パスキー認証プロバイダーが10万ドル以上のコストを削減する理由

この記事では、パスキーを（既存の）認証プロセスに実装する際に私たちが遭遇し続ける、最も一般的な5つの誤解を明らかにします。そして、サンプル計算を用いて、パスキーに精通した専門プロバイダーを探すことが理にかなっている理由を解説します。

パスキーは素晴らしいものです。認証の歴史上初めて、ユーザーのセキュリティだけでなく、利便性も大幅に向上しました。今日、ほとんどの人が顔や指紋でスマートフォンをロックすることに慣れています。このユーザーフレンドリーな未来をウェブにもたらすことは、論理的な次の一歩にすぎません。非対称暗号を活用した基礎となる公開鍵基盤と組み合わせることで、パスキーは完璧なソリューションのように思えます。これはエンドユーザーの視点からは真実ですが、組織にとって、この新しい認証標準を自社で実装することは、高いリスクとコストを伴う多大な労力となります。この記事では、パスキーに関する最も一般的な誤解と、それらを軽減する方法について説明します。

まず第一に、パスキーは、Microsoft、Apple、Googleなどの主要なテクノロジー企業や、PayPal、eBay、Visaなどが所属するFIDO（Fast Identity Online）アライアンスによって定義されたオープンスタンダードに基づいています。

しかし、これらのオープンスタンダードはドキュメントが不十分で、既存のシステムへの実装やユーザーフローへの統合は実際には困難です。ユーザーフローの定義や技術的な統合をゼロから考え出す必要があります。既存のユーザー認証がすでにあるシステムにパスキーを追加する場合、基本的なドキュメントと実装だけでは実用的ではありません。

さらに、パスキーは（部分的に）デバイスに紐づいているため、異なるプラットフォーム（iOS、Android、Windows）のユーザーが複数のデバイスを使用している場合、本当の困難が始まります。実装もユーザーエクスペリエンスもプラットフォームによって異なるため、すべてのユーザーにパスキーを推奨ログイン方法として提供することは複雑な試みとなります。特に今日のように多くのユーザーが複数のデバイスを持つ時代では、すべてのデバイスとオペレーティングシステムを適切にサポートすることが不可欠です。

理論的にはこれは正しいですが、特に統合とメンテナンスには内在的なコストがかかります。まず、プロセスフローとUXのコンセプトを練る必要があり、これは通常1〜2人のプロダクトマネージャーが担当します。これには最大2ヶ月かかり、プロダクトマネージャーの経験によっては、それだけで最大30,000ドルのコストがかかる可能性があります。これが完了すると、このソリューションを統合するシステムアーキテクト、プロダクトマネージャー、開発者が必要になります。そして、FIDO2サーバーの運用など、メンテナンスの労力も発生します。さらに、ユーザーを圧倒しないようにスムーズなユーザー移行にも配慮する必要がありますが、これを内部で設計・実装するのは非常に複雑で、コストがかかります。

加えて、インフラを運用する必要があります。サーバーやデータベースは今日、無料ではありません。特に、アプリケーションのこのような重要な部分で、高い可用性を備え、安全かつ確実に稼働させる必要がある場合はなおさらです。これらすべてに多額の費用がかかり、その費用は本来、コア機能に費やすべきものです。

さらに、メールやSMSサービスのような周辺（フォールバック）システムを提供するための他の外部プレイヤーを選定、管理、監視する必要があります。もちろん、これも自社で行うことはできますが、ユーザーはトランザクションメールの驚くほど速い配信と高い可用性を期待しています。信じてください、メール配信の最適化を自社で行いたくはないはずです。これらのサービスは無料ではなく、コストを増加させます。

お客様と話していると、これがおそらく最も一般的な誤解であり、認証の真の難しさです。新規のアプリケーションにパスキーを提供することは、かなり簡単に行えます。難しいのは、既存のユーザーをパスキーに移行させることです。多くの場合、ユーザーベースは非常に多様です。パスワードを今日にでも捨てて、できるだけ早くパスキーに移行したいアーリーアダプターもいれば、パスワードを使い続けたい人々もいます。すべてのユーザーをスムーズかつスマートにパスキーへと導きながら、個別のフローを考案することが、本当の課題です。

初期統合後、多くの人々はパスキーが勝手に機能し、採用も自然に進むと考えがちです。これもまた一般的な誤解です。パスキーはセキュリティ上重要な機能であり、多くのリスクを伴います。つまり、監視が必要であり、それを監視するチームは多くの経験を持つセキュリティの専門家でなければなりません。

さらに、パスキーの採用状況は継続的に監視し、移行段階での潜在的な問題を検出して実装の変更を必要とするかどうかを判断する必要があります。

パスキーの技術的な実装を考え、コーディングに取り掛かる前に、多くの概念的な作業をまず行う必要があります。特に、パスキーのような新しい技術を統合する場合、既存のベストプラクティスやドキュメントの質と量が乏しいため、多くの概念的なプロセスを考慮する必要があります。最も重要なものの中には、次のものがあります。

1. サインアップとログインのプロセス全体を描き出すこと： サインアップやログインの開始から認証成功までのフローを設計する際、バックグラウンドで無数のプロセスステップが実行されます。これらをモデル化し、複雑なロジックツリーに構造化する必要があります。標準ケースの設計だけでも複雑なタスクですが、考えられるすべてのエッジケースをカバーするために必要な労力は、それよりもはるかに大きいものです。最終的には、あらゆる潜在的なシナリオで機能し、ユーザーを認証するプロセスがなければなりません。
2. クロスプラットフォームでの使用に配慮すること： ユーザーがクロスデバイスとクロスプラットフォームの両方でパスキーを使用できるようにし、パスキーがまだ利用できない場合でも認証プロセスをスムーズに案内することが重要です。
3. 後方互換性を確保すること： パスキーの使用を促進するためには、ユーザーが認証したいすべてのデバイスのパスキー対応状況を自動的に検出するだけでなく、ユーザーがそもそもパスキーでログインしたいかどうかを検知するメカニズムを開発する必要があります。ユーザーが代わりにパスワード、ソーシャルログイン、またはSSOのような現在のログインオプションを継続したい場合は、ハイブリッド認証を並行して実行する必要があります。
4. リカバリーサービスを提供すること： 当たり前に聞こえるかもしれませんが、セルフサービスのパスワードリセットやエラー発生時のフォールバックオプションのフローを考案することは、最も困難なタスクの1つです。なぜなら、ユーザーがパスワードを忘れたり、一度も設定したことがない場合に認証できることを保証する必要があるからです。
5. 優れたUXを設計すること： UXは、単に使いやすいインターフェースを作成するだけではありません。ソフトウェア全般において、デバイスとユーザー設定の管理、ユーザーコミュニケーション、そして自社のCIに合わせたカスタマイズ可能なデザインが大きな役割を果たします。パスキーはデバイスに紐づいているため、企業は主にデバイス管理に焦点を当て、すべてのユーザーのデバイスでパスキーの使用が問題なく機能するようにする必要があります。ユーザーコミュニケーションに関しては、事前に定義されテストされたユーザーメッセージでユーザーを教育する必要があります。

これらのステップはすべて、プロダクトマネージャーと開発者に多くの時間を要求し、ソフトウェア開発では見過ごされがちです。

ソフトウェアを自社開発するか購入するかの議論は、決して新しいものではありません。この決定を下す際には、多くの要因を考慮する必要があります。どの企業にとっても重要な要因は、ソフトウェアの開発または購入から生じるコストです。パスキー認証などのソフトウェアソリューションを購入する場合、初期費用が非常に高いという議論がよくなされます。しかし、企業は自家製の開発も少なくとも同等に高価であることを忘れがちです。そのコストは、例えばソフトウェア自体の複雑さ、プロダクトマネジメント、UX/UIデザイン、開発チーム、そしてしばしば多くの隠れたコスト（特にメンテナンスとアップデート）に依存するからです。

認証ソフトウェアの開発コストに光を当てるために、デスクトップ、モバイル、ネイティブアプリのユーザーにサービスを提供する社内認証チームを持つ企業の基本的な計算を以下に示します。メール/電話番号とパスワード認証の他に、ソーシャルログインも提供しています。

• バックエンド開発者2名：126,000ドル
• フロントエンド開発者1名：60,000ドル
• iOS開発者1名：60,000ドル
• Android開発者1名：68,000ドル
• プロダクトマネージャー2名：170,000ドル
• プロジェクトマネージャー1名：85,000ドル

これらは年俸総額であり、Glassdoorによる業界標準の平均給与に基づいています。給与以外の労働コストは含まれていません。

• 期間：1.5ヶ月
• ソフトウェア開発チームのステークホルダー：プロダクトマネージャー2名、プロジェクトマネージャー1名
• 総コスト（給与）：31,875ドル

• 期間：3.0ヶ月
• ソフトウェア開発チームのステークホルダー：プロダクトマネージャー2名、プロジェクトマネージャー1名、バックエンド開発者2名、フロントエンド開発者1名、iOS開発者1名、Android開発者1名
• 総コスト（給与）：143,750ドル

ソフトウェア開発総コスト：175,625ドル

もちろん、これは移行コストやトレーニングコストなど、多くのコストを考慮に入れていない簡略化された計算です。サーバーやデータベース、クラウドサービスのような追加のインフラが必要な場合は、追加のコストが発生します。特に、個人データを最大限に保護する必要がある認証ソフトウェアの場合、コストは大幅に高くなる可能性が高いため、Corbadoのような専門のパスキープロバイダーを利用する価値があります。

要約すると、パスキーは誰でも無料で統合できるオープンスタンダードです。しかし、これは非常に近視眼的な見方です。パスキー利用の影響を詳しく見ると、Corbadoのようなパスキープロバイダーを利用する方がはるかに賢明でコスト削減につながる方法であることが明らかになります。特に、認証はめったにコア機能ではなく、現代の製品で行われるべきコモディティ（あって当たり前の機能）であるため、外部の専門家のノウハウと能力を活用することは賢い選択です。

まだ納得できませんか？ 今すぐCorbadoのソリューションを無料で、リスクなしでお試しください。