顧客体験の向上に貢献する！
CIAMの重要性とBtoCサービスへの適用

CIAMという言葉をご存知でしょうか。
「Customer Identity and Access Management」の略で、日本語にすると「顧客のIDとアクセス管理」です。

顧客向けのWebサービス（例えばショッピングサイトやポータルサイトなど）にて、顧客のIDやアクセス権を管理するためのプロダクトやサービスを「CIAM」と呼びます。

本コラムではこの「CIAM」について、基本や特長、従業員向けのID管理やアクセス管理との比較もしながら解説します。

CIAMとは

CIAMとは、「Customer Identity and Access Management」の略で、顧客向けのIDとアクセスを管理するソリューションやプロダクトのことを指します。

従業員向けのID管理・アクセス管理とは異なり、CIAMは不特定多数の人が利用するので、顧客自身でのアカウント登録や削除、ログイン画面にアカウント登録のリンクや利用規約の表示、SNS連携や外部IDでのログインなど専用の機能や画面が必要です。

また、CRM（顧客管理システム）や、顧客分析基盤との連携といった外部システムとの連携も必要な機能です。

CIAMの特長

従業員向けのID管理では、企業の管理者（主にIT部門）が従業員が入社する際のアカウント登録や退社時のアカウント削除など、人事情報のデータベースと連携して登録・削除をしますが、CIAMでは顧客が自らアカウントの登録やプロファイルの変更を実施する必要があります。

さらに、CIAMでは様々な人が様々なデバイスで利用するため、従業員向けのID管理と比較するとUI/UXへの配慮も重要視されます。

CIAMに必要とされている機能

CIAMを構成する上で必要とされる機能がいくつかあります。

コア機能となる「ID管理」「アクセス管理」についてはもちろんですが、それらの周辺技術である「不正検出」や「個人情報管理・分析」もCIAMとしては必要な機能です。

特にCIAM領域で特徴的な機能を解説していきます。

SNS連携

SNSのアカウント情報（ログイン情報）を活用して顧客にサービスを利用してもらう仕組みです。
ログイン画面に「Facebookでログイン」や「LINEでログイン」のボタンがあるサービスがありますが、これらのサービスはSNS連携の機能を利用しています。
ログインの時に利用するだけではなく、アカウント登録の時にSNSのアカウント情報から氏名やメールアドレス、電話番号などのプロファイル情報を取得して登録フォームに自動入力することで、アカウント登録のハードルを下げる効果もあります。

アカウント登録

従業員向けのID管理とは異なり、CIAMでは顧客がアカウントの登録を自ら実施する必要があります。
従業員向けであれば、組織のIT管理者が手動でアカウント情報を登録したり、組織内のActive Directoryと連携してサービスのアカウントを発行したりします。
一方、CIAMでは顧客が自ら情報を入力して登録するので、顧客が利用する登録画面や変更画面が必要です。（みなさんがお使いのECサイトなど、自身の操作で登録したはずです。）
アカウント登録の際には、eKYC（オンライン上での本人確認を行う仕組み）などで本人確認の手順を入れることもあります。
また、顧客が自らアカウント情報を削除できる機能も必要となります。

多要素認証

CIAMでは、様々な人が利用することを前提とした多要素認証を用意する必要があります。
従業員向けとは異なり、CIAMでは不特定多数の人が利用するので、証明書の配布や専用の物理デバイスの配布が必要な多要素認証は推奨されません。
電話番号やメールアドレスに送付するワンタイムパスワードやアプリケーションベースのワンタイムパスワード（TOTP）、スマートフォンなどのデバイスの生体認証を活用したパスキーなど、顧客が所有している電話番号やデバイスを用いての多要素認証を提供する必要があります。
また、サービスの中で複数の多要素認証手段を用意しておき、顧客にとって最適な認証要素を選択してもらうこともCIAMとしては重要です。

同意管理

サービスが提供する利用規約やプライバシーポリシーに対して、顧客が同意したかどうかを管理します。（ECサイトなどでアカウント登録する際に長々と出てくる文章の後にチェックボックスが付いているものを見たこともあると思います。最後までスクロールしないとチェックボックスにチェックを入れられないといったものもあります。）
規約が更新されて新しくなったときには、顧客に対して再度同意を求めます。また、同意した規約や規約そのもののバージョン管理も行います。
特にCIAMでは顧客が自ら個人情報を入力し、サービス内で利用するため、事前に個人情報の利用範囲について顧客から同意を得る必要があります。
加えて近年では改正個人情報保護法やGDPRへの対応が求められることから、同意管理はさらに重要になってきています。

段階的プロファイル収集

名前、メールアドレス、住所、電話番号、性別、カード番号など、顧客がサービスを利用するために必要な情報を全て登録時に入力させてしまうと、ユーザーとしては煩わしく、登録をためらってしまいます。
「段階的プロファイル収集」とは、登録の際には最低限の情報を入力してもらい、必要になったときに必要な情報を追加で登録していく仕組みのことで、プログレッシブプロファイリング（Progressive Profiling）とも呼ばれます。
例えばECサイトで、アカウント登録のときは名前とメールアドレスとパスワードだけを登録してもらいます。（登録時は名前さえも不要かもしれません）
顧客が買い物をして送付先や支払い情報が必要となったときに初めて、住所、電話番号、クレジットカード情報を登録してもらうことで、サービス利用のハードルを下げることができます。

ATO保護（アカウント乗っ取り対策）

顧客のアカウントの乗っ取りを保護するために、いつもと異なる環境からのログインや利用を検知したり、その際にリスクベース認証を要求したり、場合によってはアクセスを遮断することが必要です。
CIAMでは顧客の個人情報だけではなく、クレジットカード情報などの支払い情報も管理するため、アカウントは厳重に守る必要があります。

CRM連携

CRMなどの顧客情報管理システムとCIAMの顧客情報を連携することで、マーケティングやカスタマーサクセスへの活用、顧客へのメール等でのアプローチができるようになります。
その結果、リピート利用率の向上などサービスの利用促進に繋がります。

CIAMとEIAM

CIAMは顧客向けのIAM（Identity and Access Management）ですが、従業員向けのIAMにも同様の定義があります。
従業員向けのIAMはEIAM（Enterprise Identity and Access Management）と呼ばれ、顧客向けのIAMとは必要な機能が異なります。

たとえばEIAMではSAMLを利用したSSO機能や、Active Directoryなど企業内の人事情報との連携機能、企業向けの多要素認証、権限ベースのアクセス管理機能、組織のIT管理者が操作する管理者向けのUIといった機能が必要とされます。
近年企業でSaaSをはじめとするクラウドサービスの利用が進んでいますが、そこで必要となるID管理・アクセス管理としてIDaaSを利用する企業が増えています。この、IDaaSはEIAMをクラウドでサービスとして提供しているものです。

さいごに

CIAMは、顧客向けのサービスを提供するためには必要不可欠なものです。

ただし、今回紹介したCIAMに必要とされている機能の全てが必要ということではなく、サービスの特性や管理する情報に応じて使う機能を検討し導入するのが良いでしょう。

NTTテクノクロスが提供している「TrustBind/Federation Manager」はCIAM領域での導入実績が豊富なだけではなく、SNS連携や多要素認証、リスクベース認証など、必要な機能だけを選んで導入できます。
顧客向けのWebサービスの認証やID管理、アクセス管理でお困りの方は「TrustBind/Federation Manager」までご相談ください。