アナリストによると、コストと複雑さを削減するために、75%の組織がサイバーセキュリティの統合を計画している。統合を適切に行うことで、セキュリティのギャップも解消され、よりスムーズで統一されたユーザー エクスペリエンス (UX) が実現します。これらがあなたの目標であれば、TIAA からの重要な洞察を得るためにこの記事を隅々まで読んでください。
フォーチュン 100 の金融サービス企業として、TIAA は時代を先取りしており、他の ID プロフェッショナルと経験を共有することに積極的です。Gartner IAM の Q&A 形式のセッションで、TIAA のデジタル ID サービス担当ディレクター Gaurav Kothari 氏が、元 Gartner アナリストでもある Transmit Security の最高 ID 責任者 David Mahdi 氏と対談しました。アイデンティティ オーケストレーションに関するこのセッションで、Gaurav は CIAM プロジェクトに着手するすべての人にヒント (およびいくつかの警告) を提供しました。
まず、オーケストレーションとは何でしょうか?
アイデンティティ オーケストレーションは、ベンダーの統合を管理し、アイデンティティ ソリューションを統合するための統合制御レイヤーを提供して、それらが 1 つとして機能できるようにします。強力なポリシー エンジンは、すべてのリスク/信頼の推奨事項を組み合わせてネゴシエートし、実行時に ID ジャーニーを適応させます。ドラッグ アンド ドロップ ジャーニー プレーヤーを使用すると、あらゆるユース ケースとシナリオに合わせてカスタマイズされた動的なリスクベースの ID ジャーニーを提供できます。
多様な顧客シナリオに合わせて ID ワークフローをオーケストレーションすることで、TIAA は次のことを実現できました。
- 大量のカスタムコードを削減
- 新しいコントロールの作成に必要な時間を数か月から数時間に短縮
- 管理コストとコールセンターコストを大幅に削減
アイデンティティオーケストレーションに関する TIAA との Q&A
次の会話では、オーケストレーションによってサイロ化された ID ソリューション間のギャップがどのように埋められるか、そしてそれがチームと顧客にどのようなメリットをもたらすかについて説明します。これらは彼らの講演のハイライトであり、質疑応答から最も価値のある情報をお届けするために要約されています。
Transmit SecurityのDavid Mahdi氏: Gaurav さん、あなたのようなお客様がいて、その経験を恩恵を受けられる他の人々と共有していただけるのは、私たちにとって幸運なことです。それでは、あなたの経歴と TIAA での業務について教えてください。
TIAA の Gaurav Kothari 氏: はい、まずはご参加いただきありがとうございます。このセッションの後、皆さんが組織に持ち帰り、CIAM プログラムで活用できる何かを得ていただければ幸いです。
私は TIAA でデジタル ID サービスを率いています。私のグループは、顧客のデジタルオンボーディング、デジタルアクセス管理、不正行為の検出と防止を担当しています。 そして、さまざまなアイデンティティ ライフサイクル サービスがあります。私は、データベース アイデンティティとパスワード、自社開発のトークン ベース システム、より現代的なアイデンティティおよびアクセス管理を備えた自社開発システムに取り組んできました。
David : CIAM の進化の全貌をご存知ですね。では、TIAA について少しお話しいただけますか?
Gaurav: TIAA はフォーチュン 100 企業であり、「私たちは他者を助ける人々を助ける」というミッション ステートメントを掲げています。当社の主な事業は退職金関連商品であり、教育者との強固で長い歴史を持っています。それ以来、私たちは変革を遂げ、教育の枠を超えて事業を拡大してきました。デジタル化は重要な目標の一つです…すべてのやり取りを改善することです 私たちがお客様のために設計したものです。
デビッド:それでは始めましょう。私たちは全員、ガートナー IAM カンファレンスに集まっていますが、今日のこのセッションの [焦点] は CIAM です。ここで 1 つ言及したいのは、少し難解な点ですが、消費者のアイデンティティと従業員のアイデンティティには明らかに違いがあるということです。
元ガートナーのアナリストとして、私自身も BYOD (Bring Your Own Identity) について調査を行い、多くのクライアントと仕事をしてきましたが、彼らは「デイビッド、誰かがアクセス権を失った場合にソーシャル ID を使用できますか?」と尋ねてきました。それを使って、何らかの身元証明をブートストラップすることはできますか?」
答えは「はい」ですが、従業員は雇用契約に署名するため、異なる扱いをする必要があります。許容使用ポリシー (AUP) を遵守する必要があります。ガウラフと私はこのことについて話していましたが、両者を一緒に巻き込むのは不利益です。ガウラフ、何だって言ったの?「従業員全員がスマート カードを使用する場合、顧客にスマート カードを提供しますか?」と質問されました。
ガウラフ:いいえ、それは無理です。
デビッド: そこで、TIAA での顧客 IAM の取り組みについてお話しします。また、消費者の CIAM の取り組みについても考えます。その観点から、TIAA のプログラムについてお話ししましょう。
ガウラフ: TIAA にはかなり成熟した CIAM プログラムがありますが、これは一夜にして実現したわけではありません。私たちはこれを4年近く続けています。また、競合する優先事項のバランスを取る必要のある製品、ツール、サードパーティの SaaS プロバイダーのエコシステムを構築しました。
…最優先事項は顧客体験です。顧客のオンボーディングをより簡単にしたいと考えています。顧客がシステムに簡単にアクセスできるようにしたいと考えています。その反面、非常に強力なデジタル保護が必要になります。したがって、CIAM プログラムまたはそのツール チェーンがない限り、これら 2 つの優先事項のバランスを取ることは非常に困難になります。
David: TIAA の関係者とどのように関わり、サポートを得たのですか?
ガウラフ: 私たちがビジネス関係者と会うと、彼らにとってテクノロジーは単なる手段に過ぎず、製品には関心がないことがわかります。「どれくらい早くオンボードできますか?」と聞かれます。どのくらい早く入学率を高めることができますか?顧客に不満を抱かせないように、MFA をどの程度削減できるでしょうか?」これらは、CIAM プログラムに関して何かを行うときに私たちが常に注目する点です。
David : それではオーケストレーションについて詳しく見ていきましょう。それが CIAM の目標とどのように一致するかを教えてください。どのようなビジネス成果を達成していますか?
Gaurav:アイデンティティ オーケストレーション エンジンは、私たちが実現した重要な要素の 1 つです。まず第一に、コード管理の手間が省けます。あなたは以前の世代の旅を見てきました。 数百、数千行のコードがあり、開発者は5人います 取り組んでいます。その環境を管理するのは非常に複雑になります。
したがって、アイデンティティ エンジンを使用すると、手作業での作成やコーディングからグラフィカル インターフェイスの使用に移行できます。ジャーニーを設計し、ローコード モードに移行します。そして、ローコード モードでは、より俊敏な対応が可能になります。ビジネスニーズをより早く満たす能力を提供します。市場投入までの時間が大幅に短縮されました。
…中央の ID エンジンがあることに加え、ポイントツーポイントの統合を作成する必要がなくなります。それが鍵です。こうした統合には多くの時間がかかります。そして、手動でコーディングするたびに、多くのバグや品質の問題が発生します。
David:つまり、オーケストレーションは CIAM プログラムの中心的な柱であると言えますね。オーケストレーションが役割を果たす他の領域はありますか?
Gaurav:私たちは、顧客体験をできるだけシンプルにすることにこだわっています。そのため、私たちは設計するあらゆる旅程における摩擦を減らすことを目指しています。当社には UX チームがあり、UX ワークショップを実施して、その体験がお客様が本当に望んでいるものであることを確認しています。それとは別に、私たちにはそれらのジャーニーを測定する追加の分析チームがあり、私たちが行ったことの実証的な証拠を得ることができます。それは本当に機能しているのでしょうか、それとも機能していないのでしょうか?
ここで、詐欺に関与したある利害関係者の言葉を引用したいと思います。彼は詐欺対策の分野では先見の明があり、いつも私にこう言っています。「ガウラフ、顧客のことを考えるなら、顧客があなたとやり取りしているときに重要なことを考えなければなりません。パッシブ モードで顧客を認証したら、その認証は移植可能でなければなりません。つまり、誰かがモバイルで認証した場合は、それを Web に移植でき、その逆も同様に移植できる必要があります。
…そして最後のポイントは、認証されたユーザーは永続的である必要があるということです。なぜなら、そのユーザーをあなたのウェブサイトに呼び込むのに多大な労力がかかったからです。そして彼はお金を送金しています。そして、彼がこの取引を行っているので、再度 OTP が必要だと言います。より大きな利害関係やより大きなリスクを伴う、より価値の高い取引のためにステップアップするべきではないと言っているわけではありませんが、ユーザー ジャーニーの各パスでステップアップするべきではありません。
デビッド: CXの話に戻りますが、先ほどおっしゃったことは非常に重要です。なぜなら、労働力のシナリオでは、従業員に良いユーザーエクスペリエンスを提供したいのは当然ですが、 CXは間違いなく競争の激しい戦場だからです。 顧客IAM向け。
Gaurav:そうです。製品を市場に出すときの差別化要因の 1 つです。…そして私のビジネス パートナーは、私たちを競合他社と比較し、「私たちが顧客や参加者をどれだけ早くオンボードできるか」と言います。そして、デジタルファーストとプロセスの簡素化という点では、それは私のチームにとっても、ビジネスにとっても常に誇りです。
デビッド:それは素晴らしいですね。ここで、オーケストレーションに関するアドバイスをいくつか提供したいと思います。先ほどここでプレゼンテーションを行ったガートナー社のアナリスト、アキフ・カーン氏は、ジャーニータイムオーケストレーションに関する非常に優れた研究を行っており、昨年半ばに発表したリサーチノートの中で、オーケストレーションについて「オーケストレーターになるか、オーケストレーションされるかのどちらかだ」とコメントしています。 …認証の分野には、こうしたポイントプレイヤーがたくさんいます。その中には素晴らしい人もいますし、特定のことに関しては本当に優れていますが、全体的な視点や文脈に沿ったシグナルを持っていません。したがって、通常はオーケストレーションのようなものと組み合わせる必要があります。
Gaurav:こう考えてみましょう。オーケストレーションは非常にパーソナライズされたツールです。オーケストレーションの体験をパーソナライズします。たとえば、ある大学との製品と別の大学との製品があります。オーケストレーションにより、非常にカスタマイズされたエクスペリエンスを作成できます。当社の認証フローと画面の一部は、コンテンツに基づいて非常に動的になっています。つまり、ミシガン大学の顧客またはハーバード大学の顧客としてコンテンツを入手することになります。オーケストレーション エンジンがなければ、コードを 50 コピーする以外に、このようなことはできなかったでしょう。
もう 1 つの使用例は、ホワイト ラベル製品を作成することです。私は保険会社から来たんですよね?私たちのビジネスは代理店を通じて運営されており、引受会社や保険会社のアプリではなく、代理店のアプリのように見えるホワイト ラベル アプリを作成しています。オーケストレーションとコンテキスト認識テクノロジーを使用すると、非常にカスタマイズされたモデルを作成できます。そして、それは本当に顧客を増やすことにつながります。
David : そうですね、これは CX のもう 1 つの利点を非常によく表していると思います。それで、話題を変えて…少し戦術的に話を進め、ここにいる聴衆にいくつかの提案をしたいと思います。しかし、その前に、ちょっと挙手してください。今日、何らかのオーケストレーションを使用している人は何人いますか?手っぽいのが見える気がする?ここにいる全員のうち片手くらい。そうですね、彼らにはアドバイスが必要だと思います。
ガウラフ: まず最初に、CIAM は複雑なプログラムであるということを述べておきます。それは単に技術が複雑だからというだけではありません。それは、CIAM の一員として皆さんが行っていることの幅広さです。決して皆さんを怖がらせようとしているわけではありません。それは可能です。それは達成可能であり、私たちの組織ではそれを認識しています。
重要なのは、利害関係者に会いに行くときに、ビジネス能力を伝えなければならないということです。プログラムの重要性を彼らに伝えなければなりません。
CIAMはデジタル変革の第一歩です … このプログラムは、顧客とのデジタル ID を確立し、顧客を部屋に入れるのに役立ちます。そして、デジタル化に向けて大きな推進力が見られますね。そして、それに関しては多くのツール、多くのテクノロジー、そして多くの取り組みがありました。しかし、デジタル オンボーディングと CIAM が含まれていない部分が常に欠落しているように思います。その後、バックエンドの部分が本番環境に到達し、慌てることになるでしょう。
どうすればもっと多くの顧客を獲得できるでしょうか?どうすれば彼らの生活を楽にできるでしょうか?では、プログラム管理をどのように構築し、実行するのでしょうか?重要な要素は 3 つあります。CIAM プログラムの戦略、計画、プログラムの管理と実行です。
私たちにとって効果的だったことの一つは、非常に包括的で、十分に文書化された CIAM 戦略だったと思います。戦略のストーリーを書かなければならないほどです。CIAM の概念を高レベルの構成や KPI、またはバリュー ストリームにまとめる必要があるため、これには芸術と科学の両方が含まれます。
David:ですから、いくつかの目標を持ち、その成果に結びついた全体的な戦略を持ち、そしてそれらのストーリーを持つことは、組織内のコミュニケーション戦略にとって絶対に重要です。
ガウラフ: 正しい。また、私たちが目にしてきたもう 1 つの点は、ビジネス ステークホルダーと技術チームの間で共通の分類法を確立することです。CIAM 機能ではなく、機能から始める必要があります。
David:ですから、OAuth、SAML、OIDC について彼らに話さないでください。
ガウラフ: そうです、そしてこの人たちは賢いです。彼らは何百万ドルものビジネスをやってきました。ただ、彼らの領域は異なるので、私たちはそれを尊重しなければなりません。
…つまり、2番目の[ステップ]は計画とプログラム管理です。「計画を立てなければ、計画は失敗する。」私たちは皆、その発言を聞いたことがあります。複数のチームとやり取りする必要があるため、計画は重要です。UX チーム、ビジネス SME、インフラストラクチャ チームと連携する必要があります。したがって、非常にしっかりした計画がなければ、その背後にある複雑さに対処するのは非常に困難になります。
そして最後は実行です。私たちは皆、物事を終わらせる必要があることを知っています…私たちはアジャイルに従い、安全に従います。したがって、プログラムを実行するという点では、私たちにとって本当にうまくいきました。私たちには協力して働くスクラムチームがあります。このモデルで私が最も重要だと思うのは、私たちのビジネスが非常に一致しているということです。私たちが得ているものに関して言えば。そこでスプリントが始まり、デザイナーが画面をデザインし、私たちはジャーニーを調整し、スプリントの終わりまでに、実際の作業ジャーニーを見せることができました。
…そして、反復的なものを構築でき、より早く本番環境に移行でき、要件と納品の間で継続的なフィードバック ループを持つものを構築できれば、それは成功への良い秘訣となります。
David:それが、私が旅程時間のオーケストレーションに興奮する理由です。なぜなら、ビジネスがやろうとしていることのストーリーへのリンクがあるからです。…何ページものスクリプトやその他すべてに目を通す必要はなく、視覚的に確認できます。[オーケストレーション] は、これらのビジネスにとって非常に強力になります。
それで、ロードマップです。これまでの旅について話してきました。CIAM ロードマップに含まれる項目は何ですか?
Gaurav:昨年、私たちは関係者と話し合い、 CIAM 2.0 戦略を作成しました。そして、主な推進力は、いかにして顧客体験をさらに改善し、いかにして不正行為の検出と防止機能を強化するかということでした。
私たちが現在検討しているのは、身元の証明と検証に関する 3 つのことです…私たちは、これによって入学者数と中退率の課題が改善されると強く信じています。
2 つ目は、行動バイオメトリクスに関するものです。リスク エンジンを通じて大量のデータが入ってくるので、行動データセットを追加し、これら 2 つのポリシーを組み合わせて不正行為を防止したいと考えています。ステップアップを地理位置情報に基づいて決定し、誰かが別の場所に行くと(それは摩擦を追加します)…しかし、行動プロファイルがあれば、キーボードの押し方やマウスの動き方に基づいて、それが同一人物であると(わかるので)安心できます。そうすれば、顧客体験を向上させることができます。
そして最後に、誰もがパスワードレスに移行していることを知っていますか?私たちはすでに基礎的な作業を開始しています。今年中に実現できるかどうかは分かりませんが、このプラットフォームで実現するのは間違いなく大きなことです。
David:今後 CIAM に期待することは何ですか?
ガウラフ: CIAM は、ユーザー ジャーニーを集中管理する方法を備え、大きな進歩を遂げてきたと思います。CIAM がもっとコンテキストを認識するようになってほしいと思います。私は関係者と話すときに「スマート コンテキスト」という言葉を使っています。顧客にサービスを提供するために多次元的なアプローチを取っています。それが私たちの目標ですよね?お客様にサービスを提供するためです。
デビッド: 結局のところ、私たちが会ったことを知っていれば、将来会ったときに身分証明書を要求しないということだと思います。私たちは、デジタル サービスを、友人や知人とやり取りするときのような感覚で利用したいと考えています。
Gaurav:もう 1 つの例は、近所のコーヒー ショップに行くときです。店員は、あなたが何を食べるか知っています。カウンターに着く頃にはコーヒーは用意されています。お客様のためにそれができれば、業界として大きな成果となるでしょう。
完全な音声録音を再生する
Gartner IAM への全アクセス パスをお持ちの場合は、「Transmit Security: サイロの破壊 – アイデンティティ オーケストレーションが TIAA の CIAM 統合にどのように役立ったか」というタイトルのセッション全体を再生できます。
オーケストレーションによってすべての要素を統合する方法について、専門知識と洞察を喜んで共有してくれる Gaurav のような顧客がいることを、私たちは嬉しく思っています。Transmit Security Orchestration Services がID スタックの統合にどのように役立つかについて詳しく説明します。