Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メルカリへのFIDO導入の経緯とこれからの展望、課題から得た学び / How FIDO was...

mercari
PRO
October 14, 2023
Technology
0
130

メルカリへのFIDO導入の経緯とこれからの展望、課題から得た学び / How FIDO was Implemented in Mercari, What the Future Holds, and the Lessons We’ve Learned From the Challenges We’ve Faced

メルカリでは、セキュリティ要件の高いメルコインというサービスを最初のターゲットとしてFIDO、パスキーを導入しました。本セッションでは、FIDO導入に関する概要を説明し、また、実際に実装したエンジニアが直面した課題や感想をメインディスカッションとして取り上げます。FIDOの基礎知識があるとより聞きやすいセッションです。

We implemented FIDO and passkeys within Mercari for the first time with Mercoin, a service with high security requirements. In this session, we will give an overview of FIDO implementation. In our main discussion, we’ll also cover the issues that the engineers who actually worked on implementation confronted and examine their feedback. Participants who have basic knowledge of FIDO can expect to get more out of this session.

------
Merpay & Mercoin Tech Fest 2023は3日間のオンライン技術カンファレンスです。
IT企業で働くソフトウェアエンジニアおよびメルペイ・メルコインの技術スタックに興味がある方々を対象に2023年8月22日(火)、23日(水)、24日(木)の3日間、開催します。 Merpay & Mercoin Tech Fest は事業との関わりから技術への興味を深め、プロダクトやサービスを支えるエンジニアリングを知ることができるお祭りです。

今年のテーマは「Unleash Fintech」。 メルペイ・メルコインのこれまでの技術的な取り組みはもちろん、メルカリグループのFintech事業における新たな挑戦をお伝えします。 セッションでは事業を支える組織・技術・課題などへの試行錯誤やアプローチなど多面的にご紹介予定です。

メルペイ・メルコインが今後どのようにUnleash(解放)していくのか、ぜひ見に来てください。

■イベント関連情報
- 公式ウェブサイト:https://events.merpay.com/techfest-2023/
- 申し込みページ:https://mercari.connpass.com/event/286670/
- Twitterハッシュタグ: #MerpayMercoinTechFest
■リンク集
- メルカリ・メルペイイベント一覧:https://mercari.connpass.com/
- メルカリキャリアサイト:https://careers.mercari.com/
- メルカリエンジニアリングブログ:https://engineering.mercari.com/blog/
- メルカリエンジニア向けTwitterアカウント:https://twitter.com/mercaridevjp
- 株式会社メルペイ:https://jp.merpay.com/

mercari
PRO

October 14, 2023
Tweet

More Decks by mercari

See All by mercari
[DevDojo] Problem Solving - 2024
mercari
PRO
1
270
[DevDojo] Ship Code Faster - 2024
mercari
PRO
1
160
[DevDojo] Mercari Design Doc - 2024
mercari
PRO
0
210
[DevDojo] Mercari Quality Assurance - 2024
mercari
PRO
1
170
[DevDojo] Merpay Quality Assurance - 2024 (日本語)
mercari
PRO
1
150
[DevDojo] Merpay Quality Assurance - 2024
mercari
PRO
0
99
[DevDojo] Basic Machine Learning - 2024
mercari
PRO
1
240
[DevDojo] Mercari Mobile Development - 2024
mercari
PRO
0
120
[DevDojo] Mercari Incident Management - 2024
mercari
PRO
0
170

Other Decks in Technology

See All in Technology
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
TypeScript、上達の瞬間
sadnessojisan
46
13k
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
190
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
[FOSS4G 2019 Niigata] AIによる効率的危険斜面抽出システムの開発について
nssv
0
310

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
860
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Building Your Own Lightsaber
phodgson
103
6.1k
GraphQLとの向き合い方2022年版
quramy
43
13k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Designing the Hi-DPI Web
ddemaree
280
34k
The Cult of Friendly URLs
andyhume
78
6k
What's in a price? How to price your products and services
michaelherold
243
12k
Facilitating Awesome Meetings
lara
50
6.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k

Transcript

  1. Session Title メルカリへのFIDO導入の経緯と これからの展望、課題から得た学び daichiro / hidey / koi /

    kokukuma

  2. ご質問をお待ちしております! 本セッションはリアルタイムに実施しています。 YouTubeのチャットに投稿するか、 X(Twitter)のハッシュタグ #MerpayMercoinTechFest を ご利用ください。

  3. @daichiro 2012年より趣味でiOS開発を始め、Twitterクライア ントをリリース。その後ニュースキュレーションアプリ や生放送アプリの開発に従事。2019年にメルペイ に入社。dアカウント連携機能を担当し、認証認可の 世界に入る。現在はメルコインのメンバーとして認証 を含めたアカウント作成機能を主に担当している。 株式会社メルコイン Mercoin Client

    MobileApp @hidey 2011年からAndroidアプリ開発を始め、SNSアプリ やゲームなどの開発を経験。その後2018年10月に AndroidEngineerとしてメルペイに入社。DroidKaigi などカンファレンスの運営にも携わっている。 株式会社メルペイ Merpay Android Team

  4. @kokukuma IDP Team所属。2019年頃から認証・認可の楽しさ に目覚める。日々RFCを漁りつつ、メルカリグルー プのID関連の話題に首を突っ込んでいる。今後も暫 くこの方向でやっていく予定。 株式会社メルカリ Marketplace IDP Team

    @koi IDP Team所属。2022年のメルカリグループへの転 職を機にエンジニアからProduct Managerに転身。 現在はFIDO認証の導入をメインにIDPエンジニアと プラットフォームの成長に取り組んでいる。 株式会社メルカリ Marketplace IDP Team

  5. 本セッションの流れ(30min) 【説明】メルカリのFIDO/パスキーについて (5min) 02 ディスカッション (20min) 03 まとめ (2min) 04

    01 導入 (3min)

  6. メルカリの FIDO/パスキーについて

  7. FIDOサポートの状況 • きっかけ ◦ 新サービス「メルコイン」の立ち上げ • 現在のFIDOサポートサービス(2023年7月時点) ◦ メルコインサービスの利用 ◦

    電話番号の変更 ◦ メール・パスワードの変更 ◦ あんしん支払い設定

  8. FIDOサポートの状況 • アプリ ◦ iOS 14~ ※Synced passkeyはiOS 16~ ◦

    Android 7~ ※Synced passkeyはAndroid 9~ • Web ◦ Planned

  9. リリース後の実績 認証成功率 認証成功までの 所要時間 SMS OTP 67.7% 17 s FIDO

    82.5% 4.4 s FIDO Credentialの登録者数: 104万ユーザー

  10. ユーザーコミュニケーションの現状 • FIDO Credentialの設定ページ ◦ “生体認証”画面 • FIDO Credentialの呼称 ◦

    device-bound passkey → 生体認証 ◦ synced passkey → パスキー

  11. 状況の比較 一般的な状況 今のMercariの状況 FIDO導入箇所 ログインに導入 再認証・StepUp認証 に導入 認証器への アクセス方法 WebAuthn

    API Native API FIDO利用は必須? オプショナル メルコイン利用に対し ては必須 https://www.w3.org/TR/webauthn-2/ https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication/supporting_passkeys/ https://developers.google.com/identity/fido/android/native-apps

  12. 今後の展望 • 想定するアクション ◦ SMS認証利用箇所への導入の拡大 ◦ ログインにFIDOを導入(Web, App) ◦ 登録率、利用率の拡大

    • どのような世界を目指しているか ◦ セキュリティを担保することを前提に利便性の良い認証方法を 提供し、安心安全にサービスを利用できる世界

  13. ディスカッション

  14. トピック • 実装で困ったところ • 分かっていれば避けられたのに話 • 技術的に面白かった話

  15. 認証の流れ アプリ FIDO Server Authenticator ② 署名要求 ③ 認証要求 ④

    Local認証 ⑥ 署名送信 ⑦ 署名検証 ※生体認証や画面 ロックなど メルコイン メルコイン ⑤ 署名生成 ⑧ 認証結果 ⑧ アクセスOK ① 何らかアクセス 端末 ユーザー

  16. まとめ

  17. まとめ • iOS15以下をサポートする場合は独自実装がハード • FIDOを実際にプロダクトにどう絡めるかを考えるのは楽しい • 見え方としては地味でも、多くのユーザーに使ってもらう機能のた めやりがいがある

  18. None