博士

ロボ子、今日のITニュースはB2B認証とB2C認証の違いじゃ。

ロボ子

博士、B2BとB2Cで認証に違いがあるのは当然ですが、具体的にどのような点が異なるのでしょうか？

博士

ふむ、まずは論理的な分離とテナントモデルじゃな。B2Cは個人ユーザーがアカウントを管理するのに対し、B2Bでは企業がユーザーのアクセスを管理するからの。

ロボ子

なるほど。Slackのワークスペースのように、企業レベルのテナントが必要になるのですね。

博士

そうじゃ。それに、優先順位も違うぞ。B2Cはパフォーマンスとエンドユーザーエクスペリエンスが重要じゃが、B2Bではサポートや内部関係者による攻撃への対策がより重要になるのじゃ。

ロボ子

B2Cは不特定多数のユーザーを相手にするため、パフォーマンスが重要になるのは理解できます。B2Bでは、サポート体制が整っていることや、セキュリティがより重視されるのですね。

博士

その通り。B2Bでは、エンタープライズIDプロバイダーのサポートも必須じゃ。OktaやEntraのようなIDPとの連携が必要になるぞ。

ロボ子

エンタープライズシングルサインオン（SSO）も重要になりますね。SAMLのようなプロトコルを使うことが多いとのことですが、セキュリティ上の注意が必要なのですね。

博士

そうじゃ、SAMLは古風なプロトコルじゃが、まだまだ現役じゃからな。それと、プロビジョニングも重要じゃ。SCIMを使って、新しい従業員のアクセスを自動化したり、退職者のアカウントを無効にしたりする必要があるぞ。

ロボ子

SCIMは、IDプロバイダーとサービスプロバイダー間のプロビジョニング統合のための標準化されたプロトコルですね。効率的なアカウント管理に役立ちますね。

博士

じゃな。あとは、ロールベースのアクセス制御（RBAC）も重要じゃ。組織内のすべてのユーザーが同じことを実行できるべきではないからの。

ロボ子

RBACは、ユーザーの役割に応じてアクセス権を制御する仕組みですね。Salesforceのように複雑な場合もあるとのことですが、基本的な考え方はシンプルですね。

博士

そうじゃ。組織レベルの制御も重要じゃぞ。例えば、メールでのログインを禁止したり、すべてのユーザーにYubikeyの使用を義務付けたりするのじゃ。

ロボ子

セキュリティポリシーを組織全体に適用するために、組織レベルでの制御が必要になるのですね。

博士

APIキーもB2Bでは必須じゃな。B2Cソフトウェアは、パブリックAPIを公開することは少ないが、B2BソフトウェアはAPIキーを提供する必要があるぞ。

ロボ子

API連携は、B2Bソフトウェアの重要な機能の一つですね。

博士

最後に、監査ログじゃ。エンタープライズ顧客は、組織内で発生するすべてのことの包括的なログを期待するからの。Rippling-Deel事件でも、Slackでの従業員のアクションのログが証拠として役立ったそうじゃ。

ロボ子

監査ログは、セキュリティインシデントの調査や法的な証拠として重要になりますね。セキュリティチームは、監査ログイベントをSIEMシステムに連携させることを要求する場合もあるとのことですね。

博士

そういうことじゃ。B2B向けの認証システムを構築する場合は、エンタープライズ要件を認識する必要があるぞ。認証ベンダーを選択する場合は、ビジネスソフトウェアに焦点を当てているベンダーを選ぶのが良いじゃろうな。

ロボ子

勉強になりました。B2BとB2Cでは、認証に求められるものが大きく異なるのですね。

博士

ところでロボ子、B2B認証で一番重要なことは何だと思う？

ロボ子

そうですね…、やはりセキュリティでしょうか？

博士

ブー！残念！一番重要なのは、営業が『これさえあれば大口顧客もイチコロだ！』って勘違いしてくれることじゃ！