会社概要
Branch®は、2020年に設立されたクラウドネイティブの住宅および自動車保険会社です。サーバーレスアーキテクチャで運営されているBranchの使命は、消費者と独立系保険代理店の保険購入エクスペリエンスを簡素化することです。
「当社の主要な強みの1つは、保険の購入体験をできるだけ簡単にすることです」と、Branchの最高情報セキュリティ責任者であるArkadiy Goykhberg氏は説明します。
ブランチ認証の課題
Branchは、市場のデリケートな性質と、サービスを提供するステークホルダーの多様性から、複数の認証の課題に直面していました。
- 従来の 2 要素認証。 BranchはSMSベースの2要素認証に依存してきましたが、これには複数の問題があります。電話会社の問題により、ユーザーがログインできなくなります。また、フィッシングに強くなく、SIMスワッピング攻撃に関連するリスクにさらされます。
- カスタマーサポートの量。 パスワードのリセットやログインの問題に関連するサポートチケットが大量に寄せられました。
- ユーザーフレンドリーなアプローチ。 Branchは、12,000+の独立系保険代理店にサービスを提供するために、より安全でユーザーフレンドリーな認証プロセスを必要としていました。
- コンプライアンス。 もう一つの主要な課題は、規制の厳しい保険業界における厳格なコンプライアンス要件を満たす必要性でした。
パスキーがBranchの課題にどのように対処したか
Branchは、いくつかの理由から、認証問題の解決策としてパスキーを特定しました。
セキュリティの強化:パスキーは本質的にフィッシングに強く、SMSベースの認証に関連する脆弱性に対処します。
ユーザーエクスペリエンスの向上:パスキーにより、パスワードが不要になり、ログイン時の摩擦が軽減され、パスワードを忘れたり入力ミスが発生したりする問題を防ぐことができます。
サポートの負担の軽減: パスキーを実装することで、Branchはサポートチケットを大幅に削減しました。BranchのソフトウェアプロダクトマネージャーであるJohn MaGee氏は、「プロジェクトのユーザーエクスペリエンスとセキュリティの目標の一部を除いて、主要なビジネス目標であったサポートチケットの量が約半分に減少しました」と述べています。
規制コンプライアンス:パスキーは、保険業界の現在および将来の規制要件を満たすための強力な基盤を提供しました。
既存のインフラストラクチャとの互換性:パスキーはBranchのクラウドネイティブアーキテクチャとうまく統合されているため、よりスムーズな実装プロセスが可能になります。
導入プロセスと結果
Branchは、パスキーの実装に段階的なアプローチを採用しました。
最初のフェーズでは、内部テストが行われました。Branchは最初に内部使用のためのパスキーを実装し、それが信頼とユーザーの受け入れを築くのに役立ちました。その後、Branchはベンダーの選定と開発の段階を経て、Descopeと契約しました。Branchは、パスキーの実装を支援するためにサービスプロバイダーと連携する方が効率的なアプローチであると判断しました。
プロジェクトのロードマップには、2 か月のベンダー選定プロセスが含まれ、その後に 3 か月の開発フェーズと 6 週間のエンドユーザー移行フェーズが続きました。
最後のステップは、段階的なユーザー移行でした。Branchは、パスキーをエージェントに波状に展開し、最初は小さなグループから始めて徐々に拡大していきました。オンボーディングプロセスには、ユーザーが新しい認証エクスペリエンスに備えるための複数のコミュニケーションキャンペーンが含まれていました。ユーザージャーニーには、ユーザーにパスキーの設定を求めることや、メールとOTPのフォールバックオプションを提供することが含まれていました。目標は、シームレスな移行を確保し、パスワードのリセットをなくすことでサポート チケットの量を減らすことでした。このアプローチにより、同社はフィードバックに基づいてプロセスを改良し、リスクを最小限に抑えることができました。
パスキーの実装結果は印象的でした。
- 組織全体でパスキーの採用率が 25% で、社内の目標を上回っています。
- 認証の問題に関連するサポートチケットの量が50%削減されました。
- 移行後も、ログイン失敗率を5%で安定して維持しました。
- ユーザーエクスペリエンスが向上し、認証に関連するフラストレーションが軽減されます。
驚くべき利点の 1 つは、パスキーと既存のハードウェアおよびソフトウェアとの高い互換性でした。Goykhberg氏は、当初はパスキーをサポートするシステムは約60%しかないと予想していたと述べました。
「その仮説は間違っていました。驚いたことに、何千ものログインのうち、パスキーをサポートできなかったのはごくわずかでした」と彼は言いました。
Branchのパスキーの成功と将来のロードマップ
Branchがパスキーの実装に成功したことで、現在の認証の課題に対処しただけでなく、将来の改善と拡張の基礎を築くことができました。
ゴイクベリは言った:
「Descopeの柔軟なワークフローにより、パスキーの実装とエッジケースの処理が比較的簡単になりました。条件付きステップでは、ハードウェアまたはソフトウェアに互換性がある場合はユーザーをパスキーにルーティングし、パスキーがサポートできない場合はフォールバック MFA オプションにルーティングしました。ユーザージャーニーをワークフローとして視覚化すると、登録の監査と変更に役立ちます
また、大幅なコード変更を行わずに認証の旅を進めることができるため、将来に向けて良い準備が整います。」
社内での採用から始まり、徐々にエージェントベースに拡大する同社の段階的な展開アプローチの成功は、段階的な実装と学習の重要性を浮き彫りにしています。この戦略は、今後の認証イニシアチブに引き続き影響を与えます。パスキーの採用率が 25% に向上した当初の成功を基に、Branch はターゲットを絞った実験とユーザー教育を通じて、この数を増やすことを目指しています。
Branchによるパスキーの実装の成功は、この最新の認証方法が保険業界のセキュリティとユーザーエクスペリエンスの両方を大幅に向上させることを示しています。従来の認証方法の脆弱性に対処することで、
サポートの負担を軽減し、シームレスなユーザーエクスペリエンスを提供するパスキーは、Branchの認証ニーズに対する貴重なソリューションであることが証明されています。
