高度な認証: 認証スタックへのアプローチ

Samuel Bakken, 2021年8月27日

昨年、デジタルバンキングが劇的に拡大したことで、先進的で高度な認証方式へのニーズが高まっています。実際、2020年3月から4月にかけて、モバイルデバイスやWebブラウザを利用して初めてセルフサービス方式のデジタルバンキングにアクセスした顧客数が、最大で200%増加したと報告している銀行もあります。この新しいエンドユーザーのうち、少なくとも5人に4人、あるいはそれ以上が、銀行手続きの一部を引き続きインターネット上で行うだろうと言われています。詐欺師がデジタルバンキングのユーザーを積極的に狙っていることから、銀行はアクセス管理を強化し、先進的な認証スタックにアップグレードして、顧客の取引や機密情報を保護することが急務となっています。 

先日OneSpanは、金融機関が認証方式の近代化に向け計画を立て, 認証への投資に消極的な姿勢を克服し、経営幹部の賛同を得るためにどうすべきかをテーマとしたウェビナーを開催し Aite-Novarica Group、のFraud & AML部門のシニアアナリストである David Mattei, 氏とOneSpanが講演を行いました。

ご覧になれなかった方へ、特に重要なポイントをご紹介します。また、オンデマンド配信でウェビナーの全容をご覧いただけます

不正対策とBasic認証の弱点

Aite-Novarica Group の調査によると、2005年から2012年の間、銀行はオンラインアカウントの保護においてリーダー的存在でした。

しかし今日では、継続的に発生するパスワード管理の問題を抱えています。パスワードの盗用は、盗まれたパスワードのダークウェブでの配布(パスワードダンピング)と並んで詐欺師がユーザーのアカウントにアクセスするために用いる代表的な手口です。脆弱なパスワード運用やパスワードの使い回しで、または、パスワード共有などの危険な行為によって自らのデータセキュリティを損なうことで、消費者は自らを危険にさらしています。さらに、一部の金融サービス事業者は、不正行為を未然に防ぐのではなく、不正行為が行われてから対処するなど、Reactive型プロトコルに依存しています。 

銀行が導入しているセキュリティシステムやレガシー認証は、デジタル取引のフロントエンドとバックエンドに集中しているという問題があります。残念ながら、その中間部分にはあまり対策が講じられていません。

「銀行は、フロントエンドにはユーザー名、パスワード、ワンタイムパスコード(OTP)を、バックエンドには取引を分析して承認するか否かを判定する不正検知システムを導入しています」とMattei氏は言います。

欠けている中間部分とは、銀行手続きのログインからログアウトまでの取引全体の継続的なリスク監視です。ユーザーがログインに成功したからといって必ずしも正規ユーザーがアカウントにアクセスしているとは限りません。最近では、その特定時点のイベントに頼るだけでは不十分です。銀行やその他の金融機関は、継続的に監視する必要があります。 

銀行が対処すべきもう一つの脆弱性は、知識ベース認証(KBA)です。「あなたの1年生の時の先生は誰ですか?」「 あなたの好きな映画スターは誰ですか? 」「あなたの以前の電話番号は? 」のようなセキュリティ質問による認証方式です。ソーシャルメディアの投稿で、このような情報の提供を求められることがよくありますが、投稿の背後に詐欺師が存在しアカウントの乗っ取りを目的として回答の情報収拾を行なっていることに気づかず、人々は自由に回答しています。

Mattei氏は、銀行に対して、不正防止システムが将来の脅威に対応することができるように、今何をすべきか考えるよう求めています。業界の枠を超えて、他のオンラインビジネスがどのように対処しているかも参考にすべき要素です。FinTech(フィンテック)、暗号プラットフォーム、Eコマース、その他のデジタルマーチャントは、この分野で革新を進めています。多くの企業は、データ漏洩、個人情報の盗難、フィッシング詐欺、マルウェア、アカウントの乗っ取りなどの事件が多発していることを踏まえ、多要素認証などの先進認証プロトコルやオーケストレーション・ハブを導入しています。

オーケストレーション・ハブは今後の主流に

近年、セキュリティの専門家は、オーケストレーション・ハブによる認証と不正防止に大きな期待を寄せています。オーケストレーション・ハブは、銀行手続きの開始から終了までを通して取引全体のリスクプロファイルを監視します。継続的な監視は、通常はバックグラウンドで常時実行しているため、顧客体験を悪化させることはありません。例えば、高度な不正防止システムを中核とするオーケストレーション・ハブでは、人工知能や機械学習を用いて、ユーザーの行動が正規の取引を行う実在の人物に求められるものと一致するかどうかを評価できます。トランザクションのリスク評価で問題があった場合、顧客のデジタルIDを新しい認証チャレンジや2番目の要素認証で確認し、アプリケーションへの安全なアクセスを確保します。

オーケストレーション、強力な認証、リアルタイムの不正監視は、顧客体験を悪化させることなくデジタルバンキングのセキュリティを向上させる上で理想的です。これらの機能が統合されているハブは、チーム間での情報共有、手作業による追跡や介入の削減を可能にします。自動化されたツールを部署間で使用し、相互にコミュニケーションを取りながら、組織のどこで不正が最初に発見されたかに関わらず、不正を特定することができます。

この分野で使用されているさまざまなツールには、パッシブとアクティブな技術があります。Mattei氏が「摩擦がない(フリクションレス)」と称するパッシブなツールには、デバイスのフィンガープリント、行動バイオメトリクス、IPアドレス・位置情報のトラッキング、ボット検出、クレデンシャルスタッフィングの検出などが挙げられます。

また、Mattei氏が「適切な摩擦(フリクション)がある」と称するアクティブなツールには、次のようなものがあります。

高度な認証方式への投資に対する抵抗感を克服するために

金融機関はリスクを回避する傾向にありますが、顧客も自らと同じ傾向にあると考えています。そのため、パスワードのようなレガシー認証方式からMFA(多要素認証)や二要素認証などの先進認証ソリューションへ移行すると、顧客が他行へ口座を移してしまうのではないかと危惧しています。しかし、歴史が示すように、顧客は、銀行が考えているほど変化に対して抵抗感を持っていません。例えば、新型コロナウイルスによる行動制限でデジタルバンキングの利用を余儀なくされ、その利用は急速に広まりました。デジタルバンキングに慣れた今、多くの消費者は今後も引き続きデジタルバンキングを利用するだろうと言われています。 

重要なのは、ユーザーが慣れ親しんだ方法で、簡単かつ安全にデジタルバンキングを利用できるようにすることです。生体認証は、セキュリティを向上させながら顧客満足度を高めるという両方の利点が実現できる最良の機会を提供します。特に、多くのスマートフォンに搭載されている指紋認証や顔認証(Apple iOSのTouch IDやFace IDなど)は、パスワードを必要とせずにモバイルバンキングのアプリにアクセスできます。また、モバイルバンキングのアプリへのアクセスに生体認証を利用している消費者は、生体認証が採用されているのでそのアプリがより安全であると認識する傾向があります。

しかし、オンラインバンキングの普及に伴いオンライン詐欺も増加しており、サイバーセキュリティ対策の強化が急務であるにも関わらず、企業レベルでは必ずしも優先されていないのが現状です。これには予算やリソースの不足など、さまざまな理由がありますが、銀行にとって不正リスクや不正損失の許容範囲はどの程度なのかを見極め適切なバランスを取ることが重要になります。より強固な認証方式を導入するためのコストを上回る不正損失がない限り、変更するメリットは特にないと言えます。

ただ、ある調査によると、認証の近代化への試みが顧客体験に直結している場合は、そのプロジェクトへの資金獲得の可能性がより高くなっています。

「顧客体験が向上できる新しいツールの導入を提案すれば、事業部はその取り組みを進めるための受け入れ態勢を整えてくれるでしょう」とMattei氏は説明します。

クライアントエクスペリエンスの向上

高度な認証のユースケース: 結論

詐欺師が人々の銀行口座にアクセスするという脅威が現実のものとなっています。銀行や他の金融機関は、オーケストレーション・ハブで強化されたパスワードレス認証を視野に入れて、認証業務の近代化について考え始める必要があります。それにより、不必要な摩擦のない認証が可能となり、また、リスクの高い状況では、適切な摩擦のある認証を行うことができます。

セキュリティツールの中には、不正行為に対抗する能力が高いものもあります。長期的な成功を収めている企業は、セキュリティツールを導入するだけでなく、さまざまに変化していく詐欺の手口に合わせて機能を改善し続けるための長期的な投資を行っています。セキュリティツールはセキュリティ環境の変化に合わせて進化すべきです。ツールやサービスを提供するベンダーも同様です。銀行のデジタルセキュリティのニーズをすべて解決する単一のツールはありません。そのため、予防に重点を置くのではなく、顧客のニーズと顧客が求めるユーザーエクスペリエンスを理解することが重要です。

OneSpanは、その実現をサポートします。OneSpan Intelligent Adaptive Authentication(インテリジェント適応型認証)ソリューションは、パスワードを完全に廃止し、強力な顧客認証(SCA)を容易に実現します。認証プロセスの改善については、以下のリソースも併せてご参照ください。

不正防止のためのリスク分析:銀行業務の主な使用例
Whitepaper

詐欺防止のためのリスク分析: 銀行業務における主なユースケース

このホワイトペーパーでは、銀行幹部が機械学習によるリスク分析システムの価値をより深く理解できるように、継続的な不正監視と動的なリスク評価について銀行業務における主なユースケースの観点からご説明します。

今すぐダウンロード

サムは、OneSpanモバイルアプリのセキュリティポートフォリオを担当するシニアプロダクトマーケティングマネージャーであり、情報セキュリティの分野で10年近くの経験があります。