FIDO APAC Summit 2024から、Googleも注目するTikTokのセッションを紹介

FIDO APAC Summit 2024から、ショートビデオのSNSとして1億人以上のユーザーが利用するTikTokのセッションを紹介する。タイトルは「From Passwords to Passkeys: The TikTok Passkey Journey」というもので、TikTokのエンジニアリングマネージャーのYan Cao氏とテクニカルプログラムマネージャーのXK（Sean）Liu氏の2名によって行われた。

セッションを行うTikTokのエンジニア

最初にパスキー導入の効果を説明。ログインの成功率が97％に達し、処理にかかる時間も17倍高速になったと説明した。すでに1億人のユーザーを抱えるTikTokにとってみれば大きな成功と言える。同時にSMSを使ったログインも2％という微少な数値だが削減したという。特にパスキーによるログインを経験したユーザーは他の方法に変更することがないため、認証に使われるSMSが減ることでコスト削減の効果があったということも説明された。

パスキー導入の効果を解説

続けてパスキーを使うユーザーの増加についても解説を行った。2023年6月から順調に増加していることがわかる。2024年8月の段階で1億人を超えるユーザーがパスキーの認証を使っているという。

TikTokのパスキーユーザーの増加

さらに続けて、パスキーに移行した背景を説明した。それによると、パスワードを使った認証では脆弱性を排除できなかったこと、ユーザーにとって使いやすい選択肢であったこと、そしてパスキーに特化したチームが結成されたことなどを挙げた。

パスキー移行の背景を解説。パスキーチームが存在したことが挙げられている

またパスキーへの移行が成功した理由として、スマートフォンアプリケーションのプロダクトチームがパスキーによる認証を最優先でユーザーに提示して使わせるという判断を下したことも大きな要因だという。

TikTokの画面を使って説明。この画面で一番上にあるのがパスキーのログインだ

このスライドではパスキーによるログインが選択肢の最も上に設置されていることを説明。画面上では「Use phone / email / usernameとなっているところに注目だ。ここではpasskeyという単語は使われておらず、ユーザーが今使っているスマートフォンを使うことが説明されている。パスワードという単語が見えないこともポイントだろう。パスワードで何度もトラブルに遭遇したユーザーにとっては、パスワードがなくても良いという選択肢は魅力的に映るのだろう。その他の選択肢として、Facebook、Apple ID、そしてGoogleのIDを使ってのログインが用意されているが、これらの選択肢よりも一番上の方法がはるかにユニバーサルな選択肢として提示されていることが見てとれる。

新たにサインアップする画面を紹介

ここでは新たにユーザーIDを作るケースのUIを紹介。ここでも「passkeys」という単語は説明文の中で使われているに過ぎず、Face ID、Touch IDというiPhoneユーザーにとって馴染みのある用語が使われていることがわかる。TikTokがシステム開発からの目線ではなく、あくまでもiPhoneユーザーの目線で理解しやすい文言と効果を訴求してパスキーの利用を促していることがわかる。

TikTokのパスキー導入のタイムラインを説明

ここでパスキー導入がどのようにロールアウトしてきたのかを説明。iPhone版のロールアウトが2023年のQ3、Android版のロールアウトが2024年のQ1ということで、約半年で既存ユーザーのログインのパスキー移行が始まったことがわかる。この線表では上半分がコンシューマー向け、下半分がエンタープライズ向けの内容になっている。コンシューマー向けアプリのTikTokに「エンタープライズ？」という疑問が湧くのは当然だろう。しかしTikTokにとってエンドユーザーと同じレベルで重要なのは、TikTokをECのプラットフォームとしてマーケットを実装する企業やTikTokを広告のプラットフォームとして広告販売や効果測定を行う企業だ。それらの企業がビジネスのベースとしてTikTokを使う場合に、スムーズなシングルサインオンやWeb認証が行えることもマイルストーンとして挙げられていることに注目したい。

コンシューマーとエンタープライズに分けてパスキー導入を説明

このスライドではパスキーの導入のポイントを明確にコンシューマー向けとエンタープライズ向けに分けて説明している。Buy-inというのは誰がステークホルダーか？ というポイントで、コンシューマー向けにはプロダクトオーナーやデータサイエンティスト、エンジニアリング部門、一方エンタープライズ向けにはCISO、IT部門の支持が必要だと説明している。またセリングポイントという何が最も重要なのか？ という点については、コンシューマー向けには成長という項目がセキュリティよりも上に挙がられている。これに対してエンタープライズ向けではセキュリティと使い易さがコストよりも重要だという。

この表ではConsumer RP、Enterprise RPと分けられている。RPはRelying Partyの略でFIDOの定義では「依拠当事者（Relying Party）」という難解な翻訳が充てられているが、要は認証を行うアプリケーションということになる。コンシューマー向けではTikTokのスマートフォンアプリが、エンタープライズ向けではTikTokをECや広告に使う企業が利用するダッシュボードなどが相当するだろう。その違いを意識してパスキーの評価をTikTokが行っていることは注目すべきポイントだろう。

TikTokのスライドを立ち上がって撮影するGoogleのChristiaan Brand氏

この写真は筆者の前の列に座って聴講していたGoogleのChristiaan Brand氏が立ち上がってこのスライドを撮影しているというものだ。Googleのパスキー伝道師にとってもユーザー1億人を擁するプラットフォーマーがコンシューマー、エンタープライズと分けて評価を行った内容を記録として残しておきたいという意図を感じる。Brand氏はこのセッション中、何度も立ち上がってスライドを撮影しており、パスキーのエキスパートがTikTokという企業の動向に注目していることを示していると言えるだろう。

コンシューマー向けのロードマップを説明

ここでコンシューマー向けにはスマートフォンだけではなくWebからの利用にもパスキーを拡大することなどが説明された。

エンタープライズ向けのロードマップ

ここではPivot from roaming Authenticators to Passkeysという項目が挙げられている。これはエンタープライズユーザーがローミングなどの例外的な手法でログインする際にも、パスキーを利用させるようにしたいという内容だろうか。Native SSH with Passkeyというポイントが示すように、SSHにおいてもパスキーを使わせることで認証の統一を推進したいという意図を感じる。

短い時間でありながらもログインの際の挙動を動画で説明するなど、TikTokがパスキーを最も重要なコンポーネントとして使っていること、そしてそれをすべてのステークホルダー（ユーザー、サードパーティ）に拡大したいという想いが伝わってきたセッションとなった。