カスタマーID・アクセス管理（CIAM）支援サービス

デジタル化の進展により、従来は実店舗や対面で行われていたサービスもいまやオンライン上で完結し、企業と顧客を結ぶID（以下、カスタマーID）は事業成長を支える不可欠な基盤となりました。その一方で、カスタマーIDがサイバー攻撃の標的となった場合、企業の事業継続に大きな影響を及ぼすリスクがあるため、カスタマーIDのインフラを適切に管理することは極めて重要な課題と言えます。

カスタマーID・アクセス管理（CIAM：Customer Identity and Access Management）支援サービスでは、カスタマーID・アクセス管理の成熟度評価や、複数事業・サービス間のID統合、IDライフサイクル管理の高度化、組織全体で一貫した本人確認を実現するためのガイドライン策定、さらには事業継続を見据えた組織横断的な体制整備など、幅広いテーマをサポートします。

CIAMがもたらす効果

CIAMは、単なる認証・認可機能にとどまらず、今日のデジタルビジネスにおける「攻め」と「守り」の両面を支える中核的な存在です。オンラインサービスでのカスタマーIDの適切かつ高度な管理を実現することで、企業は事業成長と安全性を同時に追求でき、多様なメリットを享受できます（図表1）。

図表1：デジタルサービスの基盤となるCIAM

1. 顧客との信頼関係強化

顧客がオンラインサービスにアクセスする際、最初に体験するのがカスタマーID登録やログインのプロセスです。この段階で、いかに安全性・透明性が高くスムーズな体験を提供できるかが、サービス利用への意欲や信頼に直結します。

2. 収益向上

カスタマーIDを軸に顧客データを分析することで、行動や嗜好性をより精緻に把握し、パーソナライズされたサービスやオファーの提供が可能になります。これにより顧客エンゲージメントの向上だけでなく、アップセル／クロスセルの促進による収益向上といったメリットも期待できます。

3. セキュリティ確保

なりすましや不正アクセスなどセキュリティ上の脅威がますます高まり、巧妙化する現代において、顧客のオンライン上の資産や個人情報を守ることは喫緊の課題です。IDライフサイクル全体を見通したセキュアな設計や、適切な本人確認手法の導入によってこのリスクに的確に対応することで、企業の信頼維持、さらにはインシデント発生時の損害拡大防止につながります。

4. サービスの透明性・継続性確保

一般顧客向けオンラインサービスを運営する上では、個人情報の適切な管理やプライバシー保護に関する法令遵守も不可欠です。企業は顧客データの取り扱いについて説明責任を果たし、コンプライアンスを徹底することで、サービスの透明性と継続性を維持できます。

5. 経済圏の拡大・生産性向上

顧客の日常のさまざまな場面に一貫したサービスを提供するためには、サービス間でデータを連携し、一サービスの範囲では入手できないデータも他のサービスから活用してシステムやサービス開発の生産性を高めることが重要です。安全性と信頼性を確保しながらIDやデータの連携を実現することで、企業は経済圏の拡大と生産性向上を図ることができます。

CIAMへのアプローチ

CIAMは、デジタルビジネスの「攻め」と「守り」の両面を支える中心的な役割を担っていますが、その適切な整備には、CIAMを構成する各要素への深い理解と、それらをバランスよく組み合わせて推進する力が重要です。CIAMの領域では、不特定多数のユーザーを対象とするため、堅牢な本人確認や認証プロセスの構築は必須です。しかし、その方法として手続きを煩雑化させてしまうと、ユーザー体験を損なうリスクも同時に生じることになります。そのため、各サービスのリスクに応じて適切な本人確認の強度を設計することが重要となります。また、身元確認に関する法令を的確に把握し、コンプライアンスを徹底する姿勢も不可欠です。加えて、顧客の個人情報を取り扱う以上、単なる法令遵守を超えて、プライバシー保護の重要性を深く理解し、透明性の高いデータガバナンスや厳格な運用体制を築くことが求められます。

一方、「守り」の対策だけではなく、積極的なアプローチ、つまり「攻め」として、顧客エンゲージメントを高める洗練されたUI／UX設計や、標準仕様に準拠しつつ安全かつ柔軟にデータを連携できる仕組みの構築も成功のカギとなります。顧客ごとに最適化したコンテンツやオファーをタイムリーに届け、競争優位性を確立するためにも、技術とビジネスの双方から戦略的な取り組みが欠かせません。

このように複雑で多岐にわたる要件を包括的に満たすには、セキュリティ、プライバシー、ID管理（IDライフサイクル、本人確認や当人認証、フェデレーションなど）に関する国際標準や最新技術動向、ユーザー体験、データガバナンス、ビジネス戦略など、幅広い領域に精通した知見と実践経験、そして全体を俯瞰する高度な判断力が不可欠です。しかし現状、日本国内でこれら全てを兼ね備え、CIAMを総合的にリードできる専門人材は非常に限られており、実装や運用の難易度が高いことも大きな課題となっています。そのため、対応が部分的・一時的なものにとどまり、高度化への取り組みが中断されたり、一部の観点だけが最適化され全体として理想の姿に至らなかったり、といった問題も頻繁に発生しています。これを防ぐには、自社のみならず外部の知見や専門性も積極的に活用し、プロジェクト全体の構造や優先順位を明確に整理したうえで、社内関係者を巻き込みながら、効果的かつ効率的に推進することが求められます。

PwCのサービス

PwCコンサルティングではデジタルアイデンティティの専門家が、成熟度評価、高度化の企画・構想策定、本人確認やIDライフサイクル管理に関する社内ガイドライン策定、業務プロセス・体制構築などCIAMにおける幅広いテーマを支援します（図表2）。

「CIAMの高度化を目指すにあたって、どこから手を付ければよいか分からない」、「自社で抱える複数サービスのカスタマーIDやデータを統合したい」「なりすましや不正ログイン対策の強化、IDライフサイクルの整備を行いたい」「事業継続に向けた組織横断の体制を整備したい」など、クライアントの課題やニーズに応じてサービスをカスタマイズして提供します。

図表2：CIAMの高度化における課題例とPwCのサービス

• CIAM成熟度評価
  インシデントや不正を未然に防ぐためには、自社のカスタマーID・アクセス管理の現状を客観的に評価し、潜在的なリスクを明確化した上で、優先順位を付けて対策を実施することが不可欠です。PwCコンサルティングは、多様なガイドラインに沿った要求事項や豊富な知見・経験を生かし、アセスメントに基づくクイックなCIAM成熟度の評価を行います。
• カスタマーID統合支援
  複数のオンラインサービスのカスタマーIDを統合する際は、UI／UXの向上とともに、セキュリティやプライバシーの維持・向上、さらにはデータの利活用を両立できる環境整備が求められます。多岐にわたる検討課題に対応するため、PwCコンサルティングは、現状のID管理のモデルや状況を総合的に把握したうえで、統合に向けた論点の網羅的な整理や将来像の定義、そして統合に向けた具体的な対応策を支援します。
• 身元確認・当人認証ガイドライン策定支援
  なりすましや不正ログインの脅威からオンラインサービスを保護することは非常に重要ですが、各サービスで本人確認の手法がバラバラ、かつ事業部門任せになっており統制が図れていないことからくる課題も散見されます。PwCコンサルティングでは、これらの課題を解決するために、全社共通の本人確認ポリシーやガイドラインを整備し、自社が提供するすべてのサービスで一貫した適切な本人確認が実施できるよう支援します。
• カスタマーID・アクセス管理高度化支援
  CIAMの高度化に向けて、現状の網羅的な整理（セキュリティ・プライバシー・UI／UX・データ利活用などの観点を含む）と、各種ガイドラインで求められる要件やPwCの知見を基に、あるべき将来像の策定を支援します。また、将来像の策定にとどまらず、自社の現状や環境に合わせて無理のない形で高度化を実現できるよう、対応策の優先順位付けや、実効性の高い計画へ具体化していくこともサポートします。
• Digital Service Security Incident Response Team（DSIRT／SSIRT）構築支援
  DSIRT／SSIRTの構築支援では、組織横断のインシデント対応体制や標準プロセスの設計・定着をサポートします。実効性と迅速性を兼ね備えた運用モデルの実現に向け、現状分析から運用開始まで一貫して提供します。