News

レポート: Authlete Customer and Partner Meetup 2022

2022 年 12 月 7 日(水)、六本木アカデミーヒルズにおいて、Authlete 初のユーザー会「Authlete Customer and Partner Meetup 2022」を開催しました。

Authlete をご利用中のお客さま・ご検討中のお客さま・ご支援をいただいているパートナーさまをお招きし、Authlete の活用事例の共有や Authlete の最新バージョンのご紹介を行い、参加者間での交流を深める機会となりました。

はじめに

最初に Authlete の工藤から、Authlete が幅広い分野の多数のお客さまにご活用いただいていることをご紹介しました。

また Authlete 採用の背景として、IAM ソフトウェアや IDaaS などを利用して個別に構築するのではなく、自社サービスの一部に ID/API 基盤を位置づける “Identity Component as a Service” のコンセプト、そして Authlete がその中で OAuth 2.0 / OpenID Connect (OIDC) のコア機能を「API 部品」として提供する、“OAuth/OIDC Component as a Service” である点をご説明しました。

詳細については、文字起こしをご参照ください。

Intro by Authlete

Authlete の工藤達雄が、“OAuth/OIDC Component as a Service” である Authlete の位置づけと、本イベントの概要をご説明しました。

金融サービスセッション (Road to be FAPI certified)

みんなの銀行のシステムの開発・運用・保守を担っているゼロバンク・デザインファクトリーの豊島氏より、Authlete を用いて構築したシステムの FAPI 認定取得事例をお話いただきました。

みんなの銀行は、デジタルネイティブ世代をターゲットに、デジタル起点のアプローチで作られた銀行です。支店を持たず、すべてのアクションをスマートフォンで完結できるようにしています。

同行は 3 つの大きな事業を構えており、そのうちのひとつである B2B2X、いわゆる Embedded Finance 事業の API 基盤 (BaaS API) において、FAPI の実装・展開を進めています。BaaS API ではA2A 決済(銀行が提供するオープン API を利用して仲介業者を介さずに銀行口座から銀行口座へ直接支払われる形態のこと)のような更新系 API のリリースも予定しています。

BaaS API 基盤開発開始からリリースまでの流れ

Authlete を活用した BaaS API 基盤は、数ヶ月の Proof of Concept(PoC) を経て、約 1 年で開発が行われました。この開発には、インフラ構築から、認証・認可基盤、リソースサーバー系のマイクロサービス、そしてモバイルアプリや勘定系接続などが含まれます。

その後、FAPI のテストスイートを実行。OpenID Foundation が提供する自動テストツールを利用し、全てのテストをパスした後、OpenID Foundation にテスト結果を提出し、マニュアルレビューを経て、FAPI 認定を受けたとのことです。

日本の金融システムが FAPI 認定を取得する意義

FAPI 認定を取得する意義について、豊島氏は「日本では標準が揃っていないので、標準仕様として認定プログラムのプロファイルである “Plain FAPI” を採用するのが最適解」であるとの見解を述べました。

また、様々なセキュリティテクニックの取り込みや、OAuth2 活用におけるバッドプラクティスの回避、そして認定プログラムによる仕様準拠検証の自動化の有用性についても言及がありました。

FAPI テストスイートの有用性を実感

FAPI 認定対象のプロファイル(詳細仕様)にはいくつかある中、みんなの銀行では “FAPI Advanced OP with MTLS, JARM” の認定を取得されました。これは FAPI1 Advanced で要求されている必須項目が網羅されているものです。

FAPI テストスイートについて、「もっと早めに実行した方が良かった」と、豊島氏は振り返りました。誰でも気軽に簡単に実行できること、テストドリブンでやった方が全体も把握でき、正解を最初に見る方が効率的であるというのがその理由です。また、Open Banking Brasil や Open Banking UK といった世界の FAPI 関連のプロファイルを探索でき、アーキテクチャとして参考にできる点がある、とのことでした。

Authlete が Apigee の FAPI 機能を充足

BaaS API プラットフォームでは、Apigee X と Authlete を組み合わせて、FAPI の必須要件である「署名された認可リクエスト」「JARM を用いた認可レスポンス」「mTLS モードでのトークンリクエスト」「証明書付きのリソースリクエスト」などの処理を実装しています。また「みんなの銀行アプリ」独自のユーザー認証機能を用いて、確実に本人であることを確認しているそうです。

なぜ Authlete を採用したのか

BaaS API で採用する前から、みんなの銀行アプリ自体は認可基盤として Authlete を活用しています。これが Authlete を採用した理由のひとつであると豊島氏は語りました。

次に豊島氏は、みんなの銀行アプリの「生体認証 & デバイス認証」を活用したかったため、認証ソリューションは必要なかったことを挙げました。さらに、認可サーバーそのものではなく、OAuth に関するコア機能を API を通してコンポーネント的に活用でき、使用可能なアーキテクチャの自由度が高いこと、そしてマルチリージョンに対応している点も、評価のポイントであったそうです。

さらに、サポートが充実していることも Authlete を選択した理由であった、とのお話をいただきました。

今後の FAPI への期待

さらに今後注目すべき動向として、豊島氏から FAPI2 についてご紹介がありました。そして、現時点ではドラフト段階の FAPI2 がファイナライズされたら、Authlete APIを活用して最短で認定を取りに行きたい、との抱負を語っていただきました。

本セッションの詳細については、文字起こしをご参照ください。

金融サービスセッション (Road to Be FAPI Certified)

ゼロバンク・デザインファクトリーさまに、Authlete を用いて構築したシステムに関する FAPI 認定取得の事例をお話しいただきました。

デジタルコンストラクションセッション (Authlete for Digital Construction)

続いて、建設業界向けのソリューションにおける Authlete の活用について、株式会社 EARTHBRAIN の赤澤氏とバク氏にご紹介いただきました。

EARTHBRAIN は「デジタル技術を駆使し、土木現場の生産性・安全性・環境性の世界革命を起こす」をミッションに掲げ、建設業界のデジタルトランスフォーメーションを進めるソリューションを開発・提供されています。コマツの社内プロジェクトを前身に、昨年 7 月、小松製作所、エヌ・ティ・ティ・コミュニケーションズ、ソニーセミコンダクタソリューションズ、野村総合研究所の合弁会社として設立されました。

建設業界が抱える問題に対し、デジタル技術を使って業界全体の生産性を上げていく

建設業界を取り巻く課題として、赤澤氏は「技能を持ち現場で作業をしてくださる人は減っているが、建設の需要はやや微増の状況であり、その結果需給ギャップが発生」していることを挙げました。こうした背景のもと、EARTHBRAIN はデジタル技術を使って業界全体の生産性を上げていこうとしています。たとえば、建機やダンプカーの位置情報を取得する専用デバイスや建設現場を 3D で表現するソリューションなど、多数のサービスを提供しています。

こうしたサービスを支えるプラットフォームは、さまざまな建機から集められたデータを蓄積、処理を行っています。データは API 経由で送受信が可能で、さまざまなデバイス、ハードウェア、アプリケーションとの連携も可能です。また、データの受け渡し以外にも認証・認可、ライセンス管理、その他にも建設業界特有の機能を提供しています。

プラットフォームの内製化にあたり、当初は IDaaS を検討。しかし、かなりのコスト増となることが判明

今稼働しているプラットフォームはベンダー主導で構築したものでしたが、機能拡張への迅速化、建設業界の標準規格や業界特有の概念の実装、アプリケーションからの要件の充足などがあり、プラットフォームの内製化プロジェクトが始まりました。

プラットフォームの OAuth 2.0/OpenID Connect 機能については、外部サービスを使用することにしました。選択肢としては、ある IDaaS ソリューションと BaaS (Authlete) の 2 つがありました。

現状プラットフォームの認証機能をカバーできること、実装の平易さ、開発時のリファレンスの充実さといった点で、当初は IDaaS の採用に傾いていたそうです。しかし、比較検討をさらに進める中で、IDaaS の課題が明らかになってきたと、バク氏は語りました。

その結果、「開発コストに大幅な違いは無いが、IDaaS はその提供する機能がほとんど使えないために BaaS よりもかなりコストが高くなる」と判断し、そして「IDaaS ではなく BaaS の検討を優先」することにしたそうです。

結果として Authlete を採用。必要な機能が新バージョンで実装されるなど、サポートが充実

上記の結論を受けて、EARTHBRAIN では、BaaS (Authlete) の検討を始めました。プラットフォームの要件を満たすために、たとえば JWT 認可グラントなどのいくつかの機能が必要であり、当初 Authlete では未対応でしたが、Authlete 社と議論した結果、Authlete 2.3 に追加されました。

認可サーバーの実装には、Authlete が提供する Go 系のライブラリが用いられました。PoC 的に実装してみたところ、すぐに Go で必要な API を動かせることができ、そして認可サーバーの構築・運用ができるようになったとのことです。

最後にバク氏からは、「Authlete による多くのサポートは、我々にとって非常に役立ちました」とのお言葉をいただきました。本セッションの詳細については、文字起こしをご参照ください。

デジタルコンストラクションセッション (Authlete for Digital Construction)

EARTHBRAIN さまに、建設現場をはじめとする IoT 分野での OAuth の適用と、その中での Authlete の活用をご紹介いただきました。

B2B SaaS パネルディスカッション (Authlete for B2B SaaS)

B2B SaaS 分野は Authlete の導入が進んでいる領域のひとつです。このパネルディスカッションでは、株式会社 SmartHR の芹澤氏、株式会社マネーフォワードの根津氏、弥生株式会社の飯田氏をお招きし、B2B SaaS 分野における API 認可・ID 連携の取り組み、OAuth/OIDC 基盤構築の課題、Authlete選定の決め手、そして今後の展望についてお伺いしました。

API 認可・ID 連携への取り組み

まず、API 認可・ID 連携に関する各社の取り組みについて伺いました。複数のサービスを連携したり、外部に API を公開していく中で、B2B SaaS ならではの要件である権限管理や、ID をどのように定義・管理しているかについて、各社各様の取り組みを事業背景も含めてお話していただきました。

OAuth/OIDC 基盤構築の課題

続いて、認証・認可の共通基盤を作る際の課題について伺いました。当初から Authlete を使って共通基盤の構築に着手した SmartHR、すでに存在している ID 基盤との組み合わせを進めたマネーフォーワード、そして、認証基盤の更改を実施した弥生。それぞれの課題を語っていただきました。

Authlete 選定の決め手

Authlete の採用に至る流れとして、最初のきっかけは「ドキュメントの精度が高く、かんたんに試せた」「ネットで調べていると Authlete の記事がヒットするので信用できると思った」とのことでした。

そして実施に比較検討し、「他社には無い機能が存在していた」「自前のログイン画面を使いたかった」「コンポーネント型で提供されている Authlete のほうが使いやすかった」ため、Authlete を選定したそうです。

今後の展望

最後に、構築した基盤を今後どのように展開していくかについて各社に伺いました。各社ともサードパーティとの連携を強化し、さまざまなサービスを連携させるための基盤として活用されていくとのことです。今後さらに多くの新しいサービスや適用事例が生まれることが期待されます。

本パネルディスカッションの詳細については、文字起こしをご参照ください。

B2B SaaS パネルディスカッション (Authlete for B2B SaaS)

SmartHR さま、マネーフォワードさま、弥生さまに、B2B SaaS 分野における API 認可・ID 連携の必要性と、そのために必要な OAuth/OIDC、そして Authlete 導入の効果についてお伺いしました。

Authlete 2.3 + Beyond

このセッションでは、Authlete の標準仕様策定活動、主要仕様の動向、Authlete2.3 の新機能、そして今後の展望について、Authlete 代表の川崎がお話ししました。

標準仕様策定活動

はじめに、標準仕様策定における Authlete の活動について紹介しました。

OpenID Foundation (OIDF) は OpenID Connect 関連の技術仕様を中心に策定作業を行なっている組織です。弊社社外取締役の崎村氏がチェアマンを務めています。また公式適合性テストを開発しているチームには、弊社 CTO の Joseph Heenan と同コンサルタントの Domingos Creado が参加しています。そして、AB/Connect、FAPI, eKYC & IDA といった、OIDF 傘下のワーキンググループに、弊社は継続的に関わっています。

なお、OAuth や HTTP については Internet Engineering Task Force (IETF) にワーキンググループがあり、こちらでも Authlete のメンバーが活動しています。

前述の公式適合性テストは、OIDF の「サーティフィケーションプログラム」において、各社の実証が仕様に準拠しているかどうかをテストするソフトウェアです。テストの開発にあたっては、このテスト自身をテストする必要があり、そのために Authlete が使われています。その結果、Authlete は必然的に、公式適合性テストの認証を最初に取得することになります。

Authlete と主要標準仕様の関係

次に、Authlete が対応する標準仕様のうち、いくつかの主要な仕様について説明しました。具体的には次の 4 つです。

  • FAPI
  • CIBA (Client Initiated Backchannel Authentication)
  • OIDC4IDA (OpenID Connect for Identity Assurance)
  • OIDC Federation (OpenID Connect Federation)

さらに、インターネット上に世界規模の高信頼性デジタルアイデンティティネットワークを構築するプロジェクトである Global Assured Identity Network (GAIN) について、現在の状況をお話ししました。現在 GAIN では PoC が進行中であり、Authlete は、この PoC に参加する 4 つの企業・組織の一社です。

そして、この PoC においてこの 2 つの仕様が採用されていることが、Authlete が OIDC4IDA と OIDC Federation を実装した理由のひとつです。

Authlete 2.3 が新たに対応する標準仕様と、新たに提供する機能

さらに Authlete 2.3 では、先に述べた主要標準仕様に加え、以下の標準仕様についても対応することを、各仕様の概要を含めてお伝えしました。

  • RFC 8693 OAuth 2.0 Token Exchange
  • RFC 7523 Section 2.1 / JWT Authorization Grant
  • OAuth 2.0 Step-up Authentication Challenge Protocol
  • Grant Management for OAuth 2.0
  • Advanced Syntax for Claims (ASC) / Transformed Claims

また Authlete 2.3 では多数の新規機能を追加しています。セッションではこのうち、「冪等性リフレッシュトークン」(同じリフレッシュトークンを用いたリフレッシュリクエストが短期間に複数回実行されることを許容し、期間中は同じアクセストークンを返す機能)について説明しました。

Authlete の開発プロセス

Authlete では、後方互換性を最大限に考慮していること、特定の地域やお客さまの要望に対してできる限り汎用機能として実装することを、過去の事例とともに解説しました。

具体例として、FAPI1 Part 2 の ID2 から Final への移行時にリクエストオブジェクトの処理ルールが変更された際には、移行期間用のフラグを設け、動作が変化しないよう対応を行ないました。また地域対応の例として、オープンバンキングブラジルにおいて必要となった「コンセント ID」への対応を、Authlete では汎用的な利用が可能な「正規表現にマッチするスコープ」として実装しました。

Authlete 3.0 と今後

最後に、Authlete 2.3 の次のバージョンとして開発を進めている、Authlete 3.0 について概要をお話ししました。大きな機能強化としては、API アクセスにアクセストークンを使用する点と、Web コンソールの統一です。Authlete 3.0 はすでに機能的には動いており。現在は、Web コンソールの UI デザインを見直す作業に入っています。

そして現在は以下の仕様に注目しており、今後、順次実装や仕様策定を進めていくことを表明しました。

  • HTTP Message Signature
  • Verifiable Credentials
  • CIBA と OIDC4IDA を同時に使うための仕様
  • Advanced Syntax for Claims

本セッションの詳細については文字起こしをご参照ください。

Authlete 2.3 + Beyond

Authlete の川崎貴彦が、2022 年 12 月リリース予定の Authlete 2.3 をはじめ、今後展開する新機能や仕様についてお話しました。

おわりに

プレゼンテーション終了後、同会場のラウンジにて交流会を開催しました。当日来場された多くのみなさまにご参加いただき、ビジネスディスカッションや、技術的な情報交換など、大いに盛り上がりました。

Authlete では今後もこのような機会を定期的に開催していきたいと考えています。今後ともどうぞよろしくお願いいたします。