エンタープライズにおけるCIAMのオーナーシップを再考する

1. 導入#

10社のエンタープライズに、誰が顧客または消費者のアイデンティティ（CIAM）を所有しているかと尋ねれば、10通りの異なる答えが返ってくるでしょう。ある時はCISOです。またある時はCTOです。なぜなら、CIAMは製品を提供するアプリ、ウェブサイト、APIに直接統合する必要があるからです。CPOであることもあります。誰も全体像を把握していなかったために、段階的に引き継いだ不正対策チームであることもあります。誰も所有しておらず、3回の組織再編前にそれを引き継いだDevOpsエンジニアによってシステムが維持されていることもよくあります。

Gartner CIAM Magic Quadrantでは、顧客IAMを登録、認証、認可、セルフサービス、アナリティクスの5つの機能バケツに分類していますが、これらが単一のチームにきれいにマッピングされることはほとんどありません。Grand View Researchによると、世界のCIAM市場は2023年に81億2000万米ドルと評価され、2030年までに267億2000万米ドルに達すると予測されており、年平均成長率は17.4%です。オーナーシップの課題は、その支出に比例して拡大します。

CIAMは、ほとんどのB2Cエンタープライズが実行するプログラムの中で、最も部門横断的なものの1つです。セキュリティ、エンジニアリング、プロダクト、不正対策、グロースの交差点に位置し、それぞれの部門が異なる指標を最適化します。オーナーシップは、それらが競合したときにどの指標を優先するかを決定します。曖昧なオーナーシップは、何も優先されないことを意味し、アイデンティティプログラムは漂流します。

この記事では、現代のエンタープライズにおけるCIAMのオーナーシップを再考します。一般的なオーナーのプロファイル、業界がどのように答えを形成するか、なぜ分断されたデータと「自分の問題ではない」という文化が問題を長引かせるのか、そして組織再編の予定がない場合に共有のオペレーティングモデルがどのようなものになるのかを解説します。

1.1 この記事で答える疑問#

この記事では、以下の疑問について取り上げます。

1. なぜ多くのエンタープライズでCIAMのオーナーシップが曖昧なのか、そしてその曖昧さが実際にもたらすコストとは何か。
2. CIAMの一般的なオーナーは誰であり、それぞれがどのようにプログラムを異なる方法で最適化するのか。
3. なぜオーナーシップの分断が、認証アナリティクスレイヤーの欠如と相関することが多いのか。
4. 業界のコンテキスト（Eコマース、銀行、規制されたB2Cなど）によって答えがどのように変わるのか。
5. オーナーシップの分割が最も悪影響を及ぼすのはどこか。
6. 誰も完全には所有していないが、すべてのチームが必要とするCIAMのKPIは何か。
7. 共有のCIAMスコアカードとはどのようなものであり、組織再編なしでどのように導入するのか。

2. コイントスの問題#

2.1 なぜCIAMは最も部門横断的なプログラムなのか#

顧客と消費者のアイデンティティはあらゆるものに関わります。ユーザーが購入できるか、更新できるか、アクセスを復旧できるか、あるいは規制された機能に到達できるかを決定します。すべての認証イベントはセキュリティイベントであるため、CISOオフィスは関心を持ちます。CIAMはアプリ、ウェブサイト、APIに統合する必要があり、ログインへのすべての変更が実際の製品コードとともに出荷されるため、CTOオフィスも関心を持ちます。すべての認証イベントはコンバージョンイベントであるため、CPOオフィスも関心を持ちます。すべてのステップアップは不正シグナルであるため、不正対策部門も関心を持ちます。パーソナライゼーションはユーザーの特定に依存しているため、グロース部門も関心を持ちます。同時に5つの正当なオーナーを持つシステムは他にありません。

2.2 曖昧なオーナーシップのコスト#

そのコストはパスキーの導入に表れます。普及率が5%から15%で停滞する展開には、ほとんど常に1つの共通点があります。それは、ロールアウトをエンドツーエンドで把握している単一のオーナーがいなかったということです。セキュリティ部門がパイロットの資金を出し、プロダクト部門がUIを担当し、IT部門がIDPを所有し、不正対策部門がステップアップを所有し、そして実際に登録を促進するコホートへの働きかけは誰も所有していませんでした。プログラムは最も遅いオーナーのスピードで進みました。

FIDO Alliance 2024 Online Authentication Barometerによると、世界的にパスキーの認知度は57%に上昇し、パスキーを知っている回答者の42%が少なくとも1つのアカウントでパスキーを有効にしていました。認知度と有効化の間のギャップは、曖昧なCIAMオーナーシップが最も具体的に現れる部分です。技術は機能しているのに、ロールアウトが進まないのです。GartnerのアナリストDavid Mahdi氏がIAM分野の収束の文脈で「組織は、増大するアイデンティティとアクセス管理の分散化に対処するために、IAMアーキテクチャを再考しなければならない」と述べているように、オーナーがいなければ、この再考は行われません。

2.3 分断されたアナリティクスの問題#

多くのチームがCIAMに関与することになる理由の1つは、そもそも共有の認証アナリティクスツールが存在しないことです。下の図はそのパターンを示しています。4つのシステムが認証ジャーニーの4つの部分を保持しており、それらの上位でシグナルを統合するものが何もありません。

NIST Special Publication 800-63-4のデジタルアイデンティティガイドラインは、オーセンティケーターの保証の「継続的な評価」を明示的に求めていますが、これはエンドツーエンドのイベントビューなしでは不可能です。実際には、B2Cプログラムの少数派しかそのビューを持っていません。2024 Ping Identity Consumer Surveyによると、消費者の63%が2回のログイン失敗後にアカウントを放棄することがわかりましたが、これはデータを追跡するために必要なデータが3つの異なるシステムに分散しているため、CIAMチームすらほとんど追跡していない指標です。

各オーナーは自分の担当領域を保護します。これには予算の要因もあります。データの費用を支払ったチームがコントロール権を得たと感じます。また、レバレッジの要因もあります。データは、部門横断的なレビューで価値を示す最も簡単な方法です。実際の影響として、CIAMの問題が4つのシステムすべてにまたがっていても、誰もエンドツーエンドでそれを見ることはできません。専用の認証オブザーバビリティレイヤーはそのような言い訳を排除し、通常、先送りされていたオーナーシップの会話を促します。

3. 一般的なオーナー#

5つの機能部門が日常的にCIAMに対する権利を主張し、それぞれが異なる指標を最適化します。以下の比較は、各アーキタイプが何で評価され、どこに死角があるかをまとめたものです。

3.1 CISOオフィス#

最適化の対象：不正率、MFAカバレッジ、侵害されたアカウントの割合、および監査結果。CIAMをセキュリティコントロールとして扱います。強み：規制圧力（DORA、NIS2、またはNIST 800-63）の下での明確なKPIと予算権限。死角：摩擦によるコンバージョンへの影響、壊れたフローのサポートコスト、デバイスが静かに壊れた多くのユーザーの体験。

3.2 CTOオフィス#

最適化の対象：統合の労力、プラットフォームの信頼性、SDKの品質、リリース速度、およびエンジニアリングコスト。ログインはアプリ、ウェブサイト、APIとともに出荷されるコードであるため、CIAMを製品の統合問題として扱います。強み：製品への近接性、クライアント側SDKの所有権、壊れたフローを迅速に修正する能力。死角：規制のニュアンス、不正対策のトレードオフ、統合が稼働した後の長期的なクレデンシャル衛生。CIOは、公共部門や強力に中央集権化されたITエンタープライズでこの役割を担うことがありますが、ほとんどの消費者向けビジネスではCTOオフィスがより適しています。

3.3 CPOまたはプロダクトオフィス#

最適化の対象：ログインコンバージョン、アクティベーション率、復旧成功率、および最初の価値提供までの時間。CIAMを製品として扱います。強み：UXの厳格さ、A/Bテスト、および顧客への共感。死角：不正の露出、規制の制約、および長期的なクレデンシャル衛生。

3.4 不正対策またはリスクオフィス#

最適化の対象：ステップアップトリガー率、偽陽性率、チャージバック率、およびアカウント乗っ取り率。アイデンティティの一部を所有しますが、全体を所有することは稀です。強み：リスクモデリング、リアルタイムのシグナル、およびインシデント対応。死角：登録フロー、復旧フロー、およびトランザクション以外のアイデンティティの部分。

3.5 グロースまたはマーケティングオフィス#

特に消費者向けのサブスクリプションや小売において台頭しているオーナーです。最適化の対象：再エンゲージメント率、クロスセルを条件とするログイン、パーソナライゼーションの準備。アイデンティティを成長ループの基盤として扱います。強み：ライフサイクルの思考と実験文化。死角：成長以外のすべて。

4. オーナーシップの分割が実際に悪影響を及ぼす場所#

4.1 プロビジョニングとデプロビジョニング#

プロビジョニングは効率の問題です。ユーザーをシステムにどれだけ速く参加させるかです。デプロビジョニングはセキュリティの問題です。侵害されたユーザーや退会したユーザーをシステムからどれだけ速く排除するかです。これらはほとんどの場合、1つのツールとして購入され、チューニング不足に陥ります。なぜなら、効率重視のオーナーはデプロビジョニングの痛みを感じず、セキュリティ重視のオーナーはプロビジョニングの痛みを感じないからです。

4.2 不正対策主導のUXとプロダクト主導のUX#

不正対策部門は摩擦を追加します。なぜなら、摩擦は悪意のある攻撃者を阻止するからです。プロダクト部門は摩擦を減らします。なぜなら、摩擦は収益を阻害するからです。両方のチームが共有のオーナーなしに同じログインページを形成すると、その結果はどちらも満足させない妥協案になります。ユーザーをイライラさせるのに十分な摩擦がありつつ、不正を止めるには不十分なのです。リスクスコアリングによるステップアップが技術的な答えです。単一のジャーニーオーナーが組織的な答えです。

4.3 ログインパフォーマンスの共有ビューがない#

オーナーシップの分割は、共有のアナリティクスレイヤーがないためにも悪影響を及ぼします。エンドツーエンドの成功率、復旧成功率、ステップアップトリガー率、コホートごとのフォールバックの割合、および方法論的成功率（パスワード、OTP、ソーシャル、パスキー）といった実際のログインパフォーマンスの数字は、IDP、プロダクトアナリティクススイート、不正エンジン、SIEM、そしてその間にあるいくつかのスプレッドシートに分散しています。各チームは自分の領域のみを見ており、ジャーニー全体を見る人は誰もいません。そして、個々には問題なく見える指標の中に症状が埋もれ、実際の問題が隠れてしまいます。

古いAndroidバージョンのユーザーにとって遅いログインは、IDPのレイテンシの小さな上昇、コンバージョンの小さな低下、そしてサポートチケットの小さな増加として現れます。これらはどれも単独で警戒するようなものではありません。それらが合わさって初めて、修正する価値のある問題となります。1人のオーナーと1つのビューがなければ、その低下は数四半期にわたって放置される可能性があります。

5. 業界が答えを形成する#

最終的に誰が顧客と消費者のアイデンティティを所有するかは、業界にも依存します。あるセクターで機能する組織図も、別のセクターではガバナンスが過剰または不足していると見なされます。

• EコマースはCIAMをコンバージョンの問題として扱います。プロダクト部門がログインを所有し、グロース部門が再エンゲージメントを所有し、不正対策部門がその両方に並走します。セキュリティへの意欲は中程度です。ペースは毎週の実験です。Baymard Instituteのカート放棄の調査では、平均放棄率が70.2%であり、かなりの割合がアカウントの摩擦に起因していると報告されており、これがプロダクト部門を確固たるオーナーの座に留めています。
• 銀行および金融サービスは、CIAMをセキュリティとコンプライアンスの問題として扱います。CISOがプログラムを所有し、リスク部門がステップアップを所有し、IT部門がプラットフォームを運営します。セキュリティへの意欲は高く、ペースは四半期ごとで、厳しい監査が伴います。
• 通信、保険、ヘルスケアはその中間に位置します。コンプライアンスの圧力が彼らを銀行側に引き寄せます。顧客体験の圧力が彼らをEコマース側に引き寄せます。ガバナンスモデルは通常、CISOとCPOの間で分割され、共有のスコアカードを持ちます。
• 公共部門および規制されたB2Bは、実験よりも監査可能性を優先します。CIAMはCIO（中央集権化されたITがまだ存在する場合）または専門のアイデンティティガバナンス機能の下に置かれ、コンプライアンス主導のペースで進められます。NIST 800-63-4 Identity Assurance Levelの要件が基準を設定します。

以下の象限は、各業界をオーナーシップの答えを牽引する2つの次元（セキュリティへの意欲とレビューのペース）にプロットし、それぞれのポジションから導き出される支配的なオーナーをマッピングしています。

小売業者で機能するスコアカードは、銀行ではガバナンス不足と見なされます。銀行で機能するガバナンスモデルは、小売業者では過剰設計と見なされます。公開されているベンダー委託のForrester Total Economic Impact（TEI）のCIAMに関する調査は幅広い開きを示しています。ForgeRock CIAM TEIは3年間で186%のROIを報告しましたが、WSO2 CIAM TEIは332%のROIを報告しました。コンバージョン向上、不正の削減、監査コストといったドライバーの構成はセクター間で大きく異なるため、ROIの範囲自体も異なります。適切なオーナーを選ぶことは、実際に事業を展開している業界のパターンを特定することから始まります。

6. 従業員向けアイデンティティ vs 顧客向けアイデンティティ#

従業員向けIAMと顧客向けIAMは通常、別のチームに属しており、それが一般的に正しい体制です。どちらもアイデンティティを扱いますが、最適化する対象が異なります。従業員向けIAMは、管理されたデバイスを使用する既知の従業員を、長いセッションと小規模なユーザー集団（通常1,000〜100,000ユーザー）で管理します。CIAMは、管理されていないデバイスを使用する匿名の見込み客や顧客を、短くコンバージョンに敏感なセッションと、数桁大きいユーザー集団（数千万〜数億人）で管理します。脅威モデル、KPI、そしてツールの選択肢は異なります。

7. 単一の正解はない#

CIAMを配置する普遍的に正しい場所も間違った場所もありません。重要なのは、内部の依存関係が機能していることです。所有するチームが決定を下す権限を持ち、貢献するチームが正式に協議の席につき、スコアカードが十分に共有されていて、誰も文脈を無視して指標を持ち出すことができない状態です。

規制された銀行は、CISOの下でCIAMを実行し成功することができます。小売業者は、CPOの下でCIAMを実行し成功することができます。通信会社は、CISOとCPOの分割モデルを実行し成功することができます。どこでも失敗するのは、強制力がなく、共有のアナリティクスレイヤーがなく、部門横断的なレビューのペースがない暗黙のオーナーシップです。組織のパターンは、その上に乗るオペレーティングモデルほど重要ではありません。

8. 共有CIAMスコアカード#

スコアカードを選ぶことは、通常オーナーを選ぶよりも簡単であり、組織再編なしで機能します。アイデアはシンプルです。各エグゼクティブの機能ごとのダッシュボードは局所的には正しいですが、全体としては不完全です。その解決策は、1つのページに5つの指標をまとめ、オーナー機能が毎月一緒にレビューすることです。

8.1 誰も完全には所有していない指標#

これらは、CISO、CTO、CPO、不正対策、グロースのビューの間に位置する5つの部門横断的なKPIです。それぞれが重要であり、ほとんどのエンタープライズで十分に計測されていません。下の図は、各指標が複数のオーナー機能の交差点にどのように位置しているかを示しており、そのためどの指標も1つのチームにきれいに収まらない理由を説明しています。

• コホートごとのログイン成功率。全体のログイン成功率はすべてを隠してしまいます。92%という全体の割合が、特定のOS、ブラウザ、クレデンシャルマネージャーの組み合わせでの70%の割合を隠している可能性があります。全体の数値でのみ成功率を報告することは、CIAMの測定において最も一般的な間違いです。
• 認証後の最初のアクションまでの時間。ユーザーがログインページにランディングしてからトランザクションを実行できるようになるまでに実際に経験するレイテンシです。Conditional UIの発火時間、クレデンシャルの選択、生体認証プロンプト、およびリダイレクトバックが含まれます。コンバージョンと相関しますが、誰も所有していません。
• 復旧パスの利用率と成功率。どれだけのユーザーが復旧に直面し、どのパスを使用し、どれだけ成功したか。復旧は、不正、摩擦、サポートコストが交差する場所です。これはCISO、CPO、CTOに同時に属しており、それは通常、誰にも属していないことを意味します。
• パスキーの作成 vs パスキーの利用。作成とは、対象ユーザーのうち登録したユーザーの割合です。利用とは、実際にパスキーを使用したログインの割合です。登録したユーザーが習慣的にパスワードを入力し続けると、リーチが60%でも利用率が20%という展開になります。同じギャップはあらゆる新しい認証方法に当てはまります。
• 認証方法ごとの離脱率。どの方法でセッションが開始され、どれくらいの頻度で完了しなかったか。パスワード、OTP、ソーシャル、パスキーの放棄には、クレデンシャル衛生、配信失敗、サードパーティの障害、UIの配置やクレデンシャルマネージャーの競合など、それぞれ異なる根本原因があります。それらを平均化するとすべてが隠れてしまいます。

8.2 1ページ、5つの指標、月次レビュー#

スコアカードは、オーナー機能が毎月一緒にレビューする1ページの成果物です。各指標には、データ品質のプライマリーオーナー、アクションプランの部門横断的なオーナーがおり、各四半期の初めに共同で目標が設定されます。NotionページやGoogleスプレッドシートで十分です。レビューは基盤となるダッシュボードではなく、1ページャー上で行われます。

各オーナーは自分たちにしか見えない部分を貢献します。

• セキュリティは、不正率、侵害されたアカウントの割合、およびコホートごとのステップアップ結果を貢献します。
• CTO / エンジニアリングは、稼働時間、統合エラー率、SDKパフォーマンス、および方法ごとの認証コストを貢献します。
• プロダクトは、コンバージョンファネル、ステップごとのドロップオフ、および最初の価値提供までの時間を貢献します。
• 不正対策は、コホートごとのステップアップトリガー率と偽陽性率を貢献します。
• グロースは、匿名セッション対特定セッションの比率と再エンゲージメント率を貢献します。

以下のマトリックスは、貢献パターンを要約し、カバレッジのギャップを明確にしています。1人のオーナーが単独で5つの指標すべてを作成することはありません。

8.3 組織再編なしで導入する#

ほとんどのスコアカードプログラムはガバナンスではなく、計測で失敗します。基盤となるオブザーバビリティレイヤーがOS、ブラウザ、クレデンシャルマネージャーごとに成功率を分解できなければ、いくらレビューのペースを上げても有用なスコアカードは得られません。実際に機能する手順は以下の通りです。

1. まず計測する。成功率をコホートごとに分解できるクライアント側のイベントテレメトリは、他のすべてのスコアカード指標の前提条件です。
2. 最初に共同所有する1つの指標を選ぶ。コホートごとのログイン成功率は、通常、正しい最初の選択です。なぜなら、それが他のすべての指標が依存するコホート横断的な計測を強制するからです。
3. 毎月60分のレビュー。ミーティング1：5つの指標と現在のベースラインに合意する。ミーティング2：四半期の目標に合意する。ミーティング3：最初のアクションプラン。すべての指標を一度に追加するのではなく、2四半期かけて追加します。

半年後には、成熟した展開において、最悪の3つのコホートの担当者を指名したコホートごとのログイン成功率、2つの明確な数値としてのパスキーのリーチと利用率、CISO/CPOが共有する復旧成功率、偽陽性率と並んだステップアップトリガー率、および方法ごとに分解された認証ごとのコストが報告されるようになります。月次レビューはデータについて議論することから、実際の成果物である意思決定について議論することへと移行します。

9. Corbadoが欠落している認証データレイヤーをどのように追加するか#

Corbadoは誰がCIAMを所有するかを決定しませんし、決定しようともしません。オーナーシップは組織的な決定です。Corbadoがもたらすのは、最初から欠落していたデータレイヤーです。サイロ、分割された予算、「自分の問題ではない」という態度が自力では決して生み出さなかったレイヤーです。認証はついに、プロダクトアナリティクス、オブザーバビリティ、不正ツールがすでにそれぞれの領域に持っているものと同等のものを手に入れます。

認証オブザーバビリティレイヤーは、IDP、不正エンジン、SIEMの上に位置し、それらのシグナルをログインジャーニーの1つのビューに統合します。バックエンドの試行、クライアント側のセレモニー、クレデンシャルマネージャーの動作、コホートレベルの成功、復旧の結果が1つのシステムに存在し、互いに比較して測定されます。

• 認証のための単一のデータレイヤー。バックエンド、フロントエンド、不正対策、セキュリティのシグナルが、セッションごと、コホートごと、ジャーニーごとに相関付けられるため、実際のログインパフォーマンスが4つのシステムに埋もれることはなくなります。
• コホートレベルの成功率。OS、ブラウザ、クレデンシャルマネージャー、ハードウェアごとに分解されたログイン成功率。ほとんどのチームが既存のツールから作成できない、最初のスコアカード指標です。
• 個別の数値としての作成と利用。パスキーの作成とパスキーの利用は2つの異なるKPIとして報告されます。これは、ほとんどのスコアカードが必要とする単一の最大の計測修正です。
• 復旧パスアナリティクス。復旧フローの利用率、成功率、ドロップオフが、ログインフローと同じイベントタクソノミーで表示されるため、CISOとCPOは同じ数字を見ることができます。
• 方法ごとの離脱率。方法ごとのドロップオフにより、スコアカードはパスワードの放棄（クレデンシャル衛生）とパスキーの放棄（UIやクレデンシャルマネージャーの競合）を分離することができます。
• ロールアウトの安全レール。動的な抑制、コホート固有のナッジング、キルスイッチにより、プログラムを招集する人が誰であっても、IDPに直接触れることなく変更を実行できます。
• リファレンスベンチマーク。Corbadoの顧客ベースからの横断的なベースラインにより、内部の数値を外部の数値と比較することができ、これが月次レビューを意思決定に変えることがよくあります。

データレイヤーによってオーナーシップの争いが消えるわけではありません。しかし、「自分のデータによると」といった議論が終わり、何をすべきかという議論が始まるため、解決は容易になります。

10. 結論#

CIAMには複数の正当なオーナーが存在し、それが変わることはありません。変わるのは、エンタープライズがオーナーを選ぶか、それともスコアカードを選ぶかです。オーナーを選ぶ方が速いですが、政治的資本を必要とします。スコアカードを選ぶ方が遅いですが、組織再編なしで機能します。どちらの道も、今日のほとんどのエンタープライズが実行している暗黙のコイントスよりはましです。曖昧なオーナーシップのコストは、停滞したロールアウト、バラバラなフロー、そしてセキュリティとコンバージョンの数字が同時に静かに浸食されることによって測られます。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

FAQ#

大規模なエンタープライズで通常CIAMを所有するのは誰ですか？#

私たちの経験では、オーナーシップはCISO、CTO、CPO、不正対策、グロースの各機能に分割されています。規制産業ではCISOオフィスが主要な権限を持ちます。消費者主導のデジタルネイティブ企業では、CIAMを製品に統合する必要があるため、通常CPOまたはCTOオフィスが主要な権限を持ちます。共有スコアカードを運営する専門のアイデンティティプロダクトマネージャーは、両方に共通する成熟したパターンです。

業界によってCIAMの所有者は変わるべきですか？#

はい。EコマースはCIAMをコンバージョンの問題として扱い、通常はプロダクトやグロース部門に落ち着きます。銀行はそれをセキュリティとコンプライアンスの問題として扱い、CISOに落ち着きます。通信、保険、ヘルスケアは分割モデルを実行します。正しい答えは、抽象的なベストプラクティスではなく、業界のセキュリティへの意欲とレビューのペースに従います。

なぜCIAMオーナーシップの分割が新しい認証のロールアウトに悪影響を及ぼすのですか？#

ソーシャルログインやMFAステップアップからパスキーに至るまで、新しい認証方法はすべて、調整された登録UX、復旧フロー、リスクポリシー、サポートツールを必要とします。これらが異なるスピードを持つ異なるオーナーの下に存在する場合、ロールアウトは最も遅いオーナーのペースで進みます。パスキーの展開は現在の最も目立つ例であり、日常的に5%から15%の普及率で停滞しています。

従業員向けIAMと顧客向けIAMは同じチームに属するべきですか？#

通常はそうではありません。彼らが共有するのは語彙だけで、他にはほとんど何もありません。従業員向けIAMは、管理されたデバイス、既知のユーザー、コスト効率を最適化します。顧客向けIAMは、管理されていないデバイス、匿名ユーザー、コンバージョンを最適化します。ほとんどの成熟したエンタープライズは、これらを別のガバナンス下に置き、リーダーではなく協議会を共有します。この分割のCIAM側については、認証オブザーバビリティに関するガイドをご覧ください。

最も重要なCIAMのKPIは何ですか？#

機能ごとのダッシュボードの間に位置する5つの部門横断的な指標です。コホートごとのログイン成功率、認証後の最初のアクションまでの時間、2つの明確な数値としてのパスキーのリーチと利用率、復旧パスの成功率、認証方法ごとの離脱率です。それぞれが重要であり、ほとんどのエンタープライズで十分に計測されていません。

なぜパスキーのリーチとパスキーの利用率は同じ指標ではないのですか？#

リーチは、対象ユーザーのうちパスキーを登録した割合です。利用率は、実際にパスキーを使用したログインの割合です。登録したユーザーが習慣的にパスワードを入力し続けると、リーチが高くても利用率が低い展開になる可能性があります。1つの指標のみを報告することは、エグゼクティブレビューを誤解させます。

共有CIAMスコアカードとは何ですか？#

5つの部門横断的な指標を含む1ページの成果物で、オーナー機能が毎月一緒にレビューします。各指標にはデータ品質のプライマリオーナーとアクションプランの部門横断的なオーナーがおり、四半期の初めに共同で目標を設定します。レビューは基盤となるダッシュボードではなく、1ページャー上で行われます。

スコアカードはどれくらいの頻度でレビューすべきですか？#

月に1回、オーナー機能が集まる60分の部門横断的なミーティングでレビューすべきです。これより頻度が高いと、レビューの間に何も変わりません。これより頻度が低いと、特にOSやブラウザのアップデート後のコホートレベルの低下など、システム上のドリフトが見過ごされます。

組織再編なしで始めるにはどうすればよいですか？#

最も痛みの大きい2つの指標を選び、それらの指標のみについてオーナーを毎月60分のレビューに集め、2四半期かけて拡大します。役職は変わりません。スコアカード自体がガバナンスレイヤーになります。ほとんどのエンタープライズは、レポートラインを正式に変更することなく、12〜18ヶ月以内に成熟したパターンに到達します。

ベンダーはオーナーシップの争いを解決するのに役立ちますか？#

ベンダーが代わりにオーナーシップを決定することはできません。ベンダーができるのは、オーナーシップの争いの解決を困難にするデータの曖昧さを排除することです。共有のアナリティクスレイヤーは、各オーナーに関心のある部分を提供しつつ、全体像を保持するため、これだけで政治的な議論を運用上の議論に変えるのに十分なことがよくあります。