🗝️
Qiita Summit 〜SaaSを活用したセキュリティと顧客体験の向上〜 レポート
はじめに
2025年5月29日、「Qiita Summit 〜SaaSを活用したセキュリティと顧客体験の向上〜」がオンラインで開催されました。本イベントは、エンジニアコミュニティ「Qiita」を運営するキータ株式会社と、クラウドコミュニケーションプラットフォームを展開するTwilio Japan合同会社、アイデンティティ管理プラットフォームのOkta Japan株式会社(Auth0事業)が共同で主催するものです。
「セキュリティとUXは本当にトレードオフなのか?」という疑問に対して、Auth0 が提供するアイデンティティ認証基盤と、Twilio が提供するSMS認証を組み合わせることで、「強固な安全性」かつ「快適なログイン体験」を同時に実現する方法がある、というのが本イベントの主旨でした。
本レポートでは、当日行われた両社のセッションとQ&Aのポイントを整理しつつ、「SaaSが作りだす新しい常識」をどのように自社のサービスに活用できるのかを深掘りしていきます。
セッション1:Auth0のアイデンティティ認証基盤(Okta Japan / 池原 大然 氏)
セキュリティとUXは本当にトレードオフなのか
最初のセッションでは、Okta Japan株式会社(Auth0事業) の池原氏が、アイデンティティ認証基盤「Auth0」の紹介とともに、認証における最新の脅威動向や防御策を解説しました。
Auth0は開発者向けのSaaSとして提供される「認証基盤」。
ソーシャルログイン、MFA(多要素認証)、パスワードレス認証など、多様な認証方法を簡単に導入できる。
不正アクセスを防ぎつつ、ユーザーの利便性(UX)を下げない工夫が盛り込まれており、セキュリティとUXの両立が可能。
実際のデモと脅威事例
池原氏は、Auth0が提供するダッシュボード画面を操作しながら「MFAをオンにする様子」をデモンストレーション。SMSや音声通話など、多要素認証の方法を簡単に設定・適用できる点が注目されました。
また、Auth0利用顧客のログデータを基にしたレポートによれば、不正登録やクレデンシャルスタッフィング(盗まれたパスワードの再利用)といった攻撃が1日に数千万件規模で観測される日もあるとのこと。 こうした攻撃はユーザー体験を壊すだけでなく、企業にとって大きな損失になり得るが、Auth0では
ブルートフォース攻撃対策
ボット検知
リスクベース認証
パスワード漏えいチェック
など、多面的な防御機能を備えており、企業サービスに合わせたセキュリティポリシーを柔軟に設定できると強調されました。
セッション2:TwilioのSMS認証・通信サービス(Twilio Japan / 中村 光晴 氏)
SMSがまだまだアツい理由
続いて、Twilio Japan合同会社の中村氏が登壇。クラウドAPIを介してSMSや音声通話を扱う「プログラマブルSMS」「Verify」などのサービスを紹介しました。
SMSは「開封率98%」「3分以内に90%が読まれる」という特長から、トランザクションや認証用途で非常に有効。
Twilioは世界中のキャリアと多数のルートを持つ「スーパー・ネットワーク」を構築し、高い到達率とスケールを実現。
大量配信・クリックトラッキング・短縮URL・配信制限など、通知に必要な付加価値機能をAPIから簡単に利用できる。
国内SMSと005共通番号
特に日本向けには、国内SMSルートや「005〜」で始まる**共通番号(ショートコード)**が使える点を強みとして解説。 005番号はキャリアをまたいで同一番号を使えるほか、ユーザーからの返信SMSに対して費用が発生しない「フリーダイヤルのメッセージ版」として動作するため、エンドユーザーの安心感が高いといいます。
実装とユースケース
SMSによるワンタイムパスワード(OTP)をAuth0などの認証基盤に組み込むことで、セキュリティと利便性を両立する事例が多く見られるとのこと。 しかし攻撃手法も巧妙化しており、SMSパンピングなど悪用パターンを防ぐための設定(ジオパーミッションや配信ログ監視)も重要と強調されました。
Q&A
Q1: 攻撃の可視化はできる?
「Auth0が不正アクセスなどを防いでいるとして、自社がどのくらい攻撃されているか可視化できますか?」という質問に対して、
Okta(Auth0)
「ダッシュボード上で
Security Center(セキュリティセンター)を確認できる。攻撃の失敗ログや警告情報を時系列で追えるため、どの程度の脅威がブロックされたか把握可能。」
との回答がありました。ログ期間はプランにより異なるが30日保持が基本で、さらにSIEMなど外部連携で長期蓄積も可能とのこと。
Q2: パスキーだけで認証を完結させるのは安全?
視聴者から「パスキーが盗まれたらどうする?」「パスキーだけが最善?」といった質問がありました。
Okta(Auth0)
「パスキーはID/パスワードよりは安全度が高いが、そもそもスマホを乗っ取られるなどデバイス自体を失うと危険はある。
ただしパスキーはフィッシング耐性やクレデンシャル再利用防止など、総合的に見れば安全向上に大きく寄与する。
ユーザーのリテラシーや端末管理も重要なので、エコシステムで考える必要がある。」
Twilio
「パスキーを使う場合でも、まだ多くのユーザーが概念を理解しきれていない場合もあるので、SMSなど従来手段を併用するケースが多い。
一足飛びにパスキーのみにするのではなく、従来の方法を含めたマルチ手段を用意し、緩やかに移行させる場面が多い。」
全体を踏まえた感想 —— “新しい常識”をどう取り入れるか
今回のイベントで印象的だったのは、「セキュリティとUXを両立するには、認証基盤+コミュニケーション基盤を組み合わせる」のが有効という具体例が明確に示されたことです。
Auth0(Okta Japan)のセキュアな認証機能で、不正アクセスやボット、パスワード漏えいに対する多面的防御を行いつつ、TwilioのSMS認証による「高確率・高速度の到達」を実現すれば、ユーザーはストレスなく、かつ安全にログインできる。 このように、複数のSaaSを組み合わせる設計こそが、「UXとセキュリティはトレードオフではない」ことを裏付ける好事例だと感じました。
また、Q&Aでは「攻撃可視化」「パスキーの有効性」など、実践的な疑問が飛び交い、双方から「すべてを万能にできる技術はないが、選択肢や運用ノウハウを上手に組み合わせることが大切」といったメッセージが繰り返されました。 セキュリティを外部サービスに委譲することへの不安もあるかもしれませんが、自社で防御を一から構築するよりも、SaaSの専門知識や防御力を生かした方が迅速かつ堅牢という事例が増えているのは間違いありません。
企業がセキュリティとUXの両面をハイレベルに維持していくには「内製か外部委託か」という単純な区分けではなく、「どの機能をSaaSに任せ、どこを自社で独自に作りこむのか」を見極めることが鍵になりそうです。 本イベントを通じて、多くの参加者が「自社プロダクトでの認証フローや通信基盤を改めて見直してみよう」と感じたのではないでしょうか。
日々増大するセキュリティリスクに対し、より柔軟で標準化された「SaaS連携」が、新たな常識になりつつあるといえるでしょう。
Yardでは、AI・テック領域に特化したスポットコンサル サービスを提供しています。
興味がある方は、初回の無料スポットコンサルをお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
Read next
Loading recommendations...