こんにちは! techtekt編集部です。
2019年11月19日、Nagatacho GRiDで行われたイベント「Auth0 Day 2019」に、サービス開発統括部・エグゼクティブマネジャーの三口聡之介が登壇しました。
アメリカ発の統合認証プラットフォームであるAuth0。サービス開発統括部では、提供している一部サービスの認証基盤に導入しています。
セッションのテーマは「サービス開発部門におけるAuth0という選択」。サービス開発統括部がAuth0を導入した背景や、開発における課題、現在の取り組みについて語った、セッションの内容をご紹介します。
―登壇資料
サービス開発の中で学びを得るために不可欠なのは「スピード」
ビジネスを取り巻く環境が変化し続けている今、企業もその移り変わりを敏感に感じ取り、その時々に応じて的確に対応することが求められるようになりました。
そのような、先の読めない現在の市場を表した「VUCA(ブーカ)」という言葉があります。
Volatility=激しい変動、Uncertainty=不確実性、Complexity=複雑性、Ambiguity=あいまいさ。それぞれの頭文字を取ったこの言葉は、少子高齢化や価値観の多様化、人口減少など、現代日本の構造的な問題を的確に表現しているといえます。
これはサービス開発においても同様で、企業は時代の流れを見極めて、風向きに敏感である必要があります。そこで、パーソルキャリアのサービス開発統括部が新規開発の際に重視しているのが「スピード」です。
世間が求めるサービスを、ふさわしいタイミングで企画しリリースするためには、スピーディーな開発が必要不可欠。開発に半年、または1年という長い期間をかけてしまうと、サービスが完成する頃には他社に市場を先取りされたり、サービス自体が不要になっていたりということも起こり得ます。
サービス開発の高速化による特に大きなメリットは、サービスを世に出してからデータを取り、その知見を生かして次の開発に着手するまでのサイクルを短期間で回せるようになること。そして、そのノウハウがチームに蓄積されていくことにあります。
開発プロセスのなかから学びを得るための「BMLフィードバックループ」というフレームワークがあります。その主な目的は、仮説を立て、システム構築をし、作った製品をもとにデータを集計、知見を集約し、それをもとにまた新しく仮説を立てて――という一連のサイクルを繰り返して、サービス開発の精度を上げていくこと。
しかし、より効果的な計測を行ってデータを得るためには、このループを“逆向き”に回すことを意識しなければいけません。
つまり、「なにを学習したいのか」を考えるところからスタートし、そこから「これを学ぶには、どういうデータがあれば良いのか」、「そのデータを収集するためには何が必要なのか」と、目的から必要なシステムを逆算して考える、ということになります。このループを短期間にできるだけたくさん回すことで、得られる知見が加速度的に増えていくのです。
「Design Sprint」の導入により、最小限のロスでサービス成功を目指す
サービス開発からリリースまでを短期間で行い、得られる知見を最大化する、といった目的のもと、サービス開発統括部では開発プロセスに「Design Sprint」を導入しています。
Design Sprintとは、元はGoogleで発案された開発メソッドの1つ。企画立案からプロトタイプの作成、ユーザーインタビューを通してフィードバックを得るまでのサイクルをたった5日間で行う、短期間でサービスに磨きをかけていくプロセスのことです。
サービス開発統括部では、企画段階のサービスが「有用でない」と判断するために、Design Sprintを役立てています。一般的に3カ月から半年程度の期間を費やすようなプロトタイプの作成であっても、Design Sprintを導入することでその期間を1週間程度まで短縮させることができます。そうすると、もしプロトタイプの評価が芳しくなく開発が取りやめになったとしても、稼働ロスが最小限で済むという大きなメリットが生まれるのです。
このように、Design Sprintを通してプロトタイプを作成し、そこで反応が良かったサービスに注力していく、という考え方に切り替えれば、ロスを抑えてヒットするサービスを目指すことができます。
今、HR企業に求められていること
パーソルキャリアは、2019年10月から「人々に『はたらく』を自分のものにする力を」をミッションに掲げ、事業を進めています。
労働人口減少や価値観の多様化といった市場の変化や、SNSやITサービスが広く浸透している現在の社会環境。そういった時代の中で、人々が自分自身の持っている可能性に気づき、働き方を選び取ることができるようにしなければなりません。私たちHR企業には、人々に新たな気づきを与え、多方面から彼らの行動を支援するサービスが求められています。
パーソルキャリアが、転職支援サービスに限ることなく新しいサービスの開発を進めているのも、多方面から人々の「はたらく」を支援するためです。ミッション実現に向けて、良いサービスを提供し、改善し続けるためには、開発スピードだけでなく、継続して運用していくためのリソースも必要です。そこで、パーソルキャリアは社内エンジニア部門を強化し、内製に切り替えてサービス開発を行うようになったのです。
「Auth0は、名前に心意気を感じるサービスだった」
サービス開発統括部がAuth0導入に踏み切ったのは、よりユーザー体験に密接に関わる部分に、組織をあげてリソースを注ぐためでした。外部サービスの導入で解決できることはコストをかけてクリアする――つまり「スピードや品質担保のための時間を、お金で買う」という考えです。
その中でパーソルキャリアがAuth0を選んだのは、大きく3つの理由があります。まず、外部サービスとの連携・併用が前提とされていること。次に、マルチデバイス対応ができること。そして、「開発コストがゼロ」からきているという「Auth0」の名前の由来に心意気を感じたこと、でした。
今後、開発と保守を全て社内で行っていくのであれば、十分なリソースを確保したうえで、細心の注意を払って運用していかなければなりません。しかしAuth0を導入すれば、開発者はストレスから開放され、より生産的な業務に注力できるようになります。名前の由来にもあるとおり、Auth0には「システム開発者の手間を少しでも軽くしよう」という心意気を感じるのです。
他にも、Auth0は、SAML(Security Assertion Markup Language)やJWT(JSON Web Token)、OIDC(OpenID Connect)など、toB向け・toC向け問わず、およそ30ものサービスと連携・併用が可能で、APIやSDKなどフレームワークごとのサンプルも充実している、マルチデバイス対応も大きな決め手になりました。
しかし、可用性という視点から考えると、Auth0にはまだ物足りないと感じる部分もあります。例えば、Auth0に何かしらのトラブルがありサービスが使えなくなってしまうと、パーソルキャリアが提供している一部のサービスにユーザはログインできなくなってしまいます。その結果として発生する損失は、数分のダウンでもかなり大きいもの。
現在、Auth0の可用性は「99.99%」とされています。サービスが機能しなくなってしまった時のリスクを考えると、大企業はこの数字では導入に踏み切れないケースもあります。
そして、長期的な利用になるとランニングコストが割高になる場合も。
ユーザー数やサポート内容に応じていくつかの料金プランが設定されているAuth0ですが、社内のセキュリティ基準から考えると、パーソルキャリアが可能な契約は、最もコストがかかる『ENTERPRISE』のみ。このプランでは、短期的には問題なくても、長期的な利用になると想定以上のコストがかかってしまう場合があります。
認証基盤にコストをかけられない場合は開発段階にAuth0を利用して、リリース以降、さらにサービスを発展させていきたい場合は他のサービスに切り替える、といった方法の検討も必要になる場合があります。
まとめ ——Auth0という選択
Auth0という選択について、以下のような見解をポイントにあげ、講演の締めくくりとします。
・ 人員やスキルなど、開発リソースが十分でない場合には検討の余地がある。
・ 実績で見れば、可用性については問題ない。
・ 今後も拡張性が求められるとなると、非常に心強いサービスである。
・ スピードが求められる開発であれば開発段階で導入し、サービスが軌道に乗り次第、継続利用を再考するという方法もある。
いかがでしたでしょうか。実際にイベント登壇中にもハッシュタグをつけて、オンラインでも盛り上がっていました!
パーソルさんがHidden Cost をどう考えているのか知りたいな。 #auth0day
— Hideki Ojima @ パラレルマーケター (@hide69oz) 2019年11月19日
SLAが物足りないのは分かる#auth0day
— ころちゃん (@corocn) 2019年11月19日
techtektでは、今後も社員の登壇したイベントや講演の模様をご紹介していきます。ご期待下さい!
(文・編集=ノオト)
