グループ全体のセキュリティ強化

2019 年秋、セブン＆アイはグループ全体のセキュリティを強化するプロジェクトを開始。グループの「情報セキュリティ基本方針」の改訂に加えて各事業会社のセキュリティ環境の構築支援や統制評価等を実施する「セキュリティ統括室」の設置、そして既設の「情報管理委員会」によるグループ全体のセキュリティ強化を推進する中、当時すでに約 1,500 万人の会員数を有していた ７ｉＤ についてもセキュリティ水準の向上が求められるようになりました。

ECサイトの分割に伴う会員基盤の刷新

同時期にまた、より利便性の高いサービスを提供するため、グループ横断型の統合通販サイト「omni7（オムニ 7）」を見直すことになりました。具体的には、オムニ 7 に含まれていた 6 つの EC サイトの分割です。オムニ 7 のサブドメインとして運用されていた EC サイトをそれぞれのグループ各社が運営する方式に転換することにより、メンテナンス性の向上、リリースサイクルの加速を企図していました。

それに伴い、７ｉＤ 会員基盤の刷新プロジェクトが立ち上がりました。 もともとオムニ 7 の会員 ID サービスとしてスタートした ７ｉＤ 会員基盤は、当時、オムニ 7 システムの一部として運用されていましたが、オムニ 7 の終了に伴い独立したサービスとして新たに構築することになりました。

内製化と自社運用の確立

セキュリティ強化と会員基盤刷新にあたっては、システムの内製化・自社運用が必要条件となりました。

システム開発のアウトソーシングによる一番の課題は、全体像の把握が難しくなることです。株式会社セブン＆アイ・ホールディングス グループ DX 本部 グループデジタルシステム Unit シニアオフィサーの渡邊博紀氏は、以下のように語ります。

「協力会社頼りのシステム構築になってしまっては、リスク検知能力の低下や有識者によるレビュー・是正が機能しなくなる懸念があります。セキュリティ強度を高めるためにも内製化は必要でした。」

運用について、セブン＆アイでは、新たな価値創造を実現する「攻め」と業務効率化を推進する「守り」の両面で IT 活用を強化していくことを目的にハイブリッドクラウド形式による「共通インフラ基盤」を構築していました。グループとして高い品質を維持しながら７ｉＤ 会員基盤を効率的に運用していくにあたり、「守り」の要であるインフラに関わるセキュリティや構築運用の専門性などを集約していくべきであるとセブン＆アイは考えました。

既存ユーザー認証を踏襲しつつ OIDC を実装

７ｉＤ のセキュリティ強化対策は、まず現状の SSO 機能の検証から始まりました。その結果、当時の ７ｉＤ の SSO が、独自仕様においてさまざまな問題を引き起こす可能性があることが判明しました。一番大きな課題は、システム間の通信手順・順序（シーケンス）にかかるセキュリティが担保できているかどうかが独自仕様のため判断できなかったことでした。加えて、独自仕様の理解・実装にかかるコストが、事業会社がサービス構築する際の障壁となることも想定されました。

その結果を受けて、７ｉＤ の SSO 機能には業界標準仕様である OIDC の採用を決定。ここで前提条件となったのは、既存のユーザー認証機能の活用です。SSO については OIDC という標準仕様に準拠する一方、旧会員基盤の構成上の理由から、ログイン画面を含めたユーザー認証のプロセスは現状を踏襲する必要がありました。

会員基盤の刷新にあたっては、独自仕様システム（旧基盤）を維持しつつ OIDC システム（新基盤）を立ち上げるという、新旧の会員基盤の同時並行稼働が求められました。これは、当時の通販サイトの構成によるものです。セブン＆アイグループには、オムニ 7 とは別の通販サイトが複数存在していました。これら「非オムニ 7 サイト」の会員管理が、オムニ 7 の会員基盤と連携していたのです。

オムニ 7 の分割に際し、その中に入っていたサイトは OpenID Connect RP（リライングパーティ）として機能させる一方、非オムニ 7 サイトについては、既存の認証機能をそのまま維持する必要がありました。渡邊氏は当時の状況を振り返ります。

「７ｉＤ 会員基盤を切り出すときに本来はすべて OIDC に統一できればよかったのですが、そうするとコストとスケジュールが納まらなくなってしまう懸念がありました。標準仕様に対応する一方、既存のサービスに提供する部分を自分たちで作り込こめるかどうかもポイントでした。」

高いセキュリティを担保するハイブリッドクラウド環境への適用

セブン＆アイグループのハイブリッドクラウドは、プライベートクラウドとパブリッククラウドによって構成されています。７ｉＤ システムは、その機密性から自社データセンターに構築されたプライベートクラウドに配置されることになりました。

プライベートクラウドには非常に高いセキュリティ対策が施されています。また、その実現にあたり、データベースやアプリケーションサーバーなどには高いセキュリティ基準を満たすソフトウェアのみが採用されています。７ｉＤ 会員基盤の構築・運用においても、そのような動作環境に対応できる構成が必須でした。

自由度の高いアーキテクチャ

アーキテクチャ検討に際しては、パッケージソフトウェアや IDaaS (Identity as a Service) の導入も検討。しかし、会員数 5,000 万人を目指す規模での採用は難しく、なにより内製化や既存認証並走の方針に合わないため、早々に選択肢から外れました。

最終的にセブン＆アイは Authlete を採用。大きな決め手となったのは、Authlete がもたらす高い柔軟性です。Authlete は OAuth / OIDC のプロトコル処理とトークン管理に特化し、かつそれらの機能を API として提供しています。そのアーキテクチャが、ユーザー認証や会員管理などの既存システムを活かししつつ内製化を行うという ７ｉＤ 再構築の方針に合致しました。

最新の標準仕様への迅速な準拠

Authlete が高いレベルで OIDC に準拠していることも採用理由のひとつでした。システム内製化はプロジェクトの前提要件である一方、競争優位性につながらない機能を自社開発することは望ましくありません。その際たるものが、OAuth / OIDC のプロトコル処理とトークン管理です。しかし一方で、たとえ自社ビジネスにとってのコアではない機能であっても、正しく実装し、OAuth / OIDC 仕様のアップデートに合わせて更新し続けないとセキュリティ上の大きな問題になりかねません。

そのような背景から、セブン＆アイは、Authlete が広範な OIDC 仕様の多くを実装しており、かつ最新仕様へのキャッチアップが早い点に着目。その実績から Authlete を ７ｉＤ に組み込むことにより、実装の充足と仕様更新への追従に要する負担を外部化できると考えました。渡邊氏は次のように語っています。

「既存のサービスに提供する部分は自分たちで作り込みながら、標準仕様への準拠を実現するためのソリューションは、Authleteが最適と考えました。」

オンプレミス環境への対応

Authlete の提供形態は、クラウド版（Authlete がクラウド上に管理・運用する API を利用）とオンプレミス版（Authlete ソフトウェアを自社環境に導入・運用）の 2 つがあります。７ｉＤ システムは自社データセンターに配置されることになっていたため、オンプレミス版という選択肢の存在は必須の要件でした。さらに Authlete が、非常に高いセキュリティ対策が施されたセブン＆アイの運用環境に対応できた点も評価されました。

OIDC ベースのセキュアな SSO 環境の実現

会員基盤の再構築は複数のフェーズに分けて行われました。第一段階は会員基盤の分離です。2022 年初頭にこれまでオムニ 7 に含まれていた ７ｉＤ 会員基盤を切り出し、新会員基盤として独立させました。

次に 2022 年春、新会員基盤に OIDC 認証機能を追加。そして同年夏、オムニ 7 を 6 つの EC サイトに分割。それらの EC サイトは OIDC によって新会員基盤と連携するよう変更され、すべての EC サイトの移行完了後、オムニ 7 はクローズされました。

続いて 2023 年夏、モバイルアプリ向けにも OIDC 機能を提供開始。これにより、各社 EC サイトとアプリとの間での SSO も実現できるようになりました。

経営トップも認めたビジネス効果

モバイルアプリを含めた SSO の効果は提供開始後、すぐに現れました。とくに威力を発揮したのは、アプリ間の SSO です。

セブン-イレブン・ジャパンが提供する「セブン-イレブンアプリ」は、７ｉＤ 会員のうち 2,400 万人を超えるユーザーが利用するサービスです。このセブン-イレブンアプリから他のアプリへとユーザー認証を再度行わずにスムーズに遷移できるようになったことは、新規アプリの会員獲得に大きく寄与しています。

実際、2023 年 9 月に「7NOW (セブンナウ)」（セブン-イレブン商品を簡単に宅配できるデリバリーサービス）の公式アプリを立ち上げた際には、「セブン-イレブンアプリ」からの流入によって、利用者が一気に急増しました。

SSO、そしてそれをセキュアに実現する OIDC というキーワードは、セブン＆アイの経営層にも浸透していました。

「経営トップが、全社会議の場で SSO や OIDC という言葉をそのまま使って送客効果を全従業員に伝えていました。身が引き締まるとともに期待の大きさを感じました。」（渡邊氏）

順次投入するサービスやアプリを SSO・OIDC に対応させることは、グループ全体での原則となっています。

市場投入時間の短縮とベンダーマネージメントの強化

基盤に Authlete を活用し、OIDC に完全準拠したことは、セキュリティ強化や利便性向上に加え、副次的な効果を生み出しました。

第一に、独自仕様からの脱却による「共通言語」の確立です。 ７ｉＤ と連携するサービスは多岐に渡り、その数は今後も増加し続ける見込みです。そのような状況において ７ｉＤ システムが独自の SSO 仕様を定義・実装していた場合、各サービスの開発者に独自仕様を理解してもらうことは多大な労力を要します。

OIDC という業界標準の仕様を採用し、かつ Authlete によってその準拠を徹底したことにより、サービス連携にかかる時間や作業量が減少。このことが ７ｉＤ との SSO 連携を加速し、Time-to-Market （市場投入までの時間）短縮の原動力となったことは言うまでもありません。

さらに、 OIDC の採用が ７ｉＤ 会員基盤自体の開発体制の統制力強化にも寄与しています。 一般的に大規模なシステム開発のための体制は必然的に多層化・分業化されることになり、ともすれば、システムの細かいセキュリティ実装についてはベンダー任せのブラックボックスになってしまう懸念があります。ユーザー数 5,000 万人を目指す非常に大規模な会員基盤を運用するセブン＆アイも例外ではありません。この課題を払拭するために、セブン＆アイでは社員自身が OIDC を習得し、ベンダーに対して直接「どのような OIDC システムを作るか」を指示できる体制を整備。パートナーベンダーと協力して開発・運用を進めることで非常に高いレベルでの内製化を実現しました。

Authlete の安定動作がビジネス貢献の源泉に

このような、さまざまな効果を生み出している源となっているのが、運用にかかる Authlete の安定性です。Authlete を用いて構築した OIDC 基盤はリリース後、大きなトラブルを発生することなく順調な動作が担保できています。

「認証基盤にとって、動作の安定性は絶対です。OIDC 基盤の構築にあたっては、Authlete に起因する不具合は発生しませんでした。Authlete を使うことで、よりスムーズに進める事ができました。」（渡邊氏）

新たな OAuth / OIDC 仕様への対応を Authlete が代替することにより信頼できる実装が迅速に利用可能になり、セブン＆アイはビジネスに必要な機能の開発に注力できるようになりました。

セブン＆アイにおける ７ｉＤ の役割は、今後さらに高まっていきます。グループ内における金融サービスのシナジーやパートナー企業との密な連携など、お客さまの ID を軸にグループ内外のさまざまなサービスが相互に協調してベネフィットを高めていく世界の実現に ７ｉＤ は欠かせないものとなっています。Authlete への期待を渡邊氏は次のように表明しています。

「金融をはじめとする小売以外の業態にも、ID 連携の輪を広げていくユースケースを想定しています。その世界観を見据えて OIDC 標準への準拠は崩さないようにしています。その延長線上にもし今後 FAPI のような仕様への対応が必要になったとしても、Authlete であれば柔軟に対応できると思えると安心です。」

Authleteは、信頼できる OIDC の実装と新たな仕様への迅速な対応、また高品質なソフトウェアの提供を通じて今後も ７ｉＤ の進化を支援していきます。