であれば、IDやパスワード入力を意識しないようなシステムを作ればいいと、課題に取り組んだ若手エンジニアたちを紹介します。
IDやパスワード入力を意識させないスマートログイン
インターネットサービスの利用でIDとパスワードほど重要なものはありません。ネットの世界で個人のアイデンティティーを証明するものであり、安全に管理すれば利便性は高く、会員向けの特典を受けられるようになります。
ただ、スマートフォンでインターネットサービスを利用するたびに、IDとパスワードを要求されることはセキュアな一方で手間に感じられてしまうこともあります。
しかし、生年月日のような単純なパスワードを使ったり、同じパスワードを使い回していると、不正アクセスされるセキュリティーリスクは増大してしまうのです。
「たしかにID/パスワードって悩ましいですよね。セキュリティーは高めつつ、どうやったらユーザーの利便性を高めることができるか。僕らもずっと考えているんです」
と言うのは、IDサービス統括本部IDソリューション本部開発部長の戸村彰博です。
「スマートログイン」は、ソフトバンクのスマートフォンからYahoo! JAPANが運営する「Yahoo!ショッピング」などのサービスを会員情報やIDなどの入力を省略し、簡単・便利に利用できる機能です。
初回だけはYahoo! JAPAN ID(以下、Y!ID)の設定が必要ですが、以後は携帯電話番号自体がY!IDの代わりを果たします。通常のログインではY!IDやパスワードを意識する必要はありません。
閲覧する情報によっては再ログインを求められます。パスワードでのログインに変わるのが、携帯電話番号の入力と入力直後に携帯電話のSMS(ショートメッセージサービス)で送られてくる確認コードです。
確認コードは毎回ランダムに生成され、一定時間だけ有効のワンタイムパスワードのようなもの。ひとたびログインしてしまえば、携帯端末側のCookie情報が有効な場合、新たにログインすることなくYahoo! JAPANの各種サービスを利用することができます。
当該のスマートフォン自体を悪用されない限り、パスワードをクラッキングされる可能性も低いのです。
IDやパスワードを忘れても、自分の携帯電話番号を忘れる人はそう多くない。これならネットに慣れていない高齢者も、インターネットサービスを楽しみやすくなるはずです。
「パスワードの入力を不要にし、サービス利用の利便性をあげる第一歩でした」
パスワードレスのログインなら、ユーザーのストレスは激減する
二歩目として、次の仕掛けがあります。それが2017年4月から導入された、パスワードを使わないログイン方法(パスワードレスログイン)でした。
Y!IDを新規作成する際は、携帯電話番号を入力後、SMSで送信される確認コードを入力し、メールアドレスなどを登録するだけでY!IDの作成が完了します。
次回以降のログインは、携帯電話番号とその都度送信される確認コードの入力でログイン可能——これらの点は先の「スマートログイン」と同じです。
「スマートログイン」がソフトバンクのスマートフォンユーザーのみに提供されていたサービスであったのに対して、パスワードレスログインはキャリアを問わず、すべての携帯電話、スマートフォンユーザーに向けて提供を目指しています。
また、第三者が他のサイトなどから入手したIDとパスワードの組み合わせのリストを使って不正アクセスを試みる、いわゆるリスト型攻撃による不正ログインのリスクも解消します」
そう語るのは、このサービス開発にあたった、源翔三郎です。
しかし、携帯電話番号がY!IDの代わりの役割を果たすので、ユーザーはY!IDの存在さえ知らなくてもよいのです。
「パスワードを管理しなければならない」ストレスからユーザーを解放するという点では、画期的な技術でありサービスです。人間はコンピューターと違って物事を忘れやすい。その習性を矯正するのではなく、その前提に立って作られたサービスだと言えます。
「ただ、これまでのYahoo! JAPANのサービスは、Y!IDとパスワードの組み合わせでのログインを前提に組み立てられていました。ここにパスワードレスログインを導入しても問題なく各サービスが利用できるかどうか。さまざまなテストを重ねるのに時間と労力がかかりました」
細心の注意でパスワードレスログインの世界を構築する
IDサービス統括本部のなかでY!ID/パスワードを実質不要にする構想は、2016年1月ごろに持ち上がりました。源がこのプロジェクトに参加したのは同年4月からで、7月ごろから実際の開発に着手することになりました。
「パスワードレスログインの構想は以前から聞いていて、これが実現したらすごいだろうなとは思っていました。ただ、パスワードレスログインはもちろん、IDのプロダクト開発の経験自体が多くなかった。
なので、この領域で使われる技術を覚えることで最初の数ヶ月は大変でした。サービスを実現する要素技術は開発部の中にあったんですが、それを利用してどんな実装をすればユーザーにわかりやすいか、UI/UXも含めて試行錯誤を重ねました」
と、源は言います。
源から少し遅れてこのプロジェクトに参加したのは、源と同じ2013年同期入社の海野達也です。
「ちょっと複雑な話になるんですが、IDとパスワードがセットの世界では、パスワードを忘れたユーザーがパスワードを再設定する機能が必要です。ところが、パスワードレスログインの世界ではそもそもIDもパスワードもないわけですから、再設定する意味がない。その代わりにその都度送られてくる確認コードを入力すればいいわけです。
ただ、確認コードは現在ユーザー自身が所有している携帯電話番号、メールアドレスがあるということが前提。前のスマホでYahoo! JAPANに登録しているけど、今はメールアドレスも使わなくなったというユーザーは、新しいスマートフォンで古い携帯電話番号を入れても、確認コードが届かないからログインできないことになります」
そういうケースまでも想定しないと、パスワードレスログインを実効性のあるサービスにすることができません。どこかに一つでも「穴」があったらサービスは崩壊してしまうのです。海野もパスワードレスログインの世界の構築にかかりきりになりました。
「入社直後はデジタルコンテンツの売り上げの精算システムの開発に携わっていました。データを区分けして、経理部に売り上げなどをレポートするものです。これはこれでヤフーの収益に直結する大切なサービスだとは思うんですが、Y!IDサービスもそれに負けず劣らず重要。数千万人のユーザーとじかに対面しているという実感があります」
と、海野は語ります。
ユーザー認証の新技術と可能性に挑むエンジニアたち
パスワードレスログインは、対応サービス第一弾としてiOS版の「Yahoo!パートナー」アプリに導入されました。
その後、「Yahoo!乗換案内」アプリ、「Yahoo!天気・災害」アプリでも導入が進み、今後は「ヤフオク!」アプリや「Yahoo!ショッピング」アプリなど、Yahoo! JAPANが提供する主要iOSアプリに順次導入を進めていきます。
Android版アプリや、パソコン版やスマートフォンのウェブブラウザー版についても導入準備が着々と進んでいます。その最前線に立つのが、源や海野ら入社3〜5年目の若手エンジニアたちです。
現在は、パスワードレスログインはY!IDを新規作成する場合に限ったサービス。Yahoo! JAPANは毎月約4000万人がアクセスするサービスだけに、既存のY!IDにパスワードレスログインを浸透させるのにはまだ時間がかかりそうです。そうした導入を広める仕事にも彼ら若手エンジニアの戦力が期待されています。
「すでに従来のY!IDとパスワードで認証できているのに、いまさらどうしてというお客さまの反応は当然予想しています。ただ、パスワードレスログインこそユーザーも事業者もともにハッピーになれるサービスであることは間違いありません。上手にプロモーションを進めながら、パスワードから完全フリーになれる世界を構築していきたい」
と、部長の戸村は抱負を語っています。
パスワードレスログイン化を進めるヤフーですが、もちろん現状が終点ではありません。例えばSMSへの確認コードの送付もユーザーが面倒に感じさせないように進化させるなど、UI/UX的にもより高い次元での認証技術が求められています。
そこで次のテーマに浮上しているのが「FIDO(ファイド)」です。
FIDOは「素早いオンライン認証」を意味する英語“Fast IDentity Online”の略。従来のパスワードに代わる新しい認証技術のひとつで、主に指紋認証などの生体認証を意味していますが、概念としてはジェスチャー認証なども含まれます。注目の業界標準と目されているものです。
スマートフォンの世界でいちはやく所持認証にTouchIDによる指紋認証を提供したのはアップルでした。2013年のiPhone5sから標準装備されています。
ただ、現状はアプリからだと事前に保存したデータのアクセス制限に使える機能にすぎず、FIDOアライアンスが策定している認証プロトコルとは異なります。
「ヤフーとしてはすでに、iPhoneのTouchIDを利用した仕組みは持っていますが、実装はまだ。Android端末の指紋認証は、機種やOSバージョンごとに対応がまちまちなので、全体についてはまだ対応できていないのが現状です。
各端末の指紋認証技術への対応を進めながら、FIDOアライアンスのプロトコルに準じた実装を進めていくことになります」
と戸村は今後のロードマップを展望しています。
ID認証の世界では、一方では2要素・2段階認証などを導入してセキュリティー担保をより厳格・複雑にするという流れがあります。
しかし厳格にすればするほど、ユーザーにとっての利便性は下がることはたしか。FIDOはそれへの一つの解ではあるのですが、FIDOのプロトコル自体まだまだ策定中の状況にあります。
けれども、さまざまな技術やソリューションが登場し、その可否が実際のデバイスやサービスの中で検討される、こうした混沌とした状態こそが、未知を開拓することに使命を感じるエンジニアにとってはワクワクする環境だといえるのではないでしょうか。
ユーザー認証の奥深い世界を探検する、冒険心あふれるエンジニアがいま求められています。
