2019/10/02

ソーシャルログイン

詳しく解説!ソーシャルログイン導入によるメリットと注意点(後編)

「詳しく解説! ソーシャルログイン導入によるメリットと注意点(前編)」では、ソーシャルログインを導入することによるメリットを、ユーザ側の観点、とサービスを提供する企業側の観点で解説させていただきました。今回の後編では、実際にソーシャルログインを導入する際に注意すべき点を解説いたします。
今回は、ユーザ体験(UX)の観点と、運用の観点で整理して解説します。

UXの観点

UXの観点1: ソーシャルログインの利用目的

そもそもそのサービスにおいて、どうしてソーシャルログインを導入するのか、最終的にユーザにどのような体験をさせたいのか、によって、ソーシャルログインの利用方法などが変わってきます。
例えば、ソーシャルログインを提供するSNS/IDプロバイダの選定は、どうするのか。LINEのアカウント紐付けが重要なのか、多くの情報連携が可能なFacebookやYahoo! Japan IDを重視するのか。SNSログインで全てのサービスを利用できるようにするのか、それとも特定の(ポイント利用などの)サービス利用時にはパスワードによる再認証を強制するのか、等、様々な観点で決定していく必要があります。この利用目的が不明確であったり、途中でブレてしまうと、要件定義で迷走したり、開発工程で手戻りが発生する等、プロジェクトにネガティブなインパクトを与えてしまいます。

UXの観点2: 会員登録UIにおけるソーシャルログインの位置づけ

会員登録のUIのデザインは多々ありますが、方針としては大きく以下の3つになると思います。

1) ソーシャルログインによる会員登録を最大限推奨する

図1のように、会員登録画面の全面またはファーストビューにおいてSNSのボタンを表示し、ソーシャルログインを最大限推奨するUIです。

図1:ソーシャルログインを最大限推奨する会員登録UIの例

図1:ソーシャルログインを最大限推奨する会員登録UIの例

2) ソーシャルログイン登録とID, Password登録を同時に提示

ソーシャルログインでの登録と、メールアドレス+パスワードでの登録のいずれかをユーザが選択してもらうようなUXになります。(図2)

図2:ソーシャルログインか、メアドとPW設定かをユーザが選択するUIの例

図2:ソーシャルログインか、メアドとPW設定かをユーザが選択するUIの例

図2の例では、左側にSNSのボタンを配置し、相対的にはソーシャルログインを推奨しています。

3) メールアドレスとパスワードによる登録を必須とする。

このケースでは、会員登録時はあくまでメールアドレスとパスワードで会員登録をさせるというケースになります。会員登録のしやすさより、パスワードを必ず設定させることを重視しています。
ソーシャルログインについては、登録フォームで同時に設定できたり、会員登録後にいわゆるマイページでSNSアカウント紐付けができるようになっていたり、いくつかの方法があります。

これらのどの方針でUIをデザインするか、利用目的や提供したい顧客体験を前提に決める必要があります。

UXの観点3: SNS/IDプロバイダ依存ポリシーの設定

ソーシャルログインの実装方法/ツールによりますが、ソーシャルログイン利用時には、SNS/IDプロバイダの情報を信頼するというポリシーをとる事により、下記の2つのユーザ作業を省略することが可能です。

  • a) パスワード設定
  • b) メールアドレスの確認

前回の記事で解説したとおり、この2つを省略すると会員登録をかなり簡略化することができます。一方で、重要な作業(ECでの発注等)の際には、あらためてパスワードを入力させたい、等といった要件がある場合、パスワードが必須となります。これはサイトのサービスの仕様、要求事項を勘案して決める必要があります。

UXの観点4:複数SNS利用時の対応

あるユーザがFacebookで会員登録をします。その後、会員登録したことを忘れていて、今後はGoogleまたはメールアドレスで会員登録しようとします。この場合、メールアドレスをログインIDとしている場合、アカウントのバッティングが発覚します。この場合にエラーとして登録を中断するか、既存のIDと統合するのか、を決める必要があります。既存のアカウントに紐付ける処理がユーザにとっては利便性が高いと思われますが、実装は複雑になります。

UXの観点5:グローバル対応

グローバル企業の場合、国/地域によって最適なSNS/IDプロバイダを選定する必要があります。例えば、FacebookやGoogleは中国では利用できないため、ソーシャルログインとして提示しても殆ど意味をなさず、WeChatやWeibo等のIDでのソーシャルログインが必要となります。

UXについて、いろいろと注意すべき点を述べましたが、重要なのは、ソーシャルログイン提供の目的と、どんな顧客体験をユーザに提供したいかが判断のベースになります。

運用の観点

次に、運用面について解説します。

運用の観点1: ソーシャルログインのアプリ管理

ソーシャルログインを行う為には、一般的にそのSNSに企業としてのアカウントがあり、そのアカウントに紐付く「アプリ」を定義する必要があります。ソーシャルログイン運用条のトラブルで意外に多いのが、この「アカウント」が時間と共に誰が管理しているか分からなくなってしまい、SNSにログインできない状態になることです。
具体的に困るケースとして、SNS側でソーシャルログインの仕様のアップデートがあり、その対応のために、SNS側の管理画面にログインして設定をしないといけないケースがあります。SNSにログイン出来ない場合、この設定変更ができないため、ソーシャルログインも機能しなくなってしまうということが考えられます。

運用の観点2:セキュリティ対応

ソーシャルログインの提供がセキュリティホールとならないために、大きく2つの観点で注意が必要です。

まず、ソーシャルログインの実装方法について。ソーシャルログイン時のシーケンスについては、一般手的なプロトコル(OAuth, OpenID Connect等)が利用されますが、SNS/IDプロバイダが指定するシーケンスに基づいて処理を行い、セキュリティホールを生まないように実装されていることが重要です。独自にシーケンスを拡張したり、利便性を高めるためのAPIを用意したりするなどの対応は、セキュリティリスクが増加していなかを設計時、テスト時の入念な対応が必要となります。ソーシャルログイン機能のプロバイダを選択する際には、導入実績を確認してメジャーなブランドのWebサイトで導入されているかどうかが1つの指標になります。これらのWebサイトは常に不正ログインの攻撃の対象となっている可能性が高く、それらのサイトで運用されているいうことはセキュリティ対応の具体的な実績といえます。
2つめは、認証機能の設定です。会員登録/ログインをSNSのIDによって可能にする一方で、SNSのIDが乗っ取られた場合の対応を想定しておく必要があります。これに対処する方法として、リスクベース認証という機能があります。
リスクベース認証によって、例えばSNSのIDとパスワードが何らかの理由で流出してしまい、悪意のある第三者がログインしようとしても、海外から、または、初めてのデバイスでのログインであることを検知して、二要素認証シーケンスを発行し、あらかじめ登録した電話番号のスマホをもっていないとログインできない、とすることが可能です。

運用の観点3:APIキャッチアップ

SNS/IDプロバイダは常にアップデートを繰り返しています。ソーシャルログインに関する仕様が更新される場合、これに追随する必要があります。これについても、ソーシャルログインサービスのプロバイダの導入・稼働実績などが参考になります。

前回ご紹介したとおり、ソーシャルログインはユーザや企業に様々なメリットをもたらしますが、導入する際には上記の注意点について、どのように対応するかを配慮することをお勧めします。

弊社がお勧めするSAP Customer Data Cloud from GIGYAは、ソーシャルログインのセキュリティリスクを低減するリスクベース認証に対応しています。またグローバルメジャーブランドでの運用実績がある認証基盤です。さらにソーシャルログインだけではなく、ユーザの利便性を高めてオンラインサービスの価値を高めるための様々な機能があります。

資料ダウンロード

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「カスタマー・アイデンティティ・マネジメント(CIM)」がそれらをどのように解決するかについて解説します。