導入事例|NRIセキュア

KINTOテクノロジーズ株式会社 様

作成者: NRI Secure|2023.06.13

導入の背景や課題

国ごと、サービスごとに分散していたID管理。ユーザー体験向上に向けて統合を模索

左から、KINTOテクノロジーズの佐々木氏、許氏 

許氏「KINTOテクノロジーズは、国内外のKINTOサービスをテクノロジー面でサポートする役割を担っています。KINTOサービスをご利用いただくお客様の体験をベストなものにするには何が必要かを、各国の担当者と密に連携して考えながらプロダクト開発を進めています。 

KINTOは各国でスピーディにサービスを展開し、ブランドの認知度を高めてきました。一方でユーザーIDが分散し、国ごと、サービスごとにバラバラに管理される状態となり、サービスごとにログインし直す必要があるなど、理想的なユーザー体験を提供できているとは言えなかったのも事実でした。 

各国のKINTOのシニアマネジメント層が集まる場でも、『システムがばらばらで、顧客に提供するUI/UXもサービスごと、国ごとに異なるのは望ましい状態ではない』という意見が寄せられました。こうした声を受け、KINTOテクノロジーズではユーザー体験向上の解決策を模索し始めました。

ユーザーIDを統合するにあたり、アイデンティティ関連の動向を調査し、OpenID Connectという技術が使えそうだとわかってきました。しかし具体的にどう設計すればいいのか、実現するには自社開発がいいのか、それとも既存のソリューションを利用できるのかといった部分で悩んでいました」

選定のポイント 

セキュリティ会社がOpenID Connectもサポートできる点にアドバンテージ

許氏「プロダクト開発やデータエンジニアリングなどについては経験豊富なエンジニアがそろっていますが、ID管理基盤、それもヨーロッパからアジア太平洋、南北アメリカに至るまで、グローバルに展開するID基盤の構築となると、専門家のアドバイスを仰ぐのが最適だと判断しました。 

まず参照したのが、OpenID技術の普及・啓蒙に取り組んでいる業界団体であるOpenIDファウンデーション・ジャパンのサイトでした。会員企業一覧を見て順にコンタクトを取り、コンサルティングサービスの可能性を打診していきました。その中にあったのが、NRIセキュアテクノロジーズでした。 

何社かの回答をいただきましたが、その中でNRIセキュアが一番フィットすると判断しました。というのも、サイバーセキュリティ分野全体に精通した知見を得たいという思いがあったからです。セキュリティのバックボーンを持つ企業が、OpenID Connectに関してもサポートできる点に大きなアドバンテージがあると感じました。 

また、サービスの利便性や事業展開のスピードとの適切なバランスについて助言が得られるかどうかも、ポイントでした。利便性は重要ですが、サービスを提供する以上、お客様の情報をしっかり守らなければなりません。それらの両方を担保するため、方策ごとにベネフィットと課題とを並べ、どのようにバランスを取っていくかのアドバイスを求めました」

導入の効果

確証を持てない部分はNRIセキュアから明確な回答を得て、プロジェクトを推進

佐々木氏「我々は、NRIセキュアのアドバイスを受けながら独自のID管理基盤を開発し、2021年4月に『グローバル KINTO IDプラットフォーム(以下、GKIDP)』をリリースしました。拠点ごとに設けたユーザープールで、ユーザー情報の登録や認証処理を行い、『GKIDP Broker』を経由して他の拠点とつなげていく仕組みです。

最初につながったのはイタリアでした。それまでKINTO GO、KINTO ONE、KINTO SHAREといったサービスごとにバラバラに管理してきたIDを、イタリア向けのユーザープールへ移管して共通で管理するとともに、GKIDPに接続させました。既存のIDとパスワードでKINTOが提供する他のサービスにもログインできるようにしました。

続けて2021年9月には、ブラジルで個人向けのサブスクサービス「KINTO ONE Personal」の新規立ち上げに合わせ、同様にユーザープールを提供しました。続く11月にはタイにおいて、カーシェアサービス「KINTO SHARE」の開始にあたり、スマホアプリ『グローバルKINTOアプリ』とGKIDPをつなげました。さらに2022年10月には、カタールでのKINTOビジネスを立ち上げに伴い、予約システムなどのバックオフィスシステムとエンドユーザー向けのグローバルKINTOアプリ、そしてGKIDPを丸ごと提供しています。

許氏「国が違えば習慣も法規制も異なりますが、最初にリリースしたのはイタリアということもあり、GDPR対応は当初から念頭に置いてGKIDPの検討を進めました。自分たちでも調査しましたが、『どの情報が個人情報に当たるのか』『個人情報に当たるとしたら、どうやってリスクを最小限に抑えるのか』といった事柄をNRIセキュアにいろいろ質問し、アドバイスをいただきました。こうした支援を得ることで、GKIDP Brokerでの適正なデータ保持方法を設計できました。

時には、実現したい機能がそのまま実装できるのか、OpenID Connectの標準仕様を参照しても確証を持てない部分もありましたが、NRIセキュアから明確な回答を得ることができ、プロジェクトを推進することができました」

今後の展望

拡大していくGKIDPの進化を支えるブレーンとしてNRIセキュアに期待

許氏「最近開催したグローバルKINTOミーティングにおいて、GKIDPをさらに展開し、すべてのKINTOサービスをつないでいく方針を表明しました。プラットフォームはつなげればつなげるほどネットワーク効果が生まれ、相乗効果でどんどん価値が高まっていくものです。

しかし、ID連携にはサービスごとにユーザー認証のレベルが異なっていたり、ID管理に必要な個人情報の粒度が異なるといったいろいろなバリアがあります。その違いをどのように吸収してシームレスに、かつ安全にサービスを提供できるかはとても難しいことだと考えています。

ID管理基盤の実装という狭い範囲にとどまらず、KINTOのサービスをどう広げていくかという戦略を考える上で、NRIセキュアの知見が非常に重要だと感じています。モビリティサービスの観点でGKIDPを進化させていく際の重要なブレーンとして引き続きNRIセキュアに期待しています。

※本文中の組織名、職名、概要図は2023年2月時点のものです。