CIAMに認証オブザーバビリティが必要な理由
コンシューマー向け認証のオブザーバビリティが重要な理由。クライアント側のテレメトリ、パスキー分析、リアルタイムの導入促進により、バックエンドのログを越えた可視性を実現します。
このページは自動翻訳されています。英語の原文は こちら.
1. はじめに#
FIDO Allianceはパスキーの成功率が93%であると報告していますが、ほとんどのCIAMチームでは、導入後の普及率が5%から15%の間で停滞しています。このギャップが存在するのは、バックエンドのログではコンシューマーのデバイス上で何が起こっているかを確認できないためです。認証オブザーバビリティは、このギャップを埋めるものです。
- FIDO Alliance Passkey Index(2025年)によると、パスキーによるサインインは、パスワードやSMS OTPの63%に対し、93%の成功率を達成しています。 - ほとんどのCIAM展開では、デバイスの強力なサポートにもかかわらず、導入後にパスキーの普及率が**5%から15%**の間で停滞しています。
パスキーの失敗の80%以上はコンシューマーのデバイス上で発生しており、リクエストがバックエンドサーバーに到達する前に起きています。
- バックエンドのIdPログでは、コンシューマーがFace IDをキャンセルしたか、生体認証がタイムアウトしたか、またはパスワードマネージャーの拡張機能によってブロックされたかを判別できません。
認証オブザーバビリティは、コンシューマーがメールアドレスを入力する前の識別子入力前のイベントを含め、クライアント側のジャーニー全体を追跡します。#
動的なデバイスの抑制により、問題が判明しているデバイスとOSの組み合わせに関するサポートチケットを最大**60%**削減できます。
- コホートベースの推進により、信頼性の高いデバイスセグメント(例:macOS + Safari + Apple Silicon)のパスキー登録率を1桁台から47%に引き上げることができます。 - 認証オブザーバビリティは、パスキー有効化率(対象となるコンシューマーのうち、パスキーを作成した割合)とパスキー使用率(毎日のログインに使用している割合)という2つの主要なKPIを追跡します。
2. CIAMオブザーバビリティと従業員向けIAMの違い#
コンシューマーのアイデンティティと従業員向けIAMは用語を共有していますが、共通点はほとんどありません。従業員向けIAMでは、IT部門がすべてのノートパソコン、ブラウザ、セキュリティキーを管理します。パスキーが機能しなくなっても、環境は既知です。一方、CIAMでは、コンシューマーは管理されていないデバイス(廉価版のAndroidスマートフォン、5年前のiPad、複数のパスワードマネージャー拡張機能がインストールされた共有PCなど)を使用するため、クライアント側の環境は予測不可能です。
認証アナリティクスホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。
2.1 匿名のユーザーと識別子入力前のブラインドネス(Pre-Identifier Blindness)の問題#
従業員向けIAMでは、すべてのユーザーがログインする前にActive Directoryに存在します。CIAMでは、コンシューマーはメールアドレスを入力するまで見えない存在です。パスキーのプロンプトに戸惑ったり、パスワードマネージャーのオーバーレイが自動入力をブロックしたりして、メールアドレスを入力する前に離脱してしまった場合、バックエンドには何も記録されません。この「識別子入力前のブラインドネス」は、コンシューマー認証における最大の可視性のギャップであり、最も収益が漏れ出すポイントでもあります。
**例:**あるeコマースプラットフォームでは、ログインページでの直帰率が15%でしたが、バックエンドでのエラーはありませんでした。クライアント側のオブザーバビリティにより、1Passwordの拡張機能がネイティブのパスキー自動入力を覆い隠していることが判明しました。コンシューマーはごちゃごちゃしたUIを見て離脱していました。サーバーのログはこれを一切キャプチャしていませんでした。
2.2 コンシューマー認証において重要な指標#
CIAMの認証オブザーバビリティは、従来のSREの「ゴールデンシグナル」をログイン固有のKPIに適応させます。パスキーの分析ダッシュボードで追跡すべき最も重要な指標は次のとおりです。
- **ログイン成功率(LSR):**エラーなしで完了したログイン試行の割合。これが一晩で91%から85%に低下した場合、何かが壊れています。
- **認証離脱率:**ログインフローを開始したものの、完了しなかったコンシューマーの割合。ページへのアクセスから生体認証の完了まで、すべての決定ポイントで追跡されます。
- **パスキー有効化率(追加率):**パスキーをサポートしているデバイスを持つすべてのコンシューマーのうち、求められたときに作成した割合。目標:最初の1年以内に対象ユーザーの60%以上。
- **パスキー使用率(ログイン率):**すべてのログイン試行のうち、パスキーを使用した割合。目標:ログインの40%以上。実際の普及の進捗を測定するために、レガシーなフォールバック率と比較して追跡されます。
- **パスワードリセットのボリューム:**この数値が急増した場合、コンシューマーがログインできないことを意味します。これは、チャーンやサポートコスト上昇の強力な先行指標となります。
従業員向けIAMでは、ログインの失敗はヘルプデスクのチケットを作成します。CIAMでは、それはチャーンを生み出し、ヘルプデスクのチケットが作成されるのは可能性に過ぎません。認証は、チェックアウト、サブスクリプションの更新、ダッシュボードへのアクセスなど、価値の高いコンシューマーのアクションすべてに関与します。あるサブスクリプションSaaS企業は、月に2回以上ログインに失敗したコンシューマーの解約率が通常の3倍になることを発見しました。オブザーバビリティによって、その関連性が可視化されました。
実際にどれだけの人がパスキーを使っているか確認できます。
3. パスキーにおいてバックエンドのログと一般的な分析ツールが機能しない理由#
ほとんどのCIAMチームは、IdPのログやGA4、Mixpanelのようなツールに依存しています。パスワードベースのログインにはそれで十分でした。しかしパスキーの場合、重要な瞬間がサーバーからコンシューマーのデバイスへと移っているため、それでは不十分です。
3.1 クライアント側の「ブラックボックス」#
パスワードの場合、フローはシンプルです。コンシューマーが認証情報を送信し、サーバーがそれを確認し、サーバーが結果をログに記録します。パスキーの場合、ブラウザはネイティブOSのモーダル(iCloud Keychain、Google Password Manager、Windows Hello、またはサードパーティの拡張機能)を開きます。生体認証がタイムアウトしたり、間違ったクレデンシャルマネージャーが引き継いだり、コンシューマーがキャンセルしたりした場合、それらはすべてリクエストがサーバーに到達する前に発生します。
**例:**あるバンキングアプリでは、iOSのアップデート後、パスキーの試行が30%減少しました。バックエンドのログではリクエストの減少が見られましたが、エラーはゼロでした。クライアント側のオブザーバビリティが原因を突き止めました。iOS 18.2でSafariの自動入力ドロップダウンの表示方法が変更され、コンシューマーがパスキーのオプションを単に見落としていたのです。
以下の図は、各認証方法において可視性がどこで途切れるかを示しています。
3.2 一般的な分析ツールはパスキー固有のデータを見逃す#
カスタムイベント(GA4のカスタムディメンション、Mixpanelのカスタムプロパティ)を受け入れるツールであっても、パスキーのデータでは構造的な限界にぶつかります。パスキーのパフォーマンスは、OSのバージョン + ブラウザのバージョン + クレデンシャルマネージャー + ハードウェアオーセンティケーターという正確な組み合わせに依存しており、数千もの固有の組み合わせが存在します。GA4は、500を超える固有の値を持つカスタムディメンションをカーディナリティが高いとしてフラグを立て、超過分を「(その他)」バケットにまとめたり、サンプリングをトリガーしたりするため、パスキーのデバッグに最も重要な、デバイス/ブラウザ/クレデンシャルマネージャーの組み合わせのロングテールが事実上隠されてしまいます。Mixpanelはイベント量に応じて課金され、ネイティブのWebAuthnイベントスキーマを提供していません。
また、これらのツールはパスキー固有のシグナルも見逃します。クレデンシャルはiCloud経由で同期されているのか、それともデバイスにバインドされているのか?コンシューマーはQRコードを使ってデバイス間認証(Cross-Device Authentication)を試みているのか?Conditional UIはバックグラウンドでトリガーされたか?これらは、キャプチャするために専用の計測機能を必要とするネイティブブラウザAPIの状態です。
4. 認証オブザーバビリティが実際に追跡するもの#
認証オブザーバビリティは、単なる「より多くのロギング」ではありません。その真の価値は、コンシューマーがメールアドレスを入力する前に発生したイベントを含め、コンシューマーのジャーニー全体を結果からバックフィルおよび逆算してコンテキストを提供することにあります。
4.1 開始から終了までのセレモニーステージ#
専用に構築されたクライアント側SDKは、完全なパスキーのライフサイクルを構造化されたイベントタクソノミーとして追跡します。
- **コンシューマーの開始方法:**Conditional UIの自動入力、専用の「パスキーでサインイン」ボタン、または手動でのメールアドレス入力
- **デバイスチェック:**UIが表示される前に、サイレントな機能プローブがデバイスがパスキーをサポートしているかどうかを判断します。
- **オーセンティケーターの選択:**スマートフォンのマネージャーからの同期されたパスキー、またはNFC、USB、Bluetooth経由の外部ハードウェアキー
- **生体認証のステップ:**Face ID、指紋、またはPIN。そして、それは成功したか、タイムアウトしたか、キャンセルされたか?
- **最終結果:**何が失敗したかを説明する特定のWebAuthnエラーコード(単なる「成功」や「エラー」ではありません)
**例:**ある小売アプリがこれらのステージを追跡したところ、Androidのパスキー試行の22%が「オーセンティケーターの選択」で失敗していることがわかりました。根本原因:一部のGalaxyデバイスではSamsung Passがデフォルトのクレデンシャルマネージャーとなっており、アプリが要求するWebAuthn拡張機能をサポートしていませんでした。Google Password Managerであれば機能したはずですが、SamsungのOSスキンがリクエストを最初にSamsung Passにルーティングしていたのです。
以下の図は、これらのセレモニーステージをファネルとして示し、各ステップでの典型的な失敗ポイントを表しています。
4.2 ビジネスの意思決定のためのWebAuthnエラーコードの解釈#
セレモニーが失敗すると、ブラウザは特定のエラーコードを返します。技術的な定義よりも、ビジネス上の解釈の方が重要です。
| エラー | 何が起きたか | どうすべきか |
|---|---|---|
| NotAllowedError | コンシューマーがキャンセルしたか、タイムアウトした。 | 最も一般的。発生率が急増した場合は、プロンプト表示前のメッセージを変更してテストする。摩擦のないフォールバックを確保する。 |
| NotSupportedError | デバイスがパスキーをサポートしていない。 | このデバイスタイプではパスキーのUIを非表示にする。パスワードまたはOTPをデフォルトにする。 |
| SecurityError | HTTPSまたはドメイン設定の問題。 | TLS証明書とRelying Party IDの設定を直ちに確認する。 |
| UnknownError | クレデンシャルマネージャーがクラッシュしたか、拡張機能が干渉した。 | 特定の拡張機能(Bitwarden、LastPassなど)が問題を引き起こしていないか確認する。 |
| AbortError | アプリのタイムアウトによりリクエストが強制終了された。 | タイムアウト時間を延長する。一部の生体認証の応答にはさらに時間が必要。 |
**例:**ある旅行予約サイトで、FirefoxユーザーのUnknownErrorが8%に急増しました。これらのエラーの92%は、Bitwarden拡張機能を有効にしているコンシューマーからのものでした。拡張機能がWebAuthnの呼び出しを傍受し、何も知らせずに失敗していました。解決策:Bitwardenを検出し、拡張機能のバグが解決されるまでパスキーのプロンプトをスキップするようにしました。
WebAuthnの仕様は進化しています。UserCancellationError(タイムアウトではなく意図的なキャンセル)やHybridPrerequisitesError(デバイス間でBluetoothが利用不可)などの提案されている新しいエラーコードは、ブラウザがそれらを採用すれば、より詳細な情報を提供するようになります。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study5. コンシューマーがパスキーに登録しない理由(およびその見つけ方)#
最も難しい問題は、パスキーのセレモニーがなぜ失敗したのかをデバッグすることではありません。それは、すべてのPMが尋ねる「そもそもなぜコンシューマーはパスキーに登録しないのか」という疑問に答えることです。これは登録前の問題であり、バックエンドのログはこれに対して完全に盲目です。
5.1 コンシューマーが識別子を提供する前のジャーニーをバックフィルする#
優れたオブザーバビリティシステムは、コンシューマーがパスキーを使って何もしない場合でもデータをキャプチャします。誰かがログインページにアクセスすると、SDKは裏で確認します。このデバイスはパスキーをサポートしているか?Conditional UIは利用可能か?プラットフォームオーセンティケーターは存在するか?
デバイスに機能があるにもかかわらず、コンシューマーが「パスワードでサインイン」をクリックした場合、システムは登録前の離脱イベントを記録します。数千のセッションを通じて、これらのイベントは、プロンプトが隠れていること、パスキーに関する教育の不足、またはパスワードマネージャーのオーバーレイがフォームフィールドを傍受していることによる離脱かどうかといったパターンを明らかにします。
**例:**あるヘルスケアポータルでは、Macユーザーの70%がパスキーのオプションを無視していることがわかりました。オブザーバビリティにより、パスキーのプロンプトがスクロールせずに見えない部分(アバブ・ザ・フォールドより下)に表示されていることが判明しました。ほとんどのコンシューマーは下までスクロールしていませんでした。プロンプトをパスワードフィールドの上に移動したことで、登録数は2倍になりました。
5.2 Conditional UI:見えない失敗のポイント#
Conditional UIを使用すると、ブラウザの自動入力ドロップダウンに保存されたパスワードと一緒にパスキーを表示させることができます。これはバックグラウンドで静かに実行されます。コンシューマーが実際にパスキーを選択しない限り、バックエンドはそれが実行されたかどうかを一切知ることができません。
パスキーのオブザーバビリティは、Conditional UIが呼び出されたかどうかを追跡します。数千のデバイスで実行されているにもかかわらず、パスキーを選択する人がほとんどいない場合、問題は暗号化ではなくUIにあります。自動入力ドロップダウンが正しくレンダリングされていないか、カスタムCSSがブラウザのネイティブの動作を抑制している可能性があります。
**例:**あるメディアストリーミングサービスでは、Conditional UIは対応デバイスの94%で正しく実行されていましたが、選択率はわずか3%でした。ログインフォームはカスタムスタイルの入力を使用しており、これがネイティブの自動入力ドロップダウンを抑制していました。標準の入力に切り替えることで、選択率は31%に向上しました。
ライブデモでパスキーを試せます。
6. データからアクションへ:壊れたデバイスの抑制と最適なデバイスへの推進#
オブザーバビリティのデータを収集することは、それに基づいて行動してこそ意味があります。システムは、コンシューマーが目にするものをリアルタイムで変更するルールエンジンにデータを提供するべきです。
6.1 システム的な障害とランダムなキャンセルの見極め#
すべてのパスキーの失敗がバグというわけではありません。コンシューマーがFace IDのプロンプトで「キャンセル」をタップするのはよくあることです。しかし、失敗が特定のデバイス/OS/ブラウザの組み合わせに集中している場合、それはシステム的な問題です。
**例:**グローバルでのパスキー成功率:92%。One UI 6.0を搭載したSamsung Galaxy A14上のChrome:15%。これはユーザーのミスではなく、クレデンシャルマネージャーの実装が壊れているのです。オブザーバビリティはこれを数週間ではなく数時間で表面化させます。
6.2 壊れた環境の自動抑制#
ログインに失敗したとき、コンシューマーはスマートフォンのメーカーではなく、あなたのアプリを責めます。オブザーバビリティがパスキーが確実に壊れるデバイス/OSの組み合わせを特定したら、「キルスイッチ」がパスキーのプロンプトを抑制し、コンシューマーが壊れたモーダルを見る前に、マジックリンク、TOTP、またはパスワードといった信頼できるフォールバックへと誘導します。
**例:**あるライドシェアアプリは、合計で82%のパスキーの失敗率を示す3つの廉価版Androidモデルを特定しました。これらのデバイスでパスキーを抑制した後、対象地域からのサポートチケットは1週間以内に60%減少しました。
6.3 信頼性の高いコホートへの推進#
逆に、オブザーバビリティによってmacOS + Safari + Apple Siliconのコンシューマーが98%成功していることが示された場合、そのコホートは積極的な推進(ナッジ)(パスキーモーダルの自動起動、「iCloud Keychainがアカウントを保護する準備ができました」と表示する、またはパスワードを「その他のオプション」の後ろに隠してパスキーをデフォルトにするなど)を行っても安全です。
**例:**あるオンラインマーケットプレイスは、パスワードログイン後に自動トリガーされる登録モーダルを使用して、信頼性の高いコホートを推進しました。macOS/Safariのコンシューマーは47%が登録しました。他のすべてのコホート(積極的でない推進)は11%でした。
以下のデシジョンツリーは、オブザーバビリティデータに基づいた抑制または推進のロジックを要約しています。
7. 有効化率と使用率の向上#
認証オブザーバビリティは、2つのKPIに役立ちます。それは、アクティベーション率(コンシューマーがパスキーを作成しているか?)と使用率(定期的に使用しているか?)です。
7.1 有効化率の向上#
有効化率(Activation Rate)は、対象となるコンシューマーのうち、パスキーを作成した人の割合を測定します。標準的な分析ツールは、どのデバイスがパスキーをサポートしているかを認識していないため、これを計算できません。オブザーバビリティは、継続的な機能プロービングによってこれを解決します。
- **ペイン後のプロンプト:**コンシューマーが苦労してパスワードのリセットを終えた直後に、パスキーの作成プロンプトを表示します。不満が新鮮なこの瞬間が、最も承諾率が高くなります。
- **持続的なプロンプト:**分析によると、ブロックしないプロンプトである限り、3回目や4回目のプロンプトであっても、依然として2桁のコンバージョン率を達成することが示されています。
**例:**あるバンキングアプリは、すべてのパスワードリセットフローの後にパスキーの作成を促しました。コンシューマーの34%がリセット直後にパスキーを作成しましたが、通常のログイン時に促された場合は8%でした。
最新ニュースを受け取るためにPasskeys Substackを購読しましょう。
7.2 使用率の向上#
コンシューマーはパスキーを作成しても、習慣からパスワードを入力し続けることがあります。使用率は、すべてのログインに対してパスキーが使用される頻度を追跡します。
- **より良い開始UX:**アクティブなパスキーを持つコンシューマーがまだユーザー名を入力していることをテレメトリが示している場合、自動入力が失敗しています。テキストフィールドの前に配置された目立つ「One-Tap」ボタンは、従来の行動を遮断します。
- **デバイス間ログインの修正:**iPhoneのパスキーでWindowsのノートパソコンにログインする際、コンシューマーはQRコードをスキャンしてBluetoothを使用します。CDAの完了率が低下した(例えば42%など)場合、「Bluetoothをオンにしてください」や「ここにカメラを向けてください」といった明確な指示によって、多くの試行を救うことができます。
**例:**ある保険ポータルでは、登録したコンシューマーの60%が依然としてパスワードを使用していることがわかりました。パスキーの自動入力がパスワードフィールドの下にレンダリングされていました。これを上に移動し、「Face IDでサインイン」ボタンを追加したことで、2か月以内にパスキーの使用率が40%から73%に向上しました。
8. 導入後(Day 2)の悪夢:ネイティブアプリとサイレントなプラットフォームの変更#
パスキーのセットアップは簡単な部分です。コンシューマーのデバイスの混沌の中でそれらを機能させ続けることが、オブザーバビリティが不可欠になります。
8.1 ネイティブアプリの複雑さ#
ブラウザでのパスキーはシンプルです。ネイティブのiOSおよびAndroidアプリでは、QAの表面積が3倍になります。開発者はネイティブAPI(iOSではAuthenticationServices、AndroidではCredential Manager)か、埋め込まれたWebViewのどちらかを選択します。各パスはそれぞれ異なる失敗の仕方をします。
**例:**あるフードデリバリーアプリのiOS実装は完璧に機能していましたが、彼らのAndroidアプリは、Android 13でパスキーのリクエストを黙ってドロップする埋め込みWebViewを使用していました。ネイティブ固有のテレメトリがなかったため、チームはサーバー側の問題だと決めつけて3週間を費やしました。
8.2 サイレントなOSアップデート#
Apple、Google、Microsoftは常にアップデートを配信しています。ほとんどはパスキーのサポートを改善するものですが、一部には事前の警告なしに既存のロジックを壊してしまうサイレントなリグレッションをもたらすものもあります。
**例:**iOS 18.1では、MacのChromeに対してSafariがデバイスの機能を報告する方法が変更されました。Chromeは誤って「利用可能なプラットフォームオーセンティケーターなし」と報告し始め、パスキーのオプションを完全に隠してしまいました。バックエンドのログでは試行回数の減少が見られましたが、エラーはありませんでした。クライアント側のオブザーバビリティは、数時間以内に正確なOSとブラウザの組み合わせをフラグ付けしました。
9. CIAMチームにおける「構築か購入か(Build vs. Buy)」#
クライアント側のテレメトリの必要性を理解したら、次の疑問は、自社で構築するか、それとも専門のソリューションを購入するかです。
9.1 自社構築の隠れたコスト#
DIYのアプローチはシンプルに聞こえます。WebAuthnの呼び出しをJavaScriptでラップし、イベントをロギングスタックにパイプで送るだけです。しかし実際には、一般的なツールはカーディナリティを処理できません。エコシステムが進化するにつれて、チームはイベントのタクソノミーを維持しなければなりません。新しいエラーコードを調査し、OSリリースのたびにパーサーを更新する必要があります。何かが壊れたとき、修正には設定変更ではなくコードのデプロイが必要です。
**例:**ある小売業者は、社内でパスキーのテレメトリを構築するのに半年を費やしました。macOS 15.2の機能検出が壊れたとき、修正をリリースするのに2週間、つまりフロントエンドの完全なデプロイサイクルがかかりました。ベンダーのソリューションであれば、サーバー側で数時間以内に更新されていたでしょう。
9.2 ベンダーのソリューションが提供するもの#
専門のベンダーは、数千のコンシューマーアプリにわたってデータを集約します。Chromeのアップデートが特定のAndroidバージョンのパスキー作成を壊した場合、ベンダーはそれをグローバルで検出し、更新されたエラー分類をすべての顧客にプッシュします。これはコンシューマーが影響を受ける前に行われます。
| 機能 | 自社構築 | ベンダーのソリューション |
|---|---|---|
| 可視性 | バックエンドのログのみ。クライアント側は切り捨てられる。 | ファネル全体にわたるクライアント側の完全なWebAuthn追跡。 |
| エラー処理 | 手動でのログ相関。新しいコードは受動的に発見される。 | グローバルデータから自動更新されるタクソノミー。プレーンテキストの根本原因。 |
| 導入ツール | UXの推測とA/Bテスト。 | 世界最大のパスキーデータセットに基づくコホート推進。 |
| メンテナンス | OSのアップデートごとにパーサーの変更が必要。 | ベンダーがすべてのOSとブラウザの特殊な動作のマッピングを維持。 |
| インシデント対応 | コードのロールバック。 | 即時のキルスイッチと設定レベルのフォールバック。 |
ベンダーのプラットフォームではベンチマークも可能です。FIDO Allianceはベースラインとなる成功率を93%と報告しています。もしあなたの成功率が75%であれば、プラットフォームはどこでなぜパフォーマンスが下回っているのかを正確に示します。
Buy vs. Buildガイド. パスキープログラム向けの実践ガイド、展開パターン、KPI。
10. CorbadoがCIAMの認証オブザーバビリティをどのように提供するか#
Corbadoは、すぐに使えるパスキーのオブザーバビリティと導入のためのレイヤーを提供します。Okta、Auth0、Ory、カスタムIdPなど、既存のアイデンティティスタックに何も置き換えることなく統合できます。フロントエンドSDKは、パスキーの作成、Conditional UIの呼び出し、生体認証、エラー状態など、ログインジャーニーの特定のポイントでJavaScriptイベントを非同期で発火させます。パスワード、秘密鍵、PIIに触れることは一切なく、最も厳しいプライバシー要件を満たしています。
プラットフォームが提供するもの:
- **ファネル分析:**OS、ブラウザ、クレデンシャルマネージャーによるセグメント化により、コンシューマーがどこで離脱しているか(メールアドレス入力前、パスキープロンプトを見た後、生体認証中など)を示します。
- **プレーンテキストの診断:**WebAuthnのエラーコードを人間が読める説明(「Bitwarden拡張機能がパスキーのリクエストを傍受しました」など)に変換し、1回限りのキャンセルとシステム的な障害を分離します。
- **展開をまたいだエラーデータベース:**あるエラーが他の展開で現れた場合(例:Vivo OSでConditional UIが壊れた)、プラットフォームはコンシューマーがそれに遭遇する前に、プロアクティブにあなたの環境にフラグを立てます。
- **完全なデバイスカバレッジ:**ブラウザベースのログインだけでなく、ハードウェアセキュリティキー、NFCカード、ネイティブのiOS/Androidフローも追跡します。
- **安全なロールアウト:**動的なキルスイッチ、段階的なコホートへのロールアウト、A/Bテスト、およびスマートなフォールバックルーティング。
11. 結論#
コンシューマー向けの認証オブザーバビリティは、パスキーの導入が5%で停滞するか、ユーザーの大多数に到達するかの違いを生み出します。バックエンドのログではコンシューマーのデバイス上で何が起こっているかを確認できず、パスキーの場合、障害の80%がそこで発生しています。
専用に構築されたオブザーバビリティレイヤーを実装することで、CIAMチームは推測から、なぜコンシューマーが登録しないのか、どのデバイスが壊れるのか、どのコホートが積極的なロールアウトの準備ができているのかを「知る」ことへと移行できます。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
FAQ#
認証オブザーバビリティとは何ですか?#
認証オブザーバビリティとは、リクエストがバックエンドに到達する前に発生するクライアント側のイベントを含め、コンシューマーのログインジャーニー全体からテレメトリを収集し、分析する手法です。デバイスの機能、クレデンシャルマネージャーの動作、生体認証のやり取り、WebAuthnのエラー状態に関するコンテキストを提供することで、従来のロギングの限界を超えます。システムが停止したことを知らせるだけの標準的な監視とは異なり、オブザーバビリティはその理由を明らかにします。
認証オブザーバビリティは標準的なログイン分析とどう違うのですか?#
標準的なログイン分析(IdPログ、GA4、Mixpanel)は、サーバー側の結果と、ボタンクリックのような大まかなフロントエンドのイベントのみをキャプチャします。一方、認証オブザーバビリティは、コンシューマーのデバイス上で、ネイティブブラウザのAPI呼び出し、クレデンシャルマネージャーとのやり取り、生体認証プロンプトの結果をキャプチャします。一般的な分析プラットフォームでは切り捨てられたり削除されたりする、パスキーが生成するカーディナリティの高いデータ(OS、ブラウザ、クレデンシャルマネージャー、ハードウェアの数千もの固有の組み合わせ)を処理します。
パスキーの導入率が低いまま停滞するのはなぜですか?#
ほとんどのパスキー導入が5%から15%の導入率で停滞するのは、チームがクライアント側の失敗や登録前の離脱を可視化できていないためです。コンシューマーが対応デバイスを持っていても、パスキーのプロンプトが表示されなかったり(UIの配置の問題)、競合するパスワードマネージャーのオーバーレイに混乱したり、デバイスレベルのサイレントなバグに遭遇したりする可能性があります。クライアント側のテレメトリがなければ、これらの問題は可視化されません。
CIAMにおける「識別子入力前のブラインドネス(Pre-Identifier Blindness)」とは何ですか?#
識別子入力前のブラインドネスとは、コンシューマーがメールアドレスやユーザー名を入力する前に何が起こったかをバックエンドシステムが把握できない状態を指します。CIAMでは、コンシューマーは身元を明らかにするまで匿名です。UIが分かりにくかったり、拡張機能が競合したり、Conditional UIが壊れたりして、その時点より前にログインページから離脱した場合、そのイベントをキャプチャするバックエンドログはありません。認証オブザーバビリティは、ページの読み込み時に即座に実行される、クライアント側のサイレントな機能検出によってこのギャップを埋めます。
オブザーバビリティは、(デバッグだけでなく)パスキーの普及にどのように役立ちますか?#
オブザーバビリティは、単に失敗した認証プロセスを診断するだけではありません。どのコンシューマーセグメントのパスキー成功率が最も高いかを特定し、信頼性の高いデバイスコホートに対して自動的に登録を促すといったデータ主導の推進を可能にします。また、パスワードリセット直後の不満が新鮮なときなど、プロンプトを表示する最適なタイミングを明らかにし、ブロックしない持続的なプロンプトが、3回目や4回目の試行でも2桁のコンバージョン率を達成することをデータで証明します。
本番環境で最も一般的なパスキーの障害は何ですか?#
本番のCIAM展開において最も一般的な障害は、クレデンシャルマネージャーの実装が壊れている特定のデバイス/OSの組み合わせ(例:地域のOEMの廉価版Androidスマートフォン)、WebAuthn呼び出しを傍受して何も知らせずに失敗するサードパーティのパスワードマネージャー拡張機能(Bitwarden、1Password、LastPass)、ブラウザがデバイスの機能を報告する方法を変更するOSアップデートによるサイレントなリグレッション、そしてカスタムスタイルの入力フィールドやCSSの競合によりConditional UIがレンダリングされないことなどです。
この記事を共有
関連記事
目次