簡単クレジット決済サービス スクエア(square)導入の所感

とあるブランドのクレジット決済にを導入しました。導入のきっかけは、先にSquareの端末を購入したこと。
数年前にiPhoneでクレジットカード決済ができる端末が発売されると話題になったのを覚えています。
実際は、端末は購入したものの出番はあまりなさそうだったのですが、スマレジでカード決済も連携しようと思っていたら、まさかのスマレジ側からクレジットカード決済の審査が通らなかったと連絡があり、スマレジと連携できないのであれば、もっとも手軽に導入できそうなSquare(スクエア)が採用されることになった。

スクエアの実際の使い方は?

Squareを使用するのに必要な物は、1)スマートフォン、2)Square本体、3)Squareアプリの3つだけ。スクエアの使い方は、以下の通り。

  1. iPhoneのイヤフォンジャックにスクエアを差し込む。
  2. スクエアのアプリを立ち上げる。
  3. iPhoneに指したスクエア本体でクレジットカードを切る(読み込む)。
  4. iPhoneの画面にサイン画面が出るので、お客様にサインしてもらう。

といった流れだ。

iPhone7以降、iPhoneにはイヤフォンジャックが無くなってしまったが大丈夫?

よく考えるとiPhone7以降は、イヤフォンジャックがなくなってしまった。新規でiPhone7以降の端末を購入したり、既存で使用しているiPhoneを機種変したりしても大丈夫なのだろうか。これに関しては、Apple社から出している純正のアダプターとセットで使えば大丈夫とのことです。

どんな企業が向いているの?導入時の注意点は?

スタートアップ直後の企業に向いていると思います。資金力がどれだけあっても、新規設立の会社は、とにかくクレジットカードの審査が通りにくい。
そんな中、Squareの審査の通過率は結構高いと思われる。(先に端末を販売しているぐらいなので、端末を買っておいて使えないと言うわけには行かないと思われる。)
また、導入するにあたり、当然のことだが店内で使用する携帯電話はスマートフォンを選択しておいたほうが良い。

Squareがどうして店舗への導入に向いているのか。

カード決済にSquareを使うメリットをまとめてみた。

  1. どうせ店舗には社内連絡用の電話の設置が必要。それであれば最初からスマホを店舗用携帯にしてしまえばSquareはすぐに使える。
  2. スマホ(携帯電話)は自ら通信してくれるので別段、無線LAN環境を店内に構築する必要がない。
  3. スマホはWiFiも使えるので、店内にWiFi環境を構築した場合は、キャリアの通信とWiFiの2重の通信インフラを利用できるのでバックアップが図れる。なので通信環境の不具合により売上に障害をもたらす可能性が低い。

などだろうか。



無料のシングルサインオン SKUID(スクイド)を使ってみた所感を報告

無料のシングルサインオン SKUIDという名前でGMOから提供されている「SKUID」。実際にどんなものか使ってみました。(ちなみにSKUIDを最初はスクイッドと呼んでしまっていたが、スクイドと読むらしい。)

導入のプロセス

最初はとっつきにくいのですが、端的に操作を説明すると、

    1. 管理画面にユーザーを作る
    2. 必要があればグループも作る
    3. Google Chromeのウェブストアから専用のプラグイン(SKUID NG – IDaaS (Identity as a Service))を Chromeに追加する。

skuid

  1. 管理画面から追加したいアプリケーションを選択する。
  2. 自分のアカウントにアプリを追加する。
  3. アプリのログインパスワードを設定する。
  4. SKUIDの Chrome拡張機能からログインする。

と言った感じです。
無料で使えて、運営会社が大きくてっていうシングルサインオンを選択すると必然的にSKUIDになるのでは無いでしょうか。
また、シングルサインオンって何?とかシングルサインオンを試してみたい方にとっては面白いソフトウェアだと思います。

SKUIDの問題点といえば、管理コンソールにあるアプリの中からシングルサインオンをしたいものを選ばなければならないので、
自分が使っているサービスを全てSKUIDに入れることは難しそうです。
ただ、これからどんどんサービスが浸透してゆくと思いますので、徐々に使い勝手が良くなってゆくかと思います。
しばらくは使ってゆきたいと思います。

これを機にパスワードの使い回しをやめよう

シングル・サインオンで不正ログインを防ぐには、もし、様々なサービスでパスワードを使いまわしてしまっている場合、それぞれのサービスにログインするパスワードは超難しくしておいて、シングルサインオンサービス(スクイド側)で一つのパスワードを設定し、そこにまとめるというのが良いみたいですね。
SKUIDでは、パスワード生成ツールもついているので簡単に強力なパスワードを作成することができます。Chromeを立ち上げた状態で右上のえんじ色のイカのマークを
クリックすると左上にジッパーのアイコンがありますので、そこからパスワード生成ツールへアクセスすることが可能です。
スクイド-パスワード生成ツール

使えるアプリがどんどん増えています。

skuid
skuidにログインしたらこんな画面になっていたので、これはと思い使えるアプリの数を確認してみたのですが、本日(2017-12-23)の時点で2,204個に増えていました。中を眺めても有名なアプリが沢山追加されています。一週間前は、それほど自分が使っているアプリが見つけられなかったのですが、本日の時点では、「あっ僕、これも使っていたな、登録しよう!」と言った感じで幾つか登録しましたが、あまりにも使っているアプリが多すぎたので、途中で飽きてしまうほどでした。このペースなら、自分が使っているアプリの殆どをスクイドで賄えそうな気がしてきました。また、業務でも使用を開始したので、チームでの使用感をレポートしたいと思います。

登録してほしいアプリのリクエスト機能を発見!

SKUIDの中に登録したいアプリが無い場合、次の方法でリクエストすることができます。
可能な限りサインオンはシングルにしたいので、どんどん投稿しましょう!ちなみにリクエスト済みのアプリも見ることができるのですが、一人でいくつものアプリ登録申請をしている勇士が何人かいました。こんな人が居てくれれば、あっという間にそこら中のアプリが登録されそうですね。

公式ウェブサイトにアクセスする

まずは公式ウェブサイトにアクセスします。

上部のグローバルメニューに付いている「対応アプリ」をクリック。

アプリケーションをリクエストしよう!


「対応アプリ」のページから念の為、自分の登録されているアプリが無いか検索し、無ければ、そのページの下部についているリクエストフォームから連携して欲しいアプリを登録しよう。
自分の連携して欲しいアプリが、すでにリクエストされているかも確認できるので、まずはそちらでも検索してからお願いするのが良いかとおもいます。


IDaaS(Identity as a Service)ってなに?

アイデンティティー アズ ア サービス とはクラウド型のID管理サービスを指します。
通常、パスワードの管理などは、ローカル環境で保管するのが一般的と思われてきましたが、昨今のクラウドサービスの浸透により、サービスはクIDはローカルの管理ですと相性が悪く、都合の悪いシーンが増えて来ると思います。
そこで登場したのが、SKUIDなどのクラウド型ID管理サービスです。ID管理をクラウド化することによって、たとえローカルのPC端末がクラッシュしたとしても、SKUIDのログインパスワードさえ覚えておけば、業務に支障をきたすことが無くなりそうです。

不正ログインの現状

不正ログインは2年で約3倍に増えています。メディアで取り上げられることも多く今後も増えてゆくと予想されます。

具体的に起きた問題

  • 芸能人のSNSに無断でログインした会社員が逮捕された事件
    芸能人のSNSに無断で238回不正にアクセスし電話帳や写真などのプライベートな情報を盗み見た事件。根本原因は、公開情報から推測できるパスワードを芸能人が設定していた事。(誕生日や名前などを組み合わせた単純なパスワードの設定をしていたことと言われている。)
  • Lindedinのリスト漏洩事件
    ビジネス系のSNS「linkedin」の個人情報が流出した。流失したパスワードの設定ランキングを見てみると、1位 123456 2位 linkedin 3位 password 4位 123456789 5位 12345678 など単純なパスワードを設定している人がとても多い。
  • 退職した社員による不正アクセス
    退職した社員による不正アクセスがあった。過去の会社の情報から新しい顧客への営業活動などに使用していた模様。
    根本原因は、退職した社員のID管理に問題があった。退職者が出た場合の退職フローに問題がないか再確認する必要がある。定期的なパスワードの変更なども有効であるが、パスワードの変更も一文字しか変更しないなどの運用がされてしまうので最近では無意味ではないのかという議論が出ている。また、一つのIDを使いまわししてパスワードの共有をするような運用を避ける必要性もある。

パスワード設定時の工夫

文字列の少ないパスワードの危険性

文字列が少ないパスワードを設定するとブルートフォースアタックにより突破される可能性が高くなる。
ブルートフォースを直訳すると「強引な」という意味になり、力技で総当り攻撃することを言います。プログラムにより総攻撃をかけるので、文字列が少ないと組み合わせ数が少なくなるのでヒットしてしまう可能性が高くなる。パスワードではなくパスフレーズという考え方もありパスをフレーズ調に長文にすることが大事である。

リバースブルートフォースアタック

パスワードのセットを用意し、アタックするメールアドレス側を総当りにする攻撃方法。簡単なパスワードを設定していると突破されやすい。

パスワードの文字列の解読時間

パスワードの文字列を増やす重要性を考えるにあたって、パスワードの解読にどれぐらいの時間がかかるかを記載します。例えばパスワードが6桁の場合はたった54日で解読されてしまうが、パスワードの桁数を8桁にするだけで1000年かかると言われている。パスワードの文字数を8文字以上に設定することでセキュリティーを大幅に上げることができる。また、複数の文字種を使用することもセキュリティーを上げる方法の一つである。

パスワードの使い回しによる危険性

調査結果として56.7%の人が同一のパスワードの使い回しをしているという。人間の記憶には限界があるためどうしてもパスワードの使い回しは発生しがちになってしまう現状がある。

リスト攻撃という攻撃方法

パスワードを使いまわしていると、一つのサービスで漏洩したパスワードを使って他のサービスのアタックに利用されてしまう。利用しているクラウドサービスの一つでも突破されてしまうと、他のサービスに総当り攻撃される可能性がでてくる。

外部環境の変化

クラウドサービスが広がってきている背景があり、守らなければならない環境が変わってきている。クラウドサービスを社員が利用することで職場が社内に限定されなくなってきている。また、グローバル化が進んでいるため海外からのアクセスが増えてきている。

いままでは社内の情報を守ればよかったが、今の時代は情報が社内にあるとは限らない時代になってきている。

パスワードの管理方法

IPAの調査によるとパスワードの管理は手帳に記載している人が53.6%で一位となっている。ちょっと前までは記憶で管理するが1位だった。
これを見ても、業務で利用するサービスが増加していて記憶では管理しきれない現状がうかがえる。

紙へのメモをする際の注意点

紙へのメモで注意する点は記録した紙の紛失やショルダーハックと言われる肩越しからの目視によるパスワードハッキング。これらに対処するための方法として、紙にそのままパスワードを記載しないことが有効。例えばパスワードの最初の文字を書かないとか、パスワードの文字列の中に余計な文字を加えるとか、そのまま使用できないように工夫しておく必要がある。

パスワード管理ツールの利用

パスワードを管理するために専用で開発されたツール。記憶では2〜3個のパスワードを覚えるのが限界なので、このようなサービスを利用する必要が求められて来ている。

クラウドタイプのID、パスワード管理ツールは IDaaS(アイダース) などと呼ばれる。

IDaaS アイダース(skuid)の特徴

skuidを利用することで何ができるかをまとめました。

シングルサインオン

シングルサインオンを利用することで複数のサービスへアクセスするのに一度の認証で済むようになる。使用するパスワードが一つで良くなるので複数のパスワードを覚える必要がなくなる。

ID管理機能 管理者が管理できる。

システム管理者はIDは管理するものの、パスワードの管理はユーザーに任せる必要がでてくる。また対象の社員が退職した場合、それぞれのサービスのアカウントに対してIDの削除などを行う必要が出てくる。スクイドを使うことで、SKUID自体へのアクセスをストップ・変更することで、部署変更時 退職者のIDを一括で管理することができる。

アクセスコントロール機能

グループ管理機能により、個人がアクセスできるサービスを制御することができる。

ログ・レポート機能

パスワードの変更履歴を管理することで、利用者のパスワード管理を確認することができる。またログインしていない無駄なサービスを知ることにより不要なライセンス契約を排除することができる。アクセス失敗の履歴も確認できるので不正アクセスの発見にもつながる。

twilio(トゥイリオ)を利用したSMS認証を導入する際の留意点

最近、お仕事でSMS認証を導入することになりましたので、その際の留意点をまとめました。

新規客と既存客への配慮

新規のお客様だけ対応とするのか、既存客も含めるのか。そもそもSMS認証は一人のお客様に複数のアカウントを作ってもらいたいくない思いから始まっていると思います。すなわち、「今、顧客に複数アカウントを作られて何かしら問題が発生しているから」のはずです。ですので、この導入に関しては既存客へも適用させるシーンの方が多いかと思います。

可能であれば、新規客から導入してみる

既存会員にSMS認証を導入した場合、不具合があると大問題になりそうです。ですので、新規のお客様からSMS認証を導入して、新規入会に影響が出ないか様子を見てから、既存客に導入したほうが無難だと思います。
既存会員の方が難易度が高そうです。

SMSの送信にはtwilio(トゥイリオ)を使いました

SMSを送信するのに、今回はKDDIのTwilioというサービスを採用しました。
支払い方法がクレジットカードのみなので事前に準備してくだい。

SMS認証できない人をどう対応する?

SMS認証も全ての人がスムーズにできないと思います。どんな場合が想定されるか。

  1. そもそも携帯電話を持っていない
  2. SMS認証メールが携帯電話に届かない

があげられるかと思います。
携帯電話を持っていない場合、03等の番号もOKにするか?というのもあるかと思いますが、それをOKにしてしまうと、携帯電話を持っている人が1つアカウントを作る。2個めのアカウントを別名で作り、03で認証してしまう。ということが可能なので、これはやめました。ですので、「090、080、070以外は受け付けない」で設計しました。

SMS認証メールが携帯電話に届かない人への対応は、専用フォームを用意してそこに必須項目を揃えて電話対応することにしました。
具体的には

  • SMS認証ができない方はこちら
  • 入力フォームを用意して、登録してほしい電話番号やコールバックを受けられる時間帯などの情報を収集する
  • 入力してもらった電話番号にこちらからコールバックし、本人確認ができたら、その番号を裏で登録し認証完了とする

といった具合です。

SMS認証の導入後何が起きるか

メールが届かない顧客が出てくる

新規顧客がそのサービスに登録する際にSMSメールが届かないという人たちが発生しだす。3,000人ぐらい新規契約があった場合、100人ぐらい問い合わせが来た。正直、想定していたよりトラブルの発生件数が多く、対策の必要性を感じた。ここでの問い合わせ数は上記、専用フォームへの問い合わせ数のことで想定よりも多かったため、事業主からSMS認証自体のストップを言い渡される恐怖を感じた。そこで早急にこの問題に対しての対策を行う必要が出てきました。

twilioの高品質SMSを利用して解決策としてみる

twilioには高品質SMSというサービスが存在します。twilioの高品質SMSとはどのようなものか公式ウェブサイトより引用させていただきました。

高品質SMSは、Programmable SMS で提供しているアメリカ番号からの国際SMSではなく、別途国内プラットフォームを利用して配送する国内携帯キャリア向け専用のサービス(au、ソフトバンク、ドコモ、イー・モバイル)です。Programmable SMS を用いて国際SMS経由で配送すると、まれに →SMSが届かないケース がございます。
高品質SMSをご利用になると、国内携帯キャリアに直収しているルートを使ってSMSを配送するため、到達率が非常に高くなります。ナンバーポータビリティを経験している電話番号でも問題なく到達します。
引用元:高品質SMSとは何ですか? どのように機能しますか?

この記事を読む限り次のように考えられる。

  • 高品質SMSを使うと到達率が非常に高くなる。
  • 高品質SMSは国内の携帯キャリアに直収しているルートを使って配信されるらしい。
  • twilioのデフォルトの送信元電話番号はアメリカ合衆国の電話番号だったはずなので、海外からのSMS受信を拒否するフィルターに引っかかっていることが原因で到達しない顧客が多数いる可能性を示唆しているとかんがえられる。

  • ナンバーポータビリティーを経験している電話番号はSMSが到達し難い可能性がある
  • これはこれでとても興味深い話なので調査したいと思う。

これならば、「高品質SMS」を使うメリットは大きそうです。早速、利用したいと思ったのですが申込みには審査が必要とのことですので、twilio(トゥイリオ)の問い合わせフォームより折り返しがほしい旨、連絡しました。

導入後も問題を追いかける姿勢の重要性

SMS認証に限った話ではないですが、新しいサービスのリリース後は、そのサービスがうまく機能しているかを一定期間追いかける姿勢が必要だと再認識しました。今回の「SMS認証のショートメールの到達率に対する問題解決」がなされるかは現時点では解っていませんが、「問題を認識してそれに対して対応策を探行為」はとても重要だと思いますし、実際に解決する方法が世の中にあった時は結構嬉しかったりします。引き続き対策を行ってゆきたいと思います。

G suite(旧Google Apps)の削除してしまったユーザーを復活させる方法

公式サイトには
https://support.google.com/a/answer/1397578?hl=ja
こちらのように記載があり、基本的には読んで作業すれば良いのですが、何分、わかりにくい。
なので、キャプチャーを撮ったので、貼り付けておきます。

とにかく、メニューが探しにくい!

ちなみに5日をすぎると復活できない模様です。
このコンソールでは、2人だけ復活可能対象のアカウントがありました。

ハイパーリンクが上手く行かない時の対処法

googlesite(グーグルサイト)にて、社内ポータルサイトを作成中です。
そこで、ビルの入館システムへのリンクを作成しようとしたのですが、
直接、ブラウザーにURLを打ち込むとそのサイトが表示されるのですが、
aタグの中に入れると

Forbidden

You don’t have permission to access /☓☓/login.cgi on this server.

と出て、うまくリンクできませんでした。

そこで、一旦、どこかのサイトに飛ばして、そこからリダイレクトかければ開くのでは?
という仮設を立て、
短縮URLのサービスを使えば、結果としてリダイレクトをかけた形になるのではないかと思い、
Googleのサービス「Google Url Shortener」を使って、aタグの中に問題のURLでは無く、
短縮されたURLを入れたところ、見事に表示されました!

awsって安くできるんですね。

AWSにはリザーブドインスタンスというものがあり、料金の一部(または全額)を前払いすることで、利用額に割引を適用できます。
AWSの料金は、サーバー自体を何時間立ち上げているかの料金(一時間あたりの料金)と、どのぐらいアクセスがあったかの従量課金が
組み合わされて請求されます。

webサイトなど、基本的に立ち上げっぱなしのサービスを提供するためにサーバーを借りている場合は、月間の時間数はほとんど一緒なので(720時間)
固定費と見て良いかと思います。

それとは別にデータ転送量に対して従量課金が発生するのですが、うちの場合は、サーバーレンタルよ量の固定費がほとんどなので、
こちらは無視できる範疇になっています。

で、サーバーレンタル料に対して、リザーブドインスタンスというものがあり、サーバー一つ一つに対して、購入してゆく形になります。

弊社の場合、全てのサーバーのリザーブドインスタンスを購入すると、割引率が50%を超えるので、ぜひ、進めたいと検討しています。