左から、NRIセキュアテクノロジーズの氏縄、大島と、KINTOテクノロジーズの許氏、佐々木氏
トヨタの新車に乗れるサブスクリプションサービス「KINTO」のグローバル展開をテクノロジー面で支えるKINTOテクノロジーズ株式会社では、ユーザー体験の向上を目的に、それまで国ごと、サービスごとに分散していたユーザーIDの統合を進め、2021年4月に、OpenID Connectに準拠したID基盤「グローバル KINTO IDプラットフォーム(以下、GKIDP)」の提供を開始しました。イタリアを皮切りに、ブラジル、タイ、カタールといった各国で次々に活用されています。
このGKIDPの実現に当たっては、国ごとに異なる認証レベルのすりあわせや、GDPRをはじめとする各地域・国の法規制対応などさまざまなハードルがありました。そんな疑問に突き当たったときのアドバイザーとなったのがNRIセキュアテクノロジーズ(以下、NRIセキュア)です。今回は、GKIDPの開発を推進したKINTOテクノロジーズの許峰氏、佐々木大氏と、NRIセキュアの大島修、氏縄武尊が、デジタル時代におけるグローバルIDの果たす役割や今後の動向について、プロジェクトを振り返りながら対談を行いました。
※KINTOテクノロジーズ株式会社への支援事例の詳細はこちら。
グローバルIDはビジネスの成長を支える重要なツール
KINTOテクノロジーズ 許:我々がGKIDPの構想を立て、実現した時は、ユーザーの利便性を向上させるためのアイデアという色合いが強かったのですが、最近では、KINTOというビジネスを成長させる一つの道具としてIDを認識しています。バラバラのIDよりも同じIDの方がサービス間の送客、クロスボーダーの送客がしやすく、ユーザーからも認知しやすくなります。いくつかの国を訪問して現地のメンバーと直接会い、IDの可能性について議論も行っています。
NRIセキュア 大島:今回のご支援は2020年5月に始まりましたが、ちょうど新型コロナウィルス感染症のパンデミック期に入り、グローバルの行き来がなかなかできない環境下で、KINTOビジネスも難しい時期だったと思います。ようやくそういった期間が終わり、人の移動が活発化する中、GKIDPを生かしてどうやってビジネスを成長させていくかがまさにポイントだと捉えています。ユーザビリティやセキュリティ、プライバシーといった部分を担保しつつ、いかに事業を成長させていくかが問われていると思います。
許:KINTOの事業においてセキュリティはとても重要なポイントです。実は先日、GKIDPで提供しているある国のユーザープールに対して、攻撃と思われる痕跡を確認しました。自分たちでも一次対策や二次対策、恒久的な対策を考え、設計していますが、他にどういった手段があり、ベストな選択肢は何かについてNRIセキュアさんに相談させてもらいました。我々の実現したいことに向けて走りつつ、守らなければいけない部分をどうやって固めるかを、引き続き一緒に考えてもらえればと思っています。
大島:支援させていただく中で強く印象づけられたのは、スピードの速さです。スピードを非常に重視されていることを理解した上で、たとえば、「長期的にはAという手段が望ましいけれど、目先のリスクはある程度受容しつつ最短でできる別のB案もあります」といった具合に、柔軟に提案させていただきました。
また、セキュリティにしてもプライバシーにしても、我々はどうしても「あるべき論」から入ってしまいがちです。そうではなく、モノ作りに携わる地に足の付いた視点からどのように実装し、どのような仕組みを作るかという部分も大切にしながら支援に当たりました。
許:各国のビジネスをサポートする立場として、コストや品質も重要ですが、やはり重視すべきはスピードだと認識しています。我々の遅れは現地のビジネスに直接影響してしまうため、そうした事態にならないよう最大限の努力を払っています。
KINTOテクノロジーズ 佐々木:先ほど触れた不正アクセスは本番環境で起こったことですから、対応にはまさにスピードが求められます。そんなときに、NRIセキュアさんから「A社製品以外にも、このような候補があります」と速やかに情報を提供していただき、非常に助かりました。
大島:我々はID基盤製品の開発も行っており、市場動向やソリューションの特性、実装の方向性などについても知見を蓄積してきました。そういった部分でもお役に立てると自負しています。
NRIセキュア 氏縄:我々からすると、事業的な背景などもお話しいただいた上でご相談いただいているので、調査もしやすく、相乗効果で良いやり取りができていると思います。
許:KINTOテクノロジーズでは常に本社や各国の担当者とコミュニケーションを取り、ID関連の議論においても、まず「なぜこれが必要なのか」「具体的に何をやればできるのか」とWhyとWhatをクリアした上で、手段のHowの話に移るようにしています。ベンダーさんとお話しする際にはそういった背景を伝え、理解してもらうよう努めています。仕事を投げるのではなく、パートナーとして一緒に進めたいという気持ちで取り組んでいるからです。
大島:OpenID Connectに準拠したグローバルID共通基盤を自社開発する判断を下したのも、そうした背景からですよね。自分たちのやりたいことを実現するには、自分たちですべてコントロールできるものが必要だと考え、自分たちで作るんだ、という判断を下されたことが印象的です。
許:我々はGKIDPをもっと横展開し、つながる国やサービスを増やしていこうと考えています。その際に生じる新たな課題やリスクについても、引き続き知見を提供し、サポートしてもらいたいと考えています。
氏縄:つなぐ先が非常に多岐にわたるため、我々の想像もしない話が出てくることもあります。グローバル各国の状況を調べていくと、「こんなケースもあるのか」と学びになる要素もあります。変な話ですが、非常に調べ甲斐があると感じています。
許:KINTOテクノロジーズでは、テクノロジーを「ビジネスを理解して、その価値を最大化する手段である」と捉えています。自分たちがどんなビジネスをサポートしているかを理解し、達成すべき目的を考え、そこからテクノロジーでどういった課題を解決できるかに引き続き取り組んでいきたいと思います。
デジタルアイデンティティの最新動向|NIST SP800-63の改訂と分散型ID
許:デジタルアイデンティティを巡る最近の動向についても教えてもらえないでしょうか?
大島:2022年12月に「NIST SP800-63」というデジタルIDに関するガイドラインの改訂版が公表されました。NIST SP800-63は元々米国政府機関向けのガイドラインですが、非常に包括的な内容となっており、さまざまな国や業界が参照しています。
この改訂はまだドラフト段階で、現時点ではパブリックコメントのレビュー中ですが、外部環境を反映し、昨今の攻撃や脅威、最新のリスクをカバーする内容が含まれています。また、これまでのさまざまなベストプラクティスも反映されています。
佐々木:非常に興味深いお話です。
許:最初にご相談した2020年時点のGKIDPは、0から1というフェーズでした。今は1の段階をほぼ終え、それを10、100へと成長させていくフェーズに入っています。基本的な部分は出来上がりましたが、それを実際のさまざまなビジネスに適用しながら、既存の技術が最適なソリューションなのか、あるいはさらに何かが必要なのかを常に検証しています。
その中でセキュリティマターは非常に重要です。もしNISTのガイドラインの改定版に、不正検出やその自動化について言及している部分があれば、ぜひ検討させてもらいたいです。
佐々木:認証は、普段自分たちもスマートフォンで当たり前のように使っている技術ですが、その中身となると、どう作っていけばいいのやらよくわからない部分もあります。身近に使っているけれど、いざ、自分たちで作ろうとすると難しいものを作るときにご支援いただけるとうれしいですね。いろいろな最新情報を共有いただけたらと期待しています。
大島:もう一つのトレンドとして「分散型ID」という考え方があります。中央集権的なID管理に対し、ユーザー自身でIDが管理できるようにするという考え方から生まれたものですが、今後普及していくかどうかの見極めは非常に難しいところです。
許:そういえばOpenID Connectも、最初に登場したときには「本当にこれで問題が解決できるのか」については疑問視されていた時期もありました。しかしいろいろな会社がOpenID Connectを導入し、「これはいいね」という声と実績を積み重ねることで広がってきたと思います。分散型IDも同様に、個人情報をよりしっかりと守りつつ透明性を高めていくという目的に向け、我々だけではなくいろんな会社が実証実験などを進める中で、方向性が見えてくると思います。
氏縄:一方で、シンガポールの「Singpass」のような、いわゆる「ナショナルID」の整備と連携という流れもあります。日本においても、マイナンバーでどんなことが実現できるのかという議論が始まっています。目的に応じてどれを選択し、どのように連携していくかを検討することが大事だと思います。
大島:グローバルでビジネスを展開し、各国のナショナルIDと連携していく話になったときに難しいのが、国によって仕様や仕組みが異なることです。いかに地域ごと、国ごとの違いを吸収し、対応していくかは、引き続きチャレンジングな課題になってくるでしょう。
「所変われば品変わる」、国ごとのギャップをどう吸収するかを丁寧に議論
許:ナショナルIDへの対応以前に、国ごと、サービスごとに認証レベルが違う中で、どのようにIDを連携させていくかについては、これまでも何度かディスカッションしてきました。
KINTOテクノロジーズでは今、その成果を踏まえて各国向けのガイドラインを作成し、よりスムーズに議論ができる環境を整えています。たとえば「KYC(本人確認)においてIAL(身元確認保証レベル)やAAL(当人認証保証レベル)に違いが発生した際、何をどこまで確認すべきか」「検証していない情報を共有する際、共有先サービスでもう一度検証する必要があるか」といった事柄をまとめたものです。サービスのオペレーターは自社サービスについては詳しくても、他のサービスとなるとそこまで把握できていないことがほとんどです。そのギャップを埋め、互いに連携する際に、何をどこまで確認すべきかといった事柄を共有する手助けをするのが、KINTOテクノロジーの役割だと考えています。
佐々木:認証に使われる手段一つ取っても、国によって本当に異なりますね。たとえば中東のカタールでは認証方式にメールアドレスを用いず、携帯電話番号で済ませることが多いです。また、文化的な感覚の違いもあります。たとえばイタリアでは、サインアップの際にジェンダーを尋ね、入力してもらうこと自体があまり望ましくなく、会社の評判に傷を付けかねないため避けてほしいという要望がありました。こうした国ごと、地域ごとの差を丁寧に扱いつつ、いかに吸収するは非常に難しいテーマです。
許:大事なのは、まず「違いがある」ことをテーブルに載せることだと感じています。たとえばカタールのビジネス担当者からすると、携帯電話を使ってログインするのが当たり前であり、なぜメールアドレスに対応する必要があるのかわかりません。逆に、メールアドレスでログインする文化が浸透している欧米からすると、なぜ電話番号をログインIDとして使う必要があるかがわかりません。一つのサービスだけ見ているとなかなか気付けない違いがあることをテーブルに載せ、グローバル全体で目指すゴールを達成するため、何を解決すればいいかを議論していければと思っています。
大島:おそらくここには簡単な、すぐできるような解はないと思います。おっしゃるようにまず議題をテーブルに載せ、一つ一つのギャップを丁寧に埋めていく作業を地道にやっていくしかないのかなと思っています。
許:その際には、条件ごとにどんな可能性とリスクがあるかをIDの専門家の立場から提示していただき、どのように対策していけるのかを一緒に議論できたらと期待しています。
佐々木:グローバルの観点からは同一のソリューションをすべての国で使ってもらうのが一番楽ですし、コスト効率もいいでしょう。しかし実際には各国ごとに「当たり前」が異なります。かといって、一つ一つ国ごとに違うものを作っていけば、コストがどんどんかさみ、非効率なものになるでしょう。
どこまでをグローバルで統一し、どこからはローカルに任せるかという役割分担の見極めは、非常に難しいところですが、現地と話をしながら一つ一つギャップをクリアしていきたいと思いますし、NRIセキュアさんには引き続き、グローバルな知見を持つ専門家の立場からご支援いただきたいと思っています。