YJTC19 B-1 パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 #yjtc
164 Views
January 26, 19
スライド概要
Yahoo! JAPAN Tech Conference 2019 B-1の資料です
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
Yahoo! JAPAN Tech Conference 2019 パスワードレス普及への 取り組み サービス統括本部 IDソリューション本部 | 三原 一樹 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
三原 一樹 ヤフー歴10年 1年前メディア系サービス開発から現部署に異動 趣味はランニング 業務外でiOSアプリ開発を少々 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1 Yahoo! JAPAN IDの現状 2 これまでのパスワードレスの取り組み 3 今後にむけて Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 Yahoo! JAPAN IDの現状 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPANのログインユーザー数 ヤフー メディア事業 EC事業 100以上のサービス Yahoo! JAPAN ID 月間ログインユーザーID数(万) 前年同月比10%増 3,614 4,158 4,587 2016 9月 2017 9月 2018 9月 出所 - ヤフー 2018年度第2四半期決算発表 プレゼンテーション資料 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 これまでのパスワードレスの 取り組み Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
従来までのYahoo! JAPAN IDの取り組み 2007 ログイン履歴 ✓ 身に覚えのないログイ ンのチェックが可能 ✓ 時刻やサービス、アク セス元のIPアドレス・国 などを確認できる 2009 ログインアラート ✓ 不審なログインをメール で連絡する機能 ✓ 強制的にログインをで きなくするログイン ロックも可能 2012 ワンタイム パスワード ✓ パスワードに加えた二 要素認証で不正アクセ スを防止 ✓ 「アプリ」か「メー ル」で使い捨てのパス ワードを送信 2015 スマートログイン ✓ ソフトバンクの回線を 利用した認証 ✓ IDとパスワード入力不 要でログイン完了 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
インターネットサービス利用時のIDに関する課題 ユーザビリティ セキュリティ パスワードを 忘れたことがある 96% 複数サービスで パスワードを 使いまわしている 73% ログインに手間がかかる 不正アクセスのリスク 出所 - 弊社独自調査「IDとパスワードに関するアンケート」 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
パスワード使いまわしによるリスク リスト型攻撃 ID/PW ID・パスワードの リストを入手 攻撃者 不正アクセス 他サービス 攻撃対象の サービス 同じパスワードを設定していると防御が困難 リスト型攻撃の ことを知らない 85% 出所 - 弊社独自調査「IDとパスワードに関するアンケート」 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
お客様のIDに関する課題を解決するために パスワード ユーザビリティの課題 ログインに手間がかかる セキュリティの課題 不正アクセスのリスク 解決策 パスワードレス化 記憶に頼らないログイン 1.SMS認証 パスワードログイン防止 2. パスワードレスID登録 3. パスワード無効化 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
パスワードレス化 施策概要 ユーザビリティ セキュリティ 1.SMS認証 2.パスワードレスID登録 3.パスワード無効化 ログイン時に確認コードが 送付されるため記憶が不要 ID登録時にパスワードを 設定させない パスワードでの ログインができない状態へ パスワードログインできないため不正アクセスされづらい Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
SMS認証ログイン Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
SMS認証ログインフロー ユーザー IDを入力 Yahoo! JAPAN SMS ベンダー 確認コード を生成 登録済み電話番号に 確認コードを SMS送信 SMSを送信 受け取った 確認コードを入力 確認コードが 生成したものと 一致するかを確認 確認コード一致 ログイン Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
まだSMS認証で解決できていないこと ユーザビリティの課題 覚えられない 忘れる 入力しづらい 解決 確認コードのため 覚える必要がない 未解決 ✓ 文字入力は必要 ✓ 待ち時間が発生 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
生体認証による セキュリティと ユーザビリティの 両立を目指す
生体認証が活用可能な規格:FIDOとは FIDO(Fast Identity Online)アライアンスが、 セキュリティと利便性の両立を目指し 生体認証などの次世代認証の標準化を進めている 250社を超えるグローバル企業が参画 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
パスワード認証とFIDO認証の違い パスワード認証 ID・パスワード 検証・識別 暗号化された パスワード ******* FIDO認証(公開鍵暗号方式) 検証 秘密鍵 検証結果 識別 秘密鍵は保持しない 公開鍵 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証の安全性 一般的な生体認証のイメージ ID・生体情報 検証・識別 暗号化された 生体情報 FIDO認証(公開鍵暗号方式) 検証 秘密鍵 検証結果 識別 生体情報は保持しない 公開鍵 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証をウェブで利用できる:FIDO2とは FIDO認証 検証 秘密鍵 検証結果 ウェブブラウザー (+Web Authentication) 識別 公開鍵 ウェブブラウザーを通じてFIDO認証を実現するために、 FIDOアライアンスとW3Cが Web認証(Web Authentication)仕様を共同で策定 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPANへのFIDO認証導入 計15社がFIDO2認定取得済 国内初 2018年10月23日 Yahoo! JAPANがFIDO2に対応 サービス事業者として世界で初めてFIDO2による認証リリース ※Android 7.0以上、Google Chrome 70以上 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証ログイン Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証のログインフロー ユーザー IDを入力 デバイス Yahoo! JAPAN 事前に登録 されている鍵IDと チャレンジ値を返す 鍵IDを元に 生体認証要求 生体認証 生体認証の 成功可否 成功 端末上の秘密鍵で チャレンジ値の 署名を発行 登録済みの 公開鍵を利用し 署名の検証 検証成功 ログイン Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 今後にむけて Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
パスワードレス普及に向けて ■ パスワードレスログインの訴求 生体認証設定・SMS認証設定・パスワード無効化設定 ■ 様々なデバイスやアプリへの対応 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
まとめ ● Yahoo! JAPANのログインユーザー数は年々増加 ● SMS認証や生体認証でのログインや パスワード無効化を実現 ● 今後もパスワードレスIDを推進 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
安心・安全にIDが使える パスワードのない世界を目指します Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 ヤフーのデータ戦略を支えるID連携 ヤフー株式会社 | 本間 洋光 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
本間 洋光 ・サービス統括本部IDソリューション本部 ・Yahoo! ID連携の開発・運用を担当 ・ヤフーに新卒で入社し現在4年目 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1 ヤフーのデータ戦略とYahoo! JAPAN ID 2 ID連携の仕組みとヤフー社内における利用 3 ヤフー社外におけるID連携の活用事例 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ヤフーのデータ戦略と Yahoo! JAPAN ID Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
提供サービス数100以上 Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのデータ戦略 社外パートナー サービス 提供 データ 蓄積 データ 活用 Yahoo! JAPAN ID Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
データ戦略の実現のため 利用者を識別してデータを保持することで データを活用しやすくする 複数サービス・デバイスを同じIDで ログインしてサービスを利用してもらうことが大事 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
サービス・デバイス横断でデータをID一元管理 サービス利用データ Yahoo! JAPAN ID × PC スマートフォン タブレット テレビ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
スマホアプリへの注力 スマートフォンの登場以降 ユーザーはスマホアプリを日常的に使うように スマホアプリをログインして 利用してもらうことに注力 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アプリ利用の促進 ・スマホブラウザ利用ユーザーに Yahoo! JAPANアプリの利用を訴求 ・ブラウザのログイン状態を引き継ぐ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ログインした場合の機能提供 ・Yahoo! JAPANアプリで表示される タイムラインは一人ひとり異なる Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ボタンタップ一つでログイン ・ログイン済のアプリのセッションを 活用してログイン状態に Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPANのログインユーザーID数 月間4,587万ユーザー 月間ログインユーザーID数(万) 3,614 4,158 4,587 2016 9月 2017 9月 2018 9月 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
データ活用のためのYahoo! JAPAN ID よりスマホアプリにフォーカスして利用を促進 さらにログインして利用してもらうことで データの活用がしやすい状況にシフト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2.ID連携の仕組みとヤフー社内における利用 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのアプリのログインはYahoo! ID連携を利用 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! ID連携とは Yahoo! ID連携はOpenID Connectに準拠したプロダクト ユーザーの同意に基づいた属性情報の連携や Web APIのアクセスコントロールが可能 認証・認可 ユーザー 認証結果 属性情報 IDプロバイダ サービス利用 Webサイト アプリケーション Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 OpenID Connectの登場人物 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
RP UserInfo User-Agent (End-User) IdP
RP Relying Party 信頼関係にあるサービス UserInfo ユーザーの属性情報を 返却するWeb API User-Agent (End-User) IdP ID Provider ユーザーのIDを 管理するサービス
Yahoo! JAPAN Tech Conference 2019 Authorization Code Flow Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
RP UserInfo API 1. AuthN/AuthZ Request ログインボタンを押す 認証・認可の処理へ遷移 User-Agent (End-User) IdP
RP UserInfo API 1. AuthN/AuthZ Request User-Agentによって リダイレクト 2. AuthZ Request(Redirect) User-Agent (End-User) IdP
RP UserInfo API 1. AuthN/AuthZ Request IdPはID・パスワードを用いて ユーザーを認証・同意を取得 2. AuthZ Request(Redirect) 3. Login/Consent User-Agent (End-User) IdP
RP UserInfo API 1. AuthN/AuthZ Request ユーザーが同意した認可情報が ひもづくAuthZ Codeを リダイレクトで返却 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent User-Agent (End-User) IdP
RP UserInfo API 1. AuthN/AuthZ Request Authz Codeと 事前にRPへ発行している Client IDを使って Tokenをリクエスト 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent User-Agent (End-User) IdP
RP UserInfo API 1. AuthN/AuthZ Request Web APIアクセスのためのAccess Token それを更新するためのRefresh Tokenを取得 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent IdPが認証したユーザー認証情報が 含まれるID Tokenを取得 User-Agent (End-User) IdP
RP UserInfo API 7. Verify ID Token IdPが認証したユーザーの認証結果を ID Tokenを用いて検証する 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent 1. AuthN/AuthZ Request User-Agent (End-User) IdP
RP UserInfo(ヤフー) 7. Verify ID Token 8. Access Tokenを用いて属性情報取得 9. ユーザーが認可した情報を返す 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent 1. AuthN/AuthZ Request User-Agent (End-User) IdP(ヤフー)
ヤフー提供のアプリ 7. Verify ID Token RP(ヤフー) 8. Access Tokenを用いて属性情報取得 9. ユーザーが認可した情報を返す UserInfo(ヤフー) RP,IdP,Userinfo提供元が 同一事業者であるヤフー 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent 1. AuthN/AuthZ Request User-Agent (End-User) IdP(ヤフー) Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ヤフー提供のアプリのログイン ・Webでもアプリでも同じIDで ログインできるように ・ログイン中のアプリのセッションを活用する 仕組みも提供 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
3.社外におけるID連携の活用事例 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! ID連携を使うと ・普段利用しているYahoo! JAPAN IDで 他社サービスにもログインできる ・Yahoo! JAPAN IDに紐づく属性情報が 連携可能になる ・別途ID・パスワードを設定する必要がない Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
他社サイトへのログインの例 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
社外パートナー提供のアプリ・サービス 7. Verify ID Token RP(社外) 8. Access Tokenを用いて属性情報取得 9. ユーザーが認可した情報を返す UserInfo(ヤフー) ・RPが社外のアプリ・サービス ・IdP,Userinfo APIをヤフーが提供 ・社内も社外の全く同じ仕組みが 採用されている 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent 1. AuthN/AuthZ Request User-Agent (End-User) IdP(ヤフー) Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのデータ戦略 社外パートナー サービス 提供 データ 蓄積 データ 活用 Yahoo! JAPAN ID Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ヤマト運輸様との取り組み Yahoo! JAPAN とヤマト運輸 荷物の受け取り予定もう見逃さない! Yahoo! JAPAN IDとクロネコIDを連携して 通知を受け取る Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
再配達の増加その解決策 EC利用の増加に伴い配送量が増加 宅配便再配達率は約15.0%* ヤフーのサービスをご利用いただいているユーザーに 配送情報をヤフーのアプリで確認できる機能を提供 *出典:国土交通省平成30年4月報道発表資料 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
配送情報をPUSH通知で確認する 配送予定のお知らせ お届け予定日をご確認ください。 会社名 ヤマト運輸 お届け予定日 2018年10月1日(月) 8~12時 ※ゴルフ・スキー・空港宅急便(施設宛)の 場合、プレー日(搭乗日)を表示しておりま す。 なお、交通事情等により予定通り配達できな いことがあります。 日時・受取場所 変更 伝票番号 0000-0000-0041 品名 時計 サービス 宅急便 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
配送予定詳細の確認 ●Yahoo! JAPANアプリ「ツール」タブ ●Yahoo! JAPANアプリ「お知らせ」タブ 8月1日(水) 今日 お荷物の配送状況 ヤマト運輸 ヤマト運輸 8/1 17:00 お届け予定の荷物があります 8/2 14:00-16:00 お届け予定 千代田区 - 豪雨予報 非常に激しい雨 50mm/h 14:25 14時20分予報 号外 【号外】日経平均、一時1000円超安 12:05 7月31日(火) お荷物の配送状況 ヤマト運輸 ヤマト運輸 7/24 14:00 お届け予定の荷物があります Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo!カレンダーから配送予定を確認 2018年1月 11月15日(水) 酒のビッグボスからの宅急便 11月15日(水) 11月15日(水) 19:00 21:00 なし 通知 なし https://www.yahoo.co.jp/kuronekoyamato/ jkjhksjdhajkhdsfadfdasadfa Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
配送情報連携の仕組み 対象Yahoo! JAPAN IDごとに配送情報をWeb APIで受け取る 配送情報 PUB SUB クロネコ メンバーズ 配送情報API Pulsar アプリBE Yahoo! JAPAN アプリによる PUSH通知受信 Yahoo!カレンダー アプリに 配送予定登録 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アクセスコントロールとユーザーの同意 ・配送情報APIのアクセスコントロールと配送情報の受け渡しについて ユーザーから同意を取る仕組みにYahoo! ID連携を利用 ユーザーにヤフーが提供するアプリで 配送情報を表示することの同意を取得 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
配送情報連携の仕組み クロネコメンバーズIDとYahoo! JAPAN IDをID連携で紐付ける 7. Verify RP(クロネコメンバーズ) ID Token 8. Access Tokenを用いて属性情報取得 9. ユーザーが認可した情報を返す UserInfo(ヤフー) ユーザーの同意に基づいて 配送情報APIにアクセス可能な Access Tokenを発行 6. Access/Refresh/ID Token 5. Token Request 4. AuthZ Code(Redirect) 2. AuthZ Request(Redirect) 3. Login/Consent 1. AuthN/AuthZ Request User-Agent (End-User) IdP(ヤフー) Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ID連携を用いた社外とのデータ利活用 ・配送情報をヤフーのサービスで活用 ・ユーザーの同意に基づいたデータ連携と アクセスコントロールを実現 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
まとめ ・データを活用したユーザー体験の向上のためには ログインしてサービスを利用してもらうことが重要 ・ログインして使ってもらいやすい社内の施策を紹介 ・ID連携を活用した社外連携の例として ヤマト運輸様と配送情報連携を紹介 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
社内外でID連携を活用した データ活用・サービス提供を行い ユーザーに便利をお届けしたい Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! JAPAN Tech Conference 2019 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.