メルカリへのFIDO導入の経緯とこれからの展望、課題から得た学び / How FIDO was Implemented in Mercari, What the Future Holds, and the Lessons We’ve Learned From the Challenges We’ve Faced

Slide 1

Slide 1 text

Session Title メルカリへのFIDO導入の経緯とこれからの展望、課題から得た学び daichiro / hidey / koi / kokukuma

Slide 2

Slide 2 text

ご質問をお待ちしております！本セッションはリアルタイムに実施しています。 YouTubeのチャットに投稿するか、 X（Twitter）のハッシュタグ #MerpayMercoinTechFest をご利用ください。

Slide 3

Slide 3 text

@daichiro 2012年より趣味でiOS開発を始め、Twitterクライアントをリリース。その後ニュースキュレーションアプリや生放送アプリの開発に従事。2019年にメルペイに入社。dアカウント連携機能を担当し、認証認可の世界に入る。現在はメルコインのメンバーとして認証を含めたアカウント作成機能を主に担当している。株式会社メルコイン Mercoin Client MobileApp @hidey 2011年からAndroidアプリ開発を始め、SNSアプリやゲームなどの開発を経験。その後2018年10月に AndroidEngineerとしてメルペイに入社。DroidKaigi などカンファレンスの運営にも携わっている。株式会社メルペイ Merpay Android Team

Slide 4

Slide 4 text

@kokukuma IDP Team所属。2019年頃から認証・認可の楽しさに目覚める。日々RFCを漁りつつ、メルカリグループのID関連の話題に首を突っ込んでいる。今後も暫くこの方向でやっていく予定。株式会社メルカリ Marketplace IDP Team @koi IDP Team所属。2022年のメルカリグループへの転職を機にエンジニアからProduct Managerに転身。現在はFIDO認証の導入をメインにIDPエンジニアとプラットフォームの成長に取り組んでいる。株式会社メルカリ Marketplace IDP Team

Slide 5

Slide 5 text

本セッションの流れ(30min) 【説明】メルカリのFIDO/パスキーについて (5min) 02 ディスカッション (20min) 03 まとめ (2min) 04 01 導入 (3min)

Slide 6

Slide 6 text

メルカリの FIDO/パスキーについて

Slide 7

Slide 7 text

FIDOサポートの状況 ● きっかけ ○ 新サービス「メルコイン」の立ち上げ ● 現在のFIDOサポートサービス（2023年7月時点） ○ メルコインサービスの利用 ○ 電話番号の変更 ○ メール・パスワードの変更 ○ あんしん支払い設定

Slide 8

Slide 8 text

FIDOサポートの状況 ● アプリ ○ iOS 14~ ※Synced passkeyはiOS 16~ ○ Android 7~ ※Synced passkeyはAndroid 9~ ● Web ○ Planned

Slide 9

Slide 9 text

リリース後の実績認証成功率認証成功までの所要時間 SMS OTP 67.7% 17 s FIDO 82.5% 4.4 s FIDO Credentialの登録者数: 104万ユーザー

Slide 10

Slide 10 text

ユーザーコミュニケーションの現状 ● FIDO Credentialの設定ページ ○ “生体認証”画面 ● FIDO Credentialの呼称 ○ device-bound passkey → 生体認証 ○ synced passkey → パスキー

Slide 11

Slide 11 text

状況の比較一般的な状況今のMercariの状況 FIDO導入箇所ログインに導入再認証・StepUp認証に導入認証器へのアクセス方法 WebAuthn API Native API FIDO利用は必須？オプショナルメルコイン利用に対しては必須 https://www.w3.org/TR/webauthn-2/ https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication/supporting_passkeys/ https://developers.google.com/identity/fido/android/native-apps

Slide 12

Slide 12 text

今後の展望 ● 想定するアクション ○ SMS認証利用箇所への導入の拡大 ○ ログインにFIDOを導入（Web, App） ○ 登録率、利用率の拡大 ● どのような世界を目指しているか ○ セキュリティを担保することを前提に利便性の良い認証方法を提供し、安心安全にサービスを利用できる世界

Slide 13

Slide 13 text

ディスカッション

Slide 14

Slide 14 text

トピック ● 実装で困ったところ ● 分かっていれば避けられたのに話 ● 技術的に面白かった話

Slide 15

Slide 15 text

認証の流れアプリ FIDO Server Authenticator ② 署名要求 ③ 認証要求 ④ Local認証 ⑥ 署名送信 ⑦ 署名検証 ※生体認証や画面ロックなどメルコインメルコイン ⑤ 署名生成 ⑧ 認証結果 ⑧ アクセスOK ① 何らかアクセス端末ユーザー

Slide 16

Slide 16 text

まとめ

Slide 17

Slide 17 text

まとめ ● iOS15以下をサポートする場合は独自実装がハード ● FIDOを実際にプロダクトにどう絡めるかを考えるのは楽しい ● 見え方としては地味でも、多くのユーザーに使ってもらう機能のためやりがいがある

Slide 18

Slide 18 text

No content