば社員などのリソースのスキルセットも変えなければならず、それが頻繁に起これば本来目指すべきことはできなくなるからです。十分な拡張性やカスタマーエクスペリエンスを備えたソリューションを自前で作れるでしょうか。
それにセキュリティプロトコルへの対応も考えなければなりません。『Auth0』が存在するのはそのためです。全ての必要なプロトコルに対応し、ゼロコードで実装し、必要な機能が揃っています。
――『Auth0』には、多要素認証やソーシャルログイン(GoogleやLineなどの第三者サービスのIDを使用したログイン方法)などの、認証に関連する機能を簡単に実装する仕組みがMarketplaceにありますが、日本では「本人確認」機能について日本語で展開する機能がまだありません。
Jasmit 「本人確認」と一口に言っても、色々なトピックとレベルがあります。前に述べた生体認証もその1つの要素です。ただ、決済を行えるレベルの認証をするために、カメラの前に立ち瞬きをするような作業を毎回するべきでしょうか。
我々は、日々さまざまな最新のテクノロジーを探し、研究して、対応しようとしています。日本で実装するのであれば、ボーダーを超えて一緒にエンドユーザーの要求を分析し、解決策を導き出しましょう。
Jasmit 我々は、専属のエンジニアリングチームを抱えています。彼らがその動きをキャッチし、内容を理解し、そして金融機関へのインパクトを分析しています。その影響はグローバルで見れば国ごとに異なる可能性もあるため、その点も分析しています。このような変化は、特に金融業界で多く見られます。
金融機関が我々に求めるのは、変化に対しより柔軟に設計できることです。しかし慌てて一部の仕様にのみ対応するようなことがあってはいけません。『Auth0』は、広範な機能と柔軟性を持つため、まさにこのような状況で役に立つのです。そのために多額の投資も行っています。
――金融機関がそれを内製で行うことはできるのでしょうか。
Jasmit それはとても大変なことで、競争力を失う結果を招くでしょう。規制や技術が変われば社員などのリソースのスキルセットも変えなければならず、それが頻繁に起これば本来目指すべきことはできなくなるからです。十分な拡張性やカスタマーエクスペリエンスを備えたソリューションを自前で作れるでしょうか。
それにセキュリティプロトコルへの対応も考えなければなりません。『Auth0』が存在するのはそのためです。全ての必要なプロトコルに対応し、ゼロコードで実装し、必要な機能が揃っています。
――『Auth0』には、多要素認証やソーシャルログイン(GoogleやLineなどの第三者サービスのIDを使用したログイン方法)などの、認証に関連する機能を簡単に実装する仕組みがMarketplaceにありますが、日本では「本人確認」機能について日本語で展開する機能がまだありません。
Jasmit 「本人確認」と一口に言っても、色々なトピックとレベルがあります。前に述べた生体認証もその1つの要素です。ただ、決済を行えるレベルの認証をするために、カメラの前に立ち瞬きをするような作業を毎回するべきでしょうか。
我々は、日々さまざまな最新のテクノロジーを探し、研究して、対応しようとしています。日本で実装するのであれば、ボーダーを超えて一緒にエンドユーザーの要求を分析し、解決策を導き出しましょう。
COVID-19の影響
――最後に、COVID-19の影響についてはどのようにお考えですか。
Jasmit COVID-19による社会変化によりオンライン化が進んだのは明らかです。一般的に、既存サービスをオンラインに移行するのには1年かかる上に、成功率も低いと言われています。成功のために重要な要素となるのが、IDとアクセス権管理です。銀行を例にとれば、オンライン化が進めば進むほど、本人確認がより重要になります。しかし、我々はより多くのことを、より銀行の業務に近づいて考えなければなりません。リモートやオンライン化というのは、COVID-19による大きなトレンドの1つです。
2点目のポイントは、紙幣の利用が終わるということです。ある業務は、95%のトランザクションがデジタルに置き換わったそうです。最早、財布にはお金が入っていないことだってあるでしょう。
3点目のポイントが、「Responsible Banking」です。利用者が銀行に求めるものは、その人によってさまざまあります。COVID-19の中で、ある人は職を失い、ある人は住宅ローンが払えなくなっています。つまり、その人のプロファイルが変化しているわけです。その変化をきちんとトレースして適切なサービスを提供することが必要になっています。今回のような緊急時に、必要な金融サービスを提供するという考え方が、「Responsible Banking」です。
――COVID-19により、口座開設時にはPhysical IdentityとDigital Identityの結び付けが重要だと理解しています。欧州ではその点で何か課題がありますか?
Jasmit それについては、「Challenger Bank(※2)」というコンセプトを聞いたことがあるでしょうか。彼らは、利用者が訪れる店舗を持たない、完全にデジタル化された新しい組織です。銀行の従業員もリモートで働き、もちろん利用者とのやり取りもデジタルです。
「Challenger Bank」のような銀行の場合、口座開設においては「KYC(Know Your Customer)」を実行し、利用者が誰でどこにいてといったことを証明する必要がありますが、それにはさまざまな方法があります。国によっては政府発行のIDがあるだろうし、医療機関の情報を使うことも考えられます。そういった、既に存在する本人確認の仕組みを取り込んでいくことが重要なのです。それと同時に、欧州の関連規制にも準拠しなければなりません。
Jasmit COVID-19による社会変化によりオンライン化が進んだのは明らかです。一般的に、既存サービスをオンラインに移行するのには1年かかる上に、成功率も低いと言われています。成功のために重要な要素となるのが、IDとアクセス権管理です。銀行を例にとれば、オンライン化が進めば進むほど、本人確認がより重要になります。しかし、我々はより多くのことを、より銀行の業務に近づいて考えなければなりません。リモートやオンライン化というのは、COVID-19による大きなトレンドの1つです。
2点目のポイントは、紙幣の利用が終わるということです。ある業務は、95%のトランザクションがデジタルに置き換わったそうです。最早、財布にはお金が入っていないことだってあるでしょう。
3点目のポイントが、「Responsible Banking」です。利用者が銀行に求めるものは、その人によってさまざまあります。COVID-19の中で、ある人は職を失い、ある人は住宅ローンが払えなくなっています。つまり、その人のプロファイルが変化しているわけです。その変化をきちんとトレースして適切なサービスを提供することが必要になっています。今回のような緊急時に、必要な金融サービスを提供するという考え方が、「Responsible Banking」です。
――COVID-19により、口座開設時にはPhysical IdentityとDigital Identityの結び付けが重要だと理解しています。欧州ではその点で何か課題がありますか?
Jasmit それについては、「Challenger Bank(※2)」というコンセプトを聞いたことがあるでしょうか。彼らは、利用者が訪れる店舗を持たない、完全にデジタル化された新しい組織です。銀行の従業員もリモートで働き、もちろん利用者とのやり取りもデジタルです。
「Challenger Bank」のような銀行の場合、口座開設においては「KYC(Know Your Customer)」を実行し、利用者が誰でどこにいてといったことを証明する必要がありますが、それにはさまざまな方法があります。国によっては政府発行のIDがあるだろうし、医療機関の情報を使うことも考えられます。そういった、既に存在する本人確認の仕組みを取り込んでいくことが重要なのです。それと同時に、欧州の関連規制にも準拠しなければなりません。
(※2)「Challenger Bank」についてはこちらの記事もご参考ください。
終わりに
――貴重なご意見をありがとうございました。
Jasmit 私の14歳になる息子は、「Challenger Bank」に口座を持っています。彼がお金を使うと私に通知が来るんです。私が口座を持っている「Old Bank」は、そんなことしてくれません。
こうした新しい銀行は、顧客と対話するために革新的な方法を考え出し、情報と利便性を提供しています。サービスの実現にあたってはオンライン化、デジタル化を進めることになります。Auth0はその方向に進んでおり、NTTデータとも1つのチームのように緊密に協力していきたいですね。
Jasmit 私の14歳になる息子は、「Challenger Bank」に口座を持っています。彼がお金を使うと私に通知が来るんです。私が口座を持っている「Old Bank」は、そんなことしてくれません。
こうした新しい銀行は、顧客と対話するために革新的な方法を考え出し、情報と利便性を提供しています。サービスの実現にあたってはオンライン化、デジタル化を進めることになります。Auth0はその方向に進んでおり、NTTデータとも1つのチームのように緊密に協力していきたいですね。
【お話を伺った方】
Jasmit Sagoo さん
Auth0:Head of Solution Engineering and Professional Services, International
長年、認証・認可、セキュリティサービスにおけるテクノロジースペシャリストとして活躍。2020年8月にAuth0社のインターナショナルソリューションヘッドに就任。
Jasmit Sagoo さん
Auth0:Head of Solution Engineering and Professional Services, International
長年、認証・認可、セキュリティサービスにおけるテクノロジースペシャリストとして活躍。2020年8月にAuth0社のインターナショナルソリューションヘッドに就任。
<インタビュア>
株式会社NTTデータ
技術革新統括本部 システム技術本部 セキュリティ技術部 コンサルティング担当 星野 亮
金融マーケット事業部 第二統括部 企画営業担当 石土 誠、太田 創
株式会社NTTデータ
技術革新統括本部 システム技術本部 セキュリティ技術部 コンサルティング担当 星野 亮
金融マーケット事業部 第二統括部 企画営業担当 石土 誠、太田 創
※本記事の内容には「Octo Knot」独自の見解が含まれており、執筆者および協力いただいた方が所属する会社・団体の意見を代表するものではありません。
facebookに
X
LINEに送る
