ログイン時の摩擦がコンバージョンを下げる：5つの症状と解決策

認証アナリティクスホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。

ホワイトペーパーを入手

認証を担当するプロダクトマネージャーであれば、「なぜコンバージョン率が上がらないのか？」という言葉を耳にしたことがあるでしょう。通常、広告費、ページの読み込み時間、チェックアウトのUXなどが原因として非難されます。しかし、ファネルの中で診断がより難しいステップがあります。それがログインです。

ほとんどのアナリティクススタックは、認証を「ログインしている」か「していない」かの二項対立として扱います。3回パスワードを試して離脱したユーザー、SMSコードが45秒遅れて届いたユーザー、「Googleでログイン」を使ったかパスワードを作成したか思い出せないリピーターなど、その間にある認証の摩擦を捉えることはできません。

この死角は高くつきます。カゴ落ち率は平均して約70%であり、そのかなりの部分がログイン時の摩擦に起因しています。すべてのeコマースチームがこだわっているチェックアウトでの離脱とは異なり、ログインの失敗は測定されず、修正されないまま放置されています。

その影響は複合的です。ログインに失敗するたびに顧客獲得単価（CAC）が無駄になり、顧客生涯価値（CLTV）が低下し、摩擦のないログインを提供する競合他社に顧客が乗り換える可能性があります。計測できなければ、改善することはできません。

さらに深く掘り下げる前に、次のことを考えてみてください。大手eコマース企業にとって、ログインの離脱を数パーセント減らすことが年間6桁（数十万ドル）の収益増を意味するとしたら、あなたの会社にとってはどれほどの意味を持つでしょうか？

もしそのデータがあなたのアナリティクススタックに存在しないのであれば、より深刻な問題の最初の症状を特定したことになります。つまり、あなたは認証に関して完全に盲目状態にあるということです。

すべての認証ステップは、ユーザーの意欲に対する税金のようなものです。問題は、あなたがどれだけの税金を課しているかを把握しているかどうかです。

購入を完了しようとしているリピーターに何が起こるか考えてみましょう。

1. いつものパスワードを試す。間違っている。
2. 少し変えて試す。また間違っている。
3. ここで決断を迫られます。パスワードをリセットする（5分以上の摩擦）か、カートを放棄する（2秒）。

ほとんどのユーザーにとって、放棄のほうが勝ります。そしてアナリティクスには直帰として表示され、根本的な原因はわかりません。

この「ログイン税」は、最悪のタイミング、つまりチェックアウト時に複利で膨らみます。ユーザーはすでに時間を投資して、閲覧し、比較し、カートに追加しています。支払いの準備はできています。そこで認証の摩擦に見舞われ、認知的負荷がモチベーションを上回ってしまうのです。

graph TD
    A[チェックアウト時のリピーター] --> B{いつものパスワードを試す};
    B -- 失敗 --> C{別のパスワードを試す};
    C -- 失敗 --> D[摩擦の大きい決定ポイント];
    D -- 最も抵抗の少ない道 --> E["カゴ落ち（2秒）"];
    D -- 最も抵抗の大きい道 --> F["パスワードリセットを開始（5分以上）"];
    F --> G{リセット成功？};
    G -- いいえ --> E;
    G -- はい --> H[チェックアウトに戻りログイン];

    style E fill:#ffcccc,stroke:#ff0000,stroke-width:2px,color:#990000
    style D fill:#fff4e6,stroke:#ff9900,stroke-width:2px

この記事で扱う内容： この記事では、コンバージョンを下げる5つの認証の失敗と、自社のファネルでそれらを診断する方法を実践的に解説します。各セクションには、何を測定すべきか、典型的な根本原因は何か、そして修正はどのようなものかが含まれています。目標は、認証への投資に対するビジネスケースを構築し、それを実際に実行するためのロードマップとなるデータを提供することです。

検出方法： login_modal_openedとlogin_successfulの差（デルタ）を追跡します。認証が完了する前に20%以上の離脱が見られる場合、このセクションが該当します。

重要な理由： これはファネルの中で最も意欲の高い瞬間です。ログインに到達したユーザーはすでに関与することを決めており、コンバージョンまであと1歩のところまで来ています。ここで彼らを失うことは、すべてのファネルの段階において最もROI（投資利益率）に悪影響を及ぼします。

「強制登録」パターンは、コンバージョンを著しく下げる要因です。チェックアウト時に、ユーザーは閲覧と比較に時間を投資しています。支払いをしたいその瞬間にアカウント作成を強制することは、最高の意欲に対して最大の摩擦を生み出します。パスキーはこれの解決に役立ちます。パスキーがパスワードの63%に対し93%のログイン成功率を達成し、どのようにコンバージョンを向上させるかをご覧ください。

ゲストチェックアウトと強制ログインの詳細な分析については、専門の記事を参照してください。

ソーシャルログイン（例：「Googleでログイン」、「Appleでサインイン」）は、理論上は摩擦を減らします。しかし、実装が不十分だと新たなログインの問題を引き起こします。

これらのボタンがスクロールしないと見えない位置（ファーストビュー以下）に隠れていたり、二次的な、あるいは劣った選択肢であることを示唆するような方法でレンダリングされていたり、適切な「スコープ」が欠如（過剰なデータを要求）していたりすると、ユーザーは摩擦の大きいパスワードの経路へと誘導されてしまいます。

さらに、画面が考え得るすべてのIDプロバイダー（Google、Facebook、Appleなど）のロゴで埋め尽くされる「NASCAR効果」は、決断の麻痺を引き起こす可能性があります。逆に、ユーザーが利用していない選択肢を1つだけ提供する（例：顧客が主にAppleデバイスを使用しているのに、Facebookログインのみを提供する）と、行き止まりが生じます。この設計上の選択は、多くの場合、「認証情報を自社で所有したい（ローカルパスワードを強制したい）」という誤った願望から生じており、ユーザーを最も抵抗の大きい道へと押しやることで意図せず離脱を増やしてしまいます。

画面のスペースが限られており、入力ミスが起こりやすいモバイルデバイスでは、強制ログインの壁はさらに致命的です。スマートフォンのキーボードで複数項目の登録フォームに入力するのは、非常に摩擦の大きい作業です。もし「サインアップ」ボタンが「ワンタップ」ソリューションを通じて簡単にアクセスできなかったり、フォームが自動入力属性を正しくサポートしていなかったりすると、デスクトップと比較して離脱率が跳ね上がります。モバイルトラフィック（高い）とモバイルコンバージョン（低い）のギャップは、6インチの画面でこれらのログインの壁を乗り越えることの難しさによってしばしば説明されます。

検出方法： 全ログイン試行に対する割合としてのパスワードリセット率。10%以上の数字は、パスワード疲れがログインのコンバージョン率に悪影響を及ぼしていることを意味します。

重要な理由： パスワードリセットは、不満を抱えたユーザーの代理指標です。リセットが行われるたびに、関与したかったのに関与できないユーザーがいることを意味します。

パスワードリセット率は認証の摩擦を直接測定します。リピーターが「パスワードが正しくありません」という表示を見ると、別のパスワードを試します。それらも失敗した場合、パスワードリセットを開始するか、離脱します。

graph LR
    Step1(1. 「パスワードを忘れた場合」をクリック) --> Step2(2. メールアドレスを入力);
    Step2 --> Step3{3. メールの到着を待つ \n 遅延のばらつき};
    Step3 --遅れて到着--> DropOff1[離脱: 気をそらされる/待ちきれない];
    Step3 --到着--> Step4(4. メールアプリに切り替え);
    Step4 --> Step5{5. メールを探す \n 迷惑メール/プロモーション？};
    Step5 --埋もれる--> DropOff2[離脱: メールが見つからない];
    Step5 --見つかる--> Step6(6. リセットリンクをクリック);
    Step6 --> Step7{7. 新しいパスワードを作成 \n 複雑さのルール};
    Step7 --ルール/履歴チェックに失敗--> DropOff3[離脱: 不満/激怒してやめる];
    Step7 --成功--> Step8(8. パスワードを確認);
    Step8 --> Step9(9. ログイン画面に戻る);
    Step9 --> Step10(10. 新しい認証情報を入力);
    Step10 --> Success(チェックアウトに戻る);

    style DropOff1 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff2 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff3 fill:#ffdede,stroke:none,color:#cc0000
    linkStyle 2,5,8 stroke:#cc0000,stroke-width:2px,stroke-dasharray: 5 5;

約19%のユーザーが、パスワードを忘れたためにカートを放棄しています。各ステップが離脱ポイントです。ステップ5（迷惑メールの中からメールを見つける）の時点で、すでにかなりの数のユーザーを失っています。

新しいパスワードを過去のパスワードと同じにできないと言われたら、ほぼ50%のユーザーが離脱するでしょう。この「履歴チェック」は、パスワード疲れに対するユーザーの対処法（使い回し）をブロックします。パスキーのような摩擦の少ない認証の代替手段がなければ、ユーザーはその場しのぎで後で忘れてしまうパスワードを作成し、そのサイクルが繰り返されることになります。

Forresterの推定によると、人間の介入が必要なパスワードリセットは1件あたり70米ドルかかります。大企業の場合、これは年間数百万ドルに達します。

目に見えないコストはさらに深刻です。関与したかったのに締め出された、不満を抱えたリピーターの存在です。パスワードリセットのループは、コンバージョンに対する自傷行為です。

皮肉なことに、パスワードの摩擦はセキュリティの低下を招きます。ユーザーはフラストレーションが溜まると、パスワードをメモしたり、「Password123」を使ったり、認証情報を共有したりといった危険な行動に走ります。米国の消費者の46%が認証の失敗により取引を完了できておらず、この失敗によってシームレスなログイン体験を提供するかもしれない競合他社へと追いやられています。パスワードは今や、セキュリティ侵害（クレデンシャルスタッフィングによる）とコンバージョン侵害（離脱による）の両方の主要な媒介要因となっています。

検出方法： OTPの要求、OTPの送信、およびOTPの成功のプロセスを追跡します。送信までの時間が30秒を超える場合、または5%以上の失敗率がある場合は、SMS OTPがコンバージョンの問題になっています。

重要な理由： SMS OTPは、記憶力の問題を配信の問題にすり替えます。この失敗のモードは目に見えません。アナリティクス上では離脱が見えるだけで、決して届かないコードを待ってスマートフォンを見つめているユーザーの姿は見えません。さらに悪いことに、SMSのコストは利用量に応じて拡大するため、認証の摩擦に対して料金を支払っていることになります。

SMS認証の根本的な欠陥は、リアルタイム認証用には設計されていない電話網（SS7）に依存していることです。配信はアグリゲーター、通信事業者、ローミング契約に依存します。1回でも失敗すれば、ユーザーは決して届かないコードを待って画面を見つめることになります。

SMSポンピング詐欺は、通信事業者による攻撃的な迷惑メールフィルタリングを引き起こしています。正当なOTPでも、特に海外のユーザーの場合はブロックされることがあります。米国のサービスにサインアップするドイツのユーザーは、コードを一度も受け取れないかもしれません。

SMS OTPは、ユーザーにチェックアウトフローから離れてメッセージアプリを開き、コードを暗記して戻ってくることを強制します。アグレッシブなメモリ管理システムでは、この再読み込みによってチェックアウト全体がリセットされ、フォームデータが消去されてしまうことがあります。

iOSやAndroidの「OTPの自動入力」は役立ちますが、SMSの形式がOSのヒューリスティクスと一致しない場合、しばしば失敗します。

検出方法： デバイスタイプごとのコンバージョン率を比較します。モバイルトラフィックが70%以上あるのに、コンバージョンがデスクトップより30%以上遅れている場合、クロスデバイスでの認証の摩擦が存在する可能性があります。また、チェックアウト時のセッションタイムアウト率も確認してください。

重要な理由： ユーザーはモバイルで閲覧しますが、購入はデスクトップで行うことがよくあります。認証状態が引き継がれないと、最悪のタイミングで再ログインを強制することになります。セキュリティやコンプライアンスの理由で設定された攻撃的なセッションタイムアウトは、チェックアウトの途中や2回の訪問の間でコンバージョンを下げます。

**「クロスデバイスギャップ」**は、eコマースでよく記録されている現象です。モバイルのトラフィックはアクセスの約75%を占めているにもかかわらず、モバイルのコンバージョン率（約2%）はデスクトップのコンバージョン率（約3%）に大きく遅れをとっています。画面サイズも一因ですが、このギャップの大きな要因は認証状態をシームレスに引き継げないことです。

よくあるシナリオを考えてみましょう。スマートフォンのユーザーが広告をクリックし、ストアを閲覧してカートに商品を追加します。彼らは「ゲスト」として閲覧しています。彼らは、クレジットカード情報を入力しやすいノートパソコンで購入を完了させることにします。デスクトップでサイトを開くと、カートは空です。カートを取り出すには、ログインする必要があります。しかし、モバイルでアカウントを作成した際に、「パスワードを提案」機能を使って、一度も見たことのない複雑な文字列を作成していたかもしれません。今、Windowsデスクトップ上で、彼らはパスワードがわかりません。

彼らは事実上、自分自身の購入意欲から締め出されています。デスクトップでパスワードのリセットを開始し、スマートフォンにメールを送信するという面倒なデバイス切り替えのループを強いられ、多くの場合、結果として離脱につながります。モバイルとデスクトップの間のエアギャップを埋めるための摩擦が大きすぎるのです。

セッションタイムアウトは、多くの場合、プロダクト側からの意見なしに、セキュリティ/コンプライアンスチーム（PCI-DSSなど）によって設定されます。15分のタイムアウトは妥当に聞こえますが、サーバーにとっての「非アクティブ状態」が、ユーザーにとっては「クーポンコードを探している」または「別のタブで競合他社の価格をチェックしている」状態であると気づくまでは。

これはユーザーが購入を決意した後に起こります。拒絶されたことは罰のように感じられます。フォームデータの自動保存機能がなければ、ユーザーはすべてを再入力しなければなりません。消費者の60%が、タイムアウトを含むログインのフラストレーションを完全に離脱する理由として挙げています。

検出方法： セキュリティインシデントの後にMFAのステップアップ率が急増したかどうかを確認します。コンバージョンの低下と相関する「不審なアクティビティ」のブロックの急増を探します。カスタマーサポートに「ログインできない」というチケットの量を調査します。

重要な理由： セキュリティチームとプロダクトチームは、しばしばサイロ化して活動しています。クレデンシャルスタッフィング攻撃やコンプライアンス監査の後、セキュリティチームはコンバージョンへの影響を可視化することなく、摩擦（例：必須のMFA、アグレッシブなリスクスコアリング）を追加します。その結果、詐欺は減少しますが、収益も減少します。目標は、より安全でありながら摩擦の少ない方法（パスキーなど）を見つけることです。

ユーザーが「ログインできない」と報告してきた場合、診断にはどれくらいの時間がかかりますか？認証の計測器がなければ、あなたは盲目状態で飛行しているのと同じです。

90%の成功率は、モバイルユーザーの50%の失敗を隠しているかもしれません。以下のように切り分けてください。

• デバイス/ブラウザ： Android上のChromeが失敗し、iOS上のSafariが成功する場合、特定のバグを示しています。
• 認証方法： パスワードの成功率が90%でも、ソーシャルログインが60%であれば、ソーシャルログインの実装に注目してください。
• エントリータッチポイント： ヘッダーからのログインの成功率が95%でも、チェックアウト時のログインが70%であれば、チェックアウトフローに特有の摩擦があります。
• 新規 vs リピーター： 新規ユーザーの失敗は登録の問題を示唆し、リピーターの失敗はパスワードやセッションの問題を示唆しています。
• 地域/市場： ソーシャルログインの好みは劇的に異なります（米国ではFacebookが強く、韓国ではKakao/Naver、ヨーロッパではGoogleが支配的）。SMS配信の信頼性も通信事業者や国によって異なります。

包括的な測定については、認証アナリティクス・プレイブックを参照してください。

改善のために、IDプロバイダー（Auth0、Cognito、ForgeRock、Ping）を排除する必要はありません。影響の大きいUXの修正は、1回のスプリントでリリースできます。

• パスワードのマスク解除： 「パスワードを表示」（目のアイコン）により、モバイルでの入力ミスによるログインの失敗を減らします。
• 永続的なログインオプション： ユーザーが以前にGoogleを使用していた場合は、Googleボタンを強調表示します。「前回はGoogleを使用しました」というバッジは、認知的負荷を減らします。
• インラインバリデーション： パスワードの要件は送信時ではなく、リアルタイムで検証します。
• セッションの延長： 製品の閲覧時ではなく、機密性の高いアクションの際にのみタイムアウトさせます。
• オートフォーカス： モーダルが開いたときにメールフィールドにカーソルを合わせ、モバイルでは適切なキーボードを表示します。

UXの微調整も役立ちますが、最大のレバーはパスワードを完全に取り除くことです。パスキーは症状1、2、3、5を解決します。

• 入力ゼロ： Face ID/Touch ID/Windows Hello - 忘れるパスワードはありません。
• 配信遅延なし： SMSコードはありません。認証情報はデバイス上に存在します。
• リセットなし： パスキーを忘れることはありません。iCloudキーチェーンまたはGoogleパスワードマネージャーを介して同期されます。
• 優れたセキュリティ： 設計上、フィッシング耐性があります - 摩擦のない、より強力な認証です。

あなたは、自社の認証について以下の質問に答えられますか？

• 最も離脱率が高いデバイス/ブラウザの組み合わせはどれか？
• ログイン失敗のうち、技術的失敗とユーザーキャンセルによるものはそれぞれ何パーセントか（パスワード、ソーシャル、OTP、パスキーの方法別に分解）？
• ユーザーが「ログインできない」と報告したとき、数日ではなく数分で診断できるか？
• ヘッダーのログインとチェックアウトのログインでは、ログインのコンバージョン率にどのような違いがあるか？

答えられない場合、あなたはほとんどのチームと同じ死角を持っています。Corbadoは、認証スタックを変更することなくアナリティクスを必要とするチームのために特別に構築された、すべての認証方法にわたる認証特有のオブザーバビリティを提供します。

• ファネルアナリティクス： login_initiatedからsession_establishedまでの各ステップのコンバージョンを追跡し、パスワード、ソーシャルログイン、OTP、パスキーごとにセグメント化します。
• デバイスレベルのインサイト： 特定の方法で、AndroidのChromeがiOSのSafariの3倍の割合で失敗している場合、どこに焦点を当てるべきかがわかります。
• エラーの属性付け： 特定の失敗理由（例：password_incorrect、otp_expired、social_login_cancelled、credential_not_found）により、漠然としたログインの問題を実用的なデータに変換します。

• 方法の比較： 最も成功率が高い認証方法はどれか？最も摩擦が少ないのはどれか？パスキー固有のKPIについては、パスキーのアナリティクスをご覧ください。
• A/Bテスト： 認証方法の目立ちやすさ、フォールバックフロー、および登録のナッジをテストします。
• コホート分析： 認証方法間でコンバージョン率とカゴ落ちを比較します。
• リアルタイムダッシュボード： ブラックフライデーや製品リリース時の認証の健全性を監視します。

チェックアウト時のログイン成功率がヘッダーログインよりも20%低いことを特定したら：

• 方法の最適化： 履歴に基づいて、各ユーザーに最も速い認証方法を表示します。
• Conditional UI： ブラウザの自動入力で保存された認証情報を提示し、摩擦ゼロのログインを実現します。
• フォールバックフロー： 失敗した方法から、行き止まりのない代替手段へのスマートなルーティング。
• コスト削減： ユーザーをSMS OTPから、パスキーのような低コストの方法に移行させます。企業によってはSMSコストを70%以上削減しています。

Corbadoのアナリティクス機能について詳しくはこちらをご覧ください。

ログイン時の摩擦は、指標の死角に隠れた収益の問題です。5つの症状は特定可能であり、修正可能です。

1. ログイン/サインアップの離脱: ゲストチェックアウト、目立つソーシャルログインを追加し、モバイルのUXを修正する
2. パスワード疲れ: リセット率を追跡し、パスキーの追加（アペンド）フローを実装する
3. OTPの配信失敗: 地域/通信事業者ごとに成功率を測定し、代替手段を検討する
4. クロスデバイスの摩擦: セッションを延長し、カートの状態を保持し、引き継ぎのUXを改善する
5. セキュリティ起因の摩擦: 共有のコンバージョン指標に基づき、セキュリティチームとプロダクトチームの足並みを揃える

メタ的な問題： ほとんどの組織は、自社のアナリティクスで認証の摩擦を見ることができません。直帰は記録されますが、根本原因は記録されません。

摩擦のないログインへの道：

1. 認証ファネルを計測する（認証アナリティクス・プレイブックを参照）
2. ログインのコンバージョン率をデバイス、方法、タッチポイントでセグメント化する
3. 影響の最も大きい問題から修正する（多くの場合、1スプリントでのUXの変更）
4. 摩擦の少ない認証のためのビジネスケースを構築する
5. Eコマースのファネル全体を分析し、より広範なチェックアウトジャーニーの中で認証がどのように適合するかを理解する

認証は、すべてのユーザーが完了しなければならない唯一のステップです。その最適化は、ほとんどのチームが手をつけていない、コンバージョンに対する最もレバレッジの効く作業なのです。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

login_initiatedからsession_establishedまでの個別のイベントを、認証方法、デバイスの種類、およびエントリータッチポイントごとにセグメント化して追跡します。全体の成功率が90%であっても、モバイルユーザーなどの特定のセグメントで50%の失敗率が隠れている可能性があります。新規ユーザーとリピーターをセグメント化し、登録の問題とセッションやパスワードの問題を区別してください。

NASCAR効果とは、ログイン画面が複数のIDプロバイダーのロゴでごちゃごちゃになり、ファネル内で最も意欲の高い瞬間に決断の麻痺を引き起こす状態のことです。解決策は、すべてのプロバイダーを同時に表示するのではなく、目立つ主要な選択肢を1つ提示し、二次的に「その他の選択肢」リンクを配置することです。ユーザーが認識していないプロバイダーを1つだけ提供することも、同様に致命的な行き止まりを生み出します。

セッションタイムアウトは通常、プロダクトチームからの意見なしに、セキュリティチームやコンプライアンスチームによって設定されます。15分のタイムアウトは、ユーザーがクーポンコードを探したり別のタブで価格を比較したりしている間、サーバーにとっては非アクティブ状態として記録されます。消費者の60%が、タイムアウトを含むログインのフラストレーションを完全に離脱する理由として挙げており、フォームの自動保存機能がなければ、ユーザーはすべてのチェックアウトデータを再入力しなければなりません。

より大きな影響はコンバージョンの損失です。米国の消費者の46%が認証の失敗により取引を完了できず、多くの場合、競合他社に乗り換えています。パスワードリセットのファネルには、メールの配信遅延、迷惑メールフィルタリング、パスワードの複雑さのルールなど、複数の離脱ポイントが含まれており、チェックアウトに戻る前に、元々意欲の高かったユーザーの一部をそれぞれ失っています。

新しいパスワードを過去のものと同じにできないと言われた場合、ほぼ50%のユーザーがサイトから離脱します。履歴チェックは、パスワード疲れに対するユーザーの主要な対処法である「慣れ親しんだ認証情報の使い回し」をブロックしてしまいます。摩擦の少ない代替手段がなければ、ユーザーはその場しのぎで作成したパスワードをすぐに忘れ、次の訪問時に完全に離脱するサイクルを再スタートすることになります。