コラム
ForgeRock社アイデンティティ・サミット2015USレポート
ページ更新日:2020-06-17
「ForgeRock アイデンティティ・サミットUS2015ハイライト」
(会場となった、Ritz Carlton Half moon Bay)
2015年5月27日~29日、米国カリフォルニア州サンフランシスコ郊外のハーフムーンベイにて、ForgeRock社のアイデンティティ・サミットが開催されました。ForgeRock社は旧サン・マイクロシステムズ社の技術者達が中心になって設立した会社で、オラクル社によるサン・マイクロシステムズ社買収によって、消える運命(少なくとも優先度が下がる)になった製品を(オープンソースであった事を幸いに)引き取ってオープンソース・スタイルで継続開発しており、OpenAM, OpenDJ, OpenIDMなどの製品群でアイデンティティ関連分野をカバーしています(OpenIDMはForgeRockになってからゼロから開発したものです)。サン・マイクロシステムズの創業者として有名なスコット・マクネリー氏が顧問を務めていることでも知られています。ForgeRockは定期的にサミットを開いていますが、前回(2014/11: アイルラインド、ダブリン市)までは“IRM(Identity Relationship Management)サミット”と言っており、今回から名称が変更されました。狭い分野だからかこじんまりした印象はありますが、それでも「とんがった」会社のイベントらしく、会場はホットな印象でした。
さて、「ID管理」「認証連携」と言えば、もう10年も前から言葉は存在しており、技術的に確立した分野で、製品も成熟しているものだと思われている方が多いのですが、ForgeRockはそうは考えていません。なぜなら、主戦場が従来の従業員を対象にした「社内向け」から、B2C市場の顧客を対象にした「社外向け」に変わった事で、ユーザの数が飛躍的に増えたことと、対象がお客様に変わった事で求められる要件が変わってきていること、そして、IoT時代になって人だけではなくデバイスも対象になったことで、IDの管理や認証の技術に求められる複雑度が飛躍的に高まっているからです。このサミットでは、改めて、新しいマーケットからの要請とその答えを最近の事例を通して目の当たりにしつつ、最新の技術についても紹介をされました。
盛りだくさんで全部はとても紹介しきれないのですが、ハイライトでご紹介します。(全部ご紹介できないのが残念です)
ForgeRock社CEO Mike Ellis氏
氏は、他の登壇者の紹介やパネルの司会などもこなされていたので何度も登壇しますが、ポイントは、ITを使った商売のやり方自体が変わってきており(デジタル・トランスフォーメーション)、経営からも「お金を生み出すことに貢献する」ITを求められるようになってきた中で、アイデンティティが如何に重要であるかについて話しました。なお、今回短時間ではありますがMikeと対面する時間が持てましたが、日本の市場について非常に強い関心を持っていることが伝わってきました。
スコット・マクネリー氏(Mr. Scott G. McNealy)登壇
ForgeRockの顧問(Adviser)の肩書きを持つマクネリー氏。「元サンの人たちが集まってサンの技術を継承しているのが嬉しくて、求めに応じて手伝うことにした」と語っていました。なお、新会社の紹介も兼ねていたようです(Wayin.com)。
お客様を従業員と同じように扱っていませんか
Ian Glazer氏 (salesforce.com)
お客様相手のWebが従業員向けのと同じでいいはずがありません。もちろん、IDの考え方も違うはずです。
テクノロジー・プレビュー
Lassse Andresen氏 (ForgeRock)、後ろはStein Myrseth氏(ForgeRock)で、ムービーではMyrseth氏がガイドを務めていました。
アイデンティティ同士のリレーション。人と人、人と物、物と物がどう結びついていくのか、スマートシティを題材にしたムービーが流れました。IoT時代のアイデンティティをどう考えるのか、示唆に富んだものでした。
事例:Zalando社
Churistian Kunert氏、Jan Loffler氏
Zalando社はドイツに本社を置くヨーロッパ最大のネット通販会社です。3000万のIDを管理しているそうです。短期間で構築でき、かつ、REST-APIで自由に機能が使える点を評価してForgeRockを採用した、とのことでした。初期導入は、起案からサービスインまで5ヶ月とのことです。スケーラブルなのはもちろん、REST-APIを使えば、将来的にメーカーなどのテナント会社とのWeb連携も可能になるので、非常に拡張性を高く持てる点が魅力的だった、とのことです。I
事例:トムソン・ロイター社
Jeff Bagby氏、Parvez Naqvi氏
トムソン・ロイターは、金融市場情報の配信などで有名な「ロイター通信」で知られた会社ですが、実際には100以上のサービスがあるそうです。買収を繰り返して成長しているため、サービスで独自に実装された管理があり、認証の連携やID管理に課題があります(社名自体が、トムソン社とロイター社の合併である事を示しています)。買収を繰り返すのは会社の方針なので、これに機動的に対応できるID関連ソリューションとしてForgeRockを選定し、順次既存サービスの統合を継続的に行っているとのことです。
これも管理上の理由や技術上の理由ではなく、第一にはビジネスの要請とのことです。ロイターのあるサービスを使っているお客様に、別のサービスのキャンペーンをオファーする、など、各サービス個別ではなく「会社を挙げて」お客様にアプローチするビジネスサイドの要請が大きい、とのお話でした。従って、「標準に準拠」はCEO以下のトップダウンで各ビジネスユニットに指示が出ているとのこと。ただし、それでも各ビジネスユニットに売り込むことは必要だそうです。
事例:GEICO社
Kristin Ellis氏
GEICO社(ガイコ、と聞こえます)は、全米で第二位の自動車保険の会社です。実際、こちらでラジオを付けていると頻繁にCMが流れています。自動車保険を中心に、それ以外にも自動車、二輪車にまつわる様々なサービスを提供しており、また、買収して取り込むサービスもあるため「統一されたユーザ・エクスペリエンス」をいかに維持するかに大きな課題があります。GEICOはオンラインで商売を行っているネット保険会社でもあるので、Webに置けるお客様の満足度が非常に重要であったとのことです。その課題を解決するためにForgeRock製品を選定したとのこと。Webを訪れたユーザが最初に経験するのは「個人情報の登録」だったり「IDやパスワードの設定」などであり、ここでのユーザ・エクスペリエンスは非常に重要で、「使いにくいサイトだ」と思われたら他にお客様を取られてしまう、という危機感があるとのこと。
事例:Vantive社
Cathy Rector氏
Vantive社は、オンライン決済専門企業で、年間200億トランザクションをさばくシステムを運用しています。決済に関わる様々なサービスに対して、統一的なユーザ・インターフェースを提供し、また、あるサービスのユーザに他のサービス利用を促すなどのビジネス的な要請も強く、これに応えられる製品としてForgeRockのテクノロジースタックを採用した、とのこと。
UMA (User Managed Access : ユーザマネージドアクセス)の紹介とデモ
Eve Maler氏(ForgeRock)
ForgeRockはOpenUMAプロジェクトを進めています。UMAはこれまでのアクセス制御にはなかった考え方(個別に実装されているサービスなどはある)で、「ユーザが自分自身で第三者に自分の情報を見たり、編集する権限を与える」というものです。Maler氏のデモでは、Maler氏の流行のウェアラブル端末で取得した「心臓の鼓動の情報」をかかり付けの医師にも参照する(管理者ではなくユーザ本人として)権限を与えていました。従来のID管理では、権限は管理者が与えるものでしたが、UMAではユーザ自身が与えることができるようになります。権限の範囲などが比較的かっちり決まっている会社内の利用はあまりなさそう(社員が、秘書とか庶務に代行する権限を与えるくらい?)、消費者の場合はかなり適用範囲が広そうです。なお、昨日のディナーパーティで、Maler氏はMike Ellis(CEO), Lasse Andresen(CTO)をバックバンドにつけて、歌を歌っていましたが、なかなか上手でしたよ。
事例:McKesson社
Patrick Stronmberg氏、Alexey Shmelkin氏
世界最大のヘルスケア企業です。やはり買収で大きくなっているため、社内にバラバラのシステム多数あり、と話したところで「今まで出た事例と同じですが・・・」になりました。同じ苦労をしている会社がたくさんある、ということですね。
番外
ForgeRock製品はオープンソースで開発されているため、使用しようと思えば、コミュニティ版をそのまま動かすことはできます。自分でコンパイル・ビルドすれば実際の利用環境でも使うことができます。少なくともメジャーバージョンの最初の版は公開されています。しかし、公開後のメンテナンスされた版(の実行モジュールやソースコード)はForgeRockのサブスクリプションを購入したお客様だけに提供されます。ForgeRockではメンテナンスリリースを出す際にも、多大な工数を掛けてテストを行った上でリリースしていますし、また、重大な脆弱性を発見したら即日対応するための体制を維持しており、これはセキュリティを扱う製品を作っているベンダーとして必要な事だと考えている、とのことです。ソフトウェアのユーザには安全にソフトウェアを使っていただきたいので、サブスクリプションの購入を強く推奨する、とのことでした。
後記
多くの事例紹介で「結局、ForgeRockに行き着いた」ような話をされているのが印象的でした。「いろいろ考えたら結局選択肢はこれになる」ということなのでしょうか。
また、パネルディスカッションでは、「セキュリティ」と「ユーザビリティー」のバランスを取ることの難しさが話題になっていました。従来の認証やID管理の世界では「セキュリティありき」の感がありました。利用者が社内の人ならそれでもいいのですが、お客様となると話は違います。利便性を犠牲にしてしまうとお客様が離れてしまうからです。お客様がいなくなってはいくら強力なセキュリティがあっても意味がありません。各社そのバランスを取るのに苦労されている点も印象に残りました。
(懇親会の様子と外の様子)