Authy導入ガイド：認証方式・運用・コスト

Authyの概要と認証方式（位置付けとユーザー体験）

AuthyはTwilioが提供する多要素認証ソリューションの一つです。
プッシュ、TOTP、SMS、音声など複数方式をサポートします。方式ごとにUXや運用負荷が異なります。
導入時はフォールバック設計と国内到達性の検証を必ず行ってください。

認証方式の比較（プッシュ／TOTP／SMS／音声）

各方式の利点と運用上の注意点を短く示します。

• プッシュ通知（ワンタップ承認）
• UXが良く認証完了率が高い傾向があります。
• プッシュ配信経路や端末通知設定に依存します。

• フォールバック（TOTP等）を必ず用意してください。

• TOTP（認証アプリ）

• オフラインで動作します。
• デバイス紛失時の復旧フローを設計してください。

• 秘密鍵は暗号化して保管する必要があります。

• SMS／音声

• 幅広い端末で利用可能です。
• SIMスワップやキャリア依存の到達性リスクがあります。日本ではキャリア差とMVNO課題をPoCで確認してください。
• 送信コストがかかるため利用頻度を抑える運用設計が必要です。

運用面の共通注意点

設計・運用で共通の注意点を列挙します。

• デバイス登録、紛失時の本人確認、管理者リセット手順を明文化してください。
• ユーザー教育とサポートフローをPoCで検証してください。
• 監査ログやメトリクス収集を初期設計に入れてください。

Authyのビジネス向けプランと価格構造の押さえ方

企業向けプランは機能差と課金モデルで選定が左右されます。
プラン名やアドオンは変更されやすい点に注意してください。契約時は公式ドキュメントと書面見積を確実に入手してください。

管理機能・サポート・SLA

管理機能やサポートの違いが運用コストとリスクに直結します。確認すべき項目と方法を示します。

• 管理コンソール機能
• ユーザー一覧、グループ管理、ポリシー適用、監査ログ出力の有無を確認します。

• RBACや操作履歴の出力があるか必須で確認してください。

• API / SDK とWebhook

• 公式SDKの言語対応と更新頻度を確認します。

• Webhookの署名検証方法、レート制限、冪等性設計を確認してください。

• SLAの確認ポイント

• 製品別の稼働率保証（SLA）と補償条件を文書で取得してください。
• SLAの定義（計測方法、メンテナンス除外、サービスクレジットの算出方法）を精査してください。

• 参考: Twilioのサービスレベル情報（製品別SLAは契約書で要確認） https://www.twilio.com/legal/service-level-agreements

• サポートとアドオン

• エンタープライズ向けの専任窓口やオンコール契約の有無を確認します。
• SCIM/SSO、カスタムブランディング、専用環境等のオプションを確認してください。

価格要素の把握方法

価格は主にユーザー数、認証リクエスト数、SMS/音声の送信料で決まります。見積りで必ず確認する項目を提示します。

• 確認すべき課金要素
• 月次アクティブユーザー（MAU）課金か、認証回数課金かを確認します。
• 認証1回あたりの単価とSMS／音声のリージョン別単価を入手してください。

• ボリュームディスカウント、最低契約期間、解約時のデータ取扱い費用を確認します。

• 見積りに必要な社内データ

• 現行ユーザー数と想定認証回数（平常時／ピーク時）。
• SMS利用想定割合と月間ピーク件数。

• 将来の成長率想定。

• 簡易コスト算出の考え方（例）

• 認証数 = ユーザー数 × 平均認証回数／月。
• SMS件数 = 認証数 × SMS比率。
• 総費用 = ライセンス費 + 認証単価 × 認証数 + SMS単価 × SMS件数。
• 重要: SMS単価は宛先ごとに変動します。最新の掲載価格を必ず参照してください（例: Twilio日本向けSMS価格 https://www.twilio.com/sms/pricing/jp）。

組織規模・ユースケース別のおすすめプランと移行戦略（Authy導入）

組織規模や業種により優先すべき要件が異なります。ここでは規模別の実務方針と移行の考え方を示します。
PoC規模、ロールバック手順、キャリア別テストの考え方も合わせて提示します。

規模別の推奨方針

SMBからエンタープライズまでの検討優先度をまとめます。

• SMB（～数百名）
• UX重視でプッシュを一次検証し、TOTPをバックアップにします。
• PoC目安: 50名程度でUXとSMS到達性を確認します。

• SSO導入は必須でない場合もあります。

• ミドル（数百～数千名）

• SSO（SAML/OIDC）とSCIMでプロビジョニング自動化を優先してください。

• PoCは部門別パイロットで運用フローを検証します。

• エンタープライズ／グローバル（数千名以上）

• SLA、専任サポート、データ所在地やサブプロセッサの明記を契約で確保します。
• 地域別到達率とフェイルオーバー試験を含む広範なPoCを実施してください。

移行戦略（既存からの移行とロールバック手順）

段階的移行とロールバック計画の標準手順を示します。

• 準備フェーズ
• 要件整理（ユーザー数、認証想定回数、必須連携）を実施します。

• DPA・SLA・サブプロセッサ情報を入手します。

• 共存フェーズ（パイロット）

• 既存方式と新方式を並行稼働させ、レポートとサポート状況を比較します。

• キャリア別SMS送信結果を収集します。

• 切替フェーズ

• ロールアウト計画に基づき段階的に新方式へ切替えます。

• 切替時はフェールバック手順を事前にテストしてください。

• ロールバック手順（想定例）

• 問題発生時は旧環境を再有効化し、問題切り分けログを取得します。
• APIキーの無効化やDNS／SAMLエンドポイントの差し戻し手順を実施します。

• ロールバック手順と実行条件は運用手順書に明記してください。

• キャリア別テストケース（必須項目）

• 対象: NTTドコモ、KDDI（au）、SoftBank、楽天モバイル、主要MVNO。
• 項目: 配信成功/失敗、最終到達判定、遅延（p50/p95/p99）、メッセージ長・Unicode、DLRの一貫性。
• サンプル数の目安: 要求精度により変動しますが、概ね各キャリアで数百件（例: 100～1,000）を推奨します。統計的根拠が必要な場合は比率の標準誤差式 n = p(1-p)(z/E)^2 を用いてサンプルサイズを算出してください（z=1.96で95%信頼区間）。

Authy連携要件とAPI／SDK実装ポイント

ID基盤やアプリとの連携は要件定義段階で精緻化してください。Webhook検証やシークレット管理は特に重要です。
公式SDKやサンプルは常に最新の公式リポジトリで確認してください。

SSO／SCIM／プロビジョニング実務ポイント

IdP連携や自動プロビジョニングでの実務的注意点を整理します。

• SAML / OIDCの確認事項
• IdP／SPいずれが認証を発行するかでフローが変わります。属性マッピングを明確にしてください。

• 証明書ローテーション手順を運用手順に含めてください。

• SCIMの確認事項

• 必要属性とマッピングを定義し、プロビジョニング遅延、エラーハンドリングを設計してください。

• 同期頻度とAPIレート制限を確認して同期戦略を作成してください。

• オンプレとクラウドの接続

• 可能ならIdP経由で統合し、直接LDAP接続は最小化してください。
• 直結が必要な場合は通信経路の暗号化と資格情報管理を厳格にします。

Webhook署名検証と実装例（Twilio／Authy）

Webhookの署名検証はプロバイダ仕様に従って実装してください。ここではTwilioの一般的な検証手順の例を示します。
公式手順の詳細はTwilioのドキュメントを参照してください（例: https://www.twilio.com/docs/usage/security#validating-requests）。

• 注意点: 上記ロジックはTwilioのフォーム送信（application/x-www-form-urlencoded）向けです。JSONペイロードやプロバイダ仕様が異なる場合は、必ず公式の検証ライブラリを使用してください。
• 参照: Twilio公式「Validate requests to your application」ドキュメント（署名ヘッダ名やアルゴリズムを確認してください）。

シークレット管理とKMS活用

シークレットの保管とローテーション方針を運用に組み込みます。

• APIキーはコードへ直書きしないでください。秘匿はクラウドKMSやシークレットマネージャで行います。
• シークレットのローテーション頻度はリスクに応じて設定します（例: 短命トークンは90日、KMS鍵は年1回の鍵ローテーションを検討）。
• BYOK（Bring Your Own Key）やカスタマー管理キーが利用可能か確認してください。

運用・可用性・セキュリティ・コンプライアンス設計（Authy導入基準）

運用方針と可用性、コンプライアンス要件は導入前に明確にします。ここでの設計は導入後の負荷を左右します。
監査ログの要件や鍵管理、暗号化の基準も契約前に詰めてください。

可用性要件とSLAの確認ポイント

SLAは稼働率だけでなく定義と補償条件を精査する必要があります。

• SLAの確認項目
• 対象サービスと計測方法、稼働率（例: 99.x%）の適用範囲を確認してください。
• 障害時の連絡方法、エスカレーションルート、サービスクレジットの算出方法を明確にします。

• 参考: ベンダーのSLA文書を契約書に反映してください。

• フェイルオーバー設計

• プッシュが使えない場合のTOTPやSMSへのフォールバックを準備してください。
• マルチリージョン構成や異常時のトラフィックルーティングを検討します。

セキュリティ設計（設定目安）

実務で使える具体的な設定目安を提示します。

• TLS: TLS 1.2を最低保証とし、可能ならTLS 1.3を推奨します。古いプロトコルは無効化してください。
• 暗号: 保存時はAES-256-GCM等の強力な暗号を推奨します。鍵はKMSで管理してください。
• 鍵ローテーション: APIキー等は運用リスクに応じて短期ローテーション（例: 90日）を検討します。KMS鍵は年次ローテーションが一般的です。
• ログ保持: 運用ログは90日程度を基本とし、監査要件があれば1～3年を検討してください。保存期間は法務と調整してください。
• アクセス制御: 管理コンソールとログへのアクセスはRBACで最小権限化し、ブレークグラス操作は監査ログに記録してください。

コンプライアンス確認・DPAとサブプロセッサの手順

法務確認は単なる「確認」以上に手順化してください。以下は推奨手順です。

1. ベンダーにDPA（Data Processing Agreement）とサブプロセッサ一覧の提供を要求します。
2. SOC2 Type II、ISO27001などの監査報告書または証明書の提示を求め、発行元で有効性を確認します。
3. 国際データ移転がある場合はSCC（標準契約条項）などの仕組みを確認します。
4. 契約条項にデータ消去・返却手順、侵害時の通知期限（例: 48～72時間以内の初回通知）を明記するよう交渉します。
5. 退契時のデータエクスポートと安全な消去の実行方法を文書化して受領します。
6. ベンダーがこれらを拒否する場合は、暗号化での緩和（BYOK）や代替案を検討します。

PoC・導入ステップ、評価チェックリスト、FAQ（Authy導入の実務）

段階的な導入と合否基準の設定は必須です。ここではPoCから本番ロールアウトまでの実務手順と評価項目を示します。
成功基準は業務リスクに合わせて数値と検証方法を定義してください。

PoC→本番ロールアウト手順

段階的な手順と検証ポイントです。各段階で合否判定基準を示してください。

1. 企画フェーズ
2. 目的と成功基準を定義します（例: 認証成功率、SMS到達率、サポート件数）。
3. PoC設計
4. 小規模でプッシュ／TOTP／SMSを含むシナリオを実行します。
5. 国内キャリア別の到達確認を必須にします。
6. パイロット
7. 部門別で拡大し運用手順とサポート体制を検証します。
8. ログとユーザー問い合わせをモニタリングします。
9. 本番ロールアウト
10. ロールアウト計画、監視、フォールバック手順を確立して実施します。
11. 運用マニュアルとオンボーディング資料を整備します。

評価チェックリスト

導入可否を判断する主要項目と確認方法の例を示します。スコア化して比較してください。

• 導入コスト: ライセンス、認証単価、SMS単価を合算してTCOを試算します。
• 運用負荷: 管理者数、想定サポート件数、復旧手順の有無を評価します。
• 国内SMS到達性: キャリア別テスト結果で評価します。
• セキュリティ適合: DPA、SOC2/ISO、暗号化と鍵管理の確認。
• 統合容易性: SSO/SCIM対応、APIの成熟度、サンプルコードの有無。
• ベンダーサポート: SLA、障害対応フロー、専任窓口の有無。

下表は評価の例です。社内基準に合わせて調整してください。

FAQ（検討時にベンダーへ確認すべき主な点）

見積りや契約前に必ず確認する質問例です。証拠となる文書の提出を求めてください。

• ライセンス形態はMAU課金か認証回数課金か。
• SMSの宛先別単価とボリュームディスカウントはどうなるか。
• 製品別のSLA（稼働率、メンテナンス扱い）を文書で示してもらえるか。
• DPA、サブプロセッサ一覧、SOC2/ISO証明書の提示は可能か。
• 退契時のデータ返却・消去手順を契約で保証できるか。
• Webhook検証方法やAPIのレート制限、エラーハンドリングの仕様は何か。

読者別アクション（Authy導入：役割別まとめ）

開発、管理、意思決定の各役割に求められる実務アクションを短く示します。各項目をPoCで検証してください。

開発者向けアクション

実装者が優先で行うべき検証項目です。

• 公式SDKを使用して署名検証を実装してください。
• Webhookはプロバイダ仕様に従い検証し、冪等性と指数バックオフを実装してください。
• TOTPは許容ウィンドウと時計同期のチェックを行ってください。
• シークレットはKMS/シークレットマネージャで管理し、コードに直書きしないでください。

管理者向けアクション

運用担当が優先で整備する項目です。

• RBACと緊急時（ブレークグラス）手順を整備してください。
• 監査ログの収集方法と保管期間を決めてください。
• 管理者によるリセット時の本人確認手順を定義してください。
• 定期的なDRテストと障害時のフォールバック確認を実施してください。

意思決定者向けアクション

経営・購買が確認すべきポイントです。

• TCO（ライセンス＋SMS＋運用）を複数シナリオで算出してください。
• DPA・SLA・サブプロセッサの提示を受け、法務と協議してください。
• 出口戦略（データ返却・消去）とベンダーロックインリスクを評価してください。
• 必要ならBYOKや専用環境の提供を条件交渉してください。

まとめ（要点）

• Authyは複数方式を提供します。方式ごとのUXと障害対応をPoCで検証してください。
• 契約時は最新のプラン表、SLA、SMS単価を文書で取得し比較してください。
• PoCではキャリア別SMS到達性と認証成功率、運用工数を定量化してください。
• Webhook署名検証はプロバイダ仕様に従い、公式ライブラリの利用を推奨します。
• DPA、サブプロセッサ、退契時のデータ処理を契約で確保し、必要ならBYOKを検討してください。