「BtoB/SaaSビジネスのためのAuth0認証ウェビナー」聴講レポート

BtoB向けサービスやSaaSを開発されている方々の認証・認可の悩み… 例えば、

• 顧客企業ごとに柔軟な初期設定登録やユーザー登録をしたい
• 顧客企業ごとに異なるログイン画面デザインを設定したい
• 顧客企業ごとに異なるセキュリティ設定をしたい
• 顧客企業の管理者や一般ユーザーなどのロール設定がしたい
• 顧客企業のID基盤への認証連携を簡単に行いたい

こんな悩みが解決できれば、認証機能に煩わされずに本来のコア業務の開発に注力できると思いませんか？

そこで、2021年5月26日にAuth0株式会社が主催する「BtoB/SaaSビジネスのためのAuth0認証ウィビナー」を開催しました。

ここでは、当日行われたウェビナーのプレゼンテーションの内容をサマリーする形で、ブログとしてお届けしたいと思います。

ご参加頂いた皆様には、是非、当日を振り返っていただき、残念ながらご参加頂けなかった皆様は、本ブログを通じてウェビナーの概要をご体感いただければと思います。

なお実際のウェビナーでは、プレゼンテーションだけでなく、デモンストレーションやライセンスプラン（料金体系）の説明も行いました。本ブログでは、プレゼンの内容だけをご紹介しておりますので、ご興味をお持ちになられた方はぜひ今後のウェビナーにご参加ください！

SaaSビジネスにおける「サブスクリプション」と従来の「定期購読」の違いとは？

言葉としては、ほぼ同様に思える「サブスクリプション」と「定期購読」ですが、まずその違いについて着目してみましょう。

雑誌購読に代表されるような“旧来型の定期購読”は、定常的にサービスを提供し、その対価を費用として受け取ります。費用はコストに利益を上乗せしたもので、場合により期間に応じた割引も発生します。そして、得られた利益に応じて、また次のサービス（例えば、次回の雑誌）を提供するというサイクルになります。定期的に売り上げが発生するため、業種やサービスに関わらず、この形態が増加しています。最近では携帯電話、車両などについても、同様の形態が適用されるケースが見られるようになってきています。

一方、SaaSビジネス（SaaS時代）におけるサブスクリプションは、継続的に改善を行うという点が大きな特徴 と言えます。ずっと同じ内容を提供するのではなく、次第に新機能が追加されたり、使い勝手が良くなったりするなど、サービスが向上していきます。これに利用するお客様が満足し、費用を払い続けてくれ、さらにそれがサービスの改善に繋がるという循環が生まれます。

旧来の定期購読との大きな違いは、ソフトウェアビジネスであるSaaSの場合には「限界費用」を下げることができる点 です。物理的な雑誌などの定期購読では困難ですが、SaaSでは、より多数の顧客に使ってもらうことによって、1人あたりのコストを下げることが可能です。そして得られた利益をサービスの改善にあてることで、全てのお客様により高い価値を還元することができます。

サービス価値は？そして自前のリソースでどこを作るべきか？

次に、皆様が提供するサービス価値は、どこにあるのかという点について触れます。

今までには無かったようなサービス、また海外で提供されているサービスからヒントを得て、より日本人に馴染むサービスを自社開発して提供するといったケースもあるでしょう。後者の場合、日本人に合致した使い勝手や商習慣への対応などがサービス価値となります。そして、このサービス価値を継続的に改善し続けることがお客の成功に繋がり、さらには継続利用や新規顧客の獲得に繋がるのです。

このサイクルをできるだけ早く、またサービスの規模を大きくしていくためには、「自前のリソースでどこを作るのか」という点が重要になってきます。

過去を振り返ると、サービス提供に先立ち、例えばデータセンターを自前で借り、関連機器を自らベンターと価格交渉して購入して設置し、さらに自前でOSのインストールをするといった対応が必要でした。外部に支払う費用は節約できるように思われますが、ここで考えたいのは「そこが貴社のサービスとしての価値ですか？」という点です。おそらく、そうではないはずです。

その後、クラウドのインフラが提供されるようになると、サービス提供までの速度を優先して、自前でなく、クラウドサービスを使用するという流れが加速します。自前のリソースを注ぎ込むべき皆様のサービスと、それ以外を分け、真のサービス価値に繋がる部分以外については、速度を優先してできる限り社外に依頼したり、外部のサービスを利用することが求められるようになってきています。

Auth0では、ID管理も、このような外部のサービスを利用すべき対象の１つであると考えており、会社のミッションも「世界中のIDを守り、イノベーターがイノベーションを起こせるようにする」と定義しています。皆様には、自社のサービス価値となる部分をなるべく速く、大きくして、皆様のお客様に満足いただく。こうしてカスタマーサクセスを達成して、売り上げを達成し、それをさらにサービス価値を高めるために投下いただきたいと考えています。これが私達Auth０から皆様へのメッセージとなります。

Auth0 の概要

Auth0は、Webサービスやアプリケーションに安全で使いやすい認証認可のサービスを提供する会社であり、ID管理、認証/認可に特化して、専業でビジネスを展開。現在、全世界で5.5億以上のIDを管理しており、月間40億以上のログイン処理を行っています。稼働率/SLAについては、99.99%を保証しています。

機能については、ID管理に関わるフル機能をノーコード/ローコードで提供。なるべく設定のみで実現できるようにすることで、導入や保守の効率をアップすることができます。さらに信頼性の面でも各種標準に則り、運用体制についても各種コンプライアンスを取得しており、安心してご利用いただけます。

導入実績も豊富です。現在、Auth0は以下に示すように業界を問わず、全世界で10,000社以上のお客様にご利用いただいております。

国内についても、例えば経済産業省様、中部電力様、コープさっぽろ様や、SaaSビジネスを展開するKONICA MINOLTA様、GVA TECH様、LegalForce様など、数多くの著名な企業様がAuth0を活用されています。Auth0のお客様導入事例については、こちらで詳細をご覧ください。

Auth0 vs 自社開発

自社開発と比較して、Auth0にはどんなメリットがあるかという点ですが、ご利用いただいたお客様の8割が、5日程度でID基盤の設定を完了しています。自社開発については「ユーザー登録に2日、パスワード認証機能構築に3日の合計5日程度」という発言も耳にします。しかし、実際にID基盤として考えると、これだけでは済まなくて、こちらに示すように数々の対応内容があり、これらを含めれば、とても5日間では完了できないことは明らかです。

このような実態に関するレポートとして、Auth0では日本語のホワイトペーパを提供しています。日本語ホワイトペーパ：「アイデンティティ プロジェクト調査: 過去の失敗から学べる多くのこと」については、

こちらからダウンロードください。これらの調査結果も含め、なかなか自社で対応するのが難しいと言われるのが「不正アクセス対策」です。

不正アクセス対策

不正アクセスには、いわゆるDoS攻撃や脆弱性を狙った攻撃があり、対策としてはWAFを導入したり、第三者による脆弱性診断を受けるといったものがありますが、最近は特にIDを標的とした攻撃が増えており、この中には、例えばログインを狙った「総当り攻撃」や「リスト型攻撃」などがあります。この背景には、攻撃者にとってのメリットの大きさがあると思われます。一旦、ログインされてしまうと、不正な課金が行われたり、ログイン情報が販売されるなどの被害が発生し、これは個人情報漏洩に関連する問題の8割に達しているという調査結果もあります。

Auth0では、このような不正アクセスなどを含むさまざまな攻撃に対して、多層的に防御を行うことができます。この中には、「ボット検知」「大量登録・総当り検知」「リスト型攻撃検知」「多要素認証」などがあります。

Auth0のセキュリティ観点は、従来型のセキュリティソリューションの観点とは大きく異なっています。

従来型は、セキュリティは守りますが、使いづらい画一的なものとなっています。一方、Auth0の場合には、入り口だけでなく継続的にリスクを計測してセキュリティを確保。さらに、セキュリティリスクが高いと思われるユーザーについて、必要に応じてユーザーの協力を求め、追加の確認を取るといった機能も用意されています。つまりUX（ユーザーエクスペリエンス）を損なわない形でサービスを使って頂きながら、セキュリティを確保することが可能となるのです。

最後に

ウェビナーは、プレゼンテーション、デモ、そしてランセンスプラン（料金体系）の説明の後に、質疑応答を行いました。参加者の皆様の関心の高さが垣間見られたのが、最後の質疑応答で、デモの中でご紹介した新機能のOrganization（組織）に関連した複数の内容を含む、多数のご質問をお寄せいただきました。今後も定期的にウェビナーを開催して参りますので、ご興味を持っていただいた方はぜひご参加ください。ウェビナーの開催についてのお問い合わせは、下記のメールアドレスまでお気軽にご連絡ください。