ソフトウェア認証: 現代のアプリとテクノロジーはカスタマーロイヤリティにプラス、Bankf Cyprus

Jeannine Mulliner, 2019年4月16日
Bank of Cyprus app

Bank of CyprusがPSD2(欧州決済サービス指令第2版)SCAの要件を満たし、統合されたモバイル認証とPSD2準拠のダイナミック・リンキング(別名: トランザクション署名方式またはトランザクション認証)でカスタマーエクスペリエンスを強化した事例をご紹介します。このブログは、完全な事例の要約です。詳細と同行によるインサイト、またワークフローダイアグラムとビデオデモは、事例をご覧ください。 

Bank of Cyprusは何年もDigipass®(デジパス)ハードウェアトークンをカスタマーに配布しています。しかし、カスタマーがモバイルトランザクションに移行するにつれ、Bank of Cyprusは最近、PSD2(欧州決済サービス指令第2版)に準拠して、ソフトウェアの認証や、トランザクション専用のOTPワンタイムパスワードを実装しました。

ハードウェアトークンがあったため、Bank of Cyprusはアカウントログインの二要素認証(2FA)基準に既に準拠していました。しかし、同行にはソフトウェア認証の機能が足りませんでした。デジタルバンキングトランザクション全数の約50%がモバイルデバイスを介して行われるため、これには差し迫る必要性がありました。同行は、カスタマーがハードウェアデバイスを持ち運ばなくても良く、もっと簡単で便利な認証メカニズムを探す必要がありました。

Bank of Cyprus: 課題

銀行への課題はハードウェアデバイスをソフトウェア認証と交換することではありませんでした。実際の問題は、PSD2(欧州決済サービス指令第2版)の主要な基準のひとつ、ダイナミック・リンキングに準拠する方法でした。金融取引を承認するダイナミック・リンキング(別名: トランザクション署名方式またはトランザクション認証)を実施するための要件は、Strong Customer Authentication(確実な本人認証)とCommon and Secure Communication(CSC)に関するPSD2 Regulatory Technical Standards(RTS)で重点的に議論された要件のひとつです。RTSは技術に関係がないため、ダイナミック・リンキングを実装するための特定の方法は指定されていません。しかし、RTSは決済取引の場合に、認証コードがダイナミックに支払額と支払先にリンクされなければならないことを指定しています。つまり、取引の最中に支払額あるいは支払先のどちらかでも変更されると、このコードも変更しなければならなくなります。さらに、支払情報は安全が確保されたチャネルを通じてやり取りされる必要があり、またユーザーに明確に示されなければなりません。

チームはPSD2(欧州決済サービス指令第2版)への対応は単にコンプライアンスの観点からだけではなく、ユーザーエクスペリエンスを最適化しなければならないことを理解していました。 銀行は、モバイルファーストと考えるカスタマーがBank of Cyprusアプリと別の認証アプリを切り替えて使うというシナリオは避けたいと考えていました。

「銀行のIT部署の協力と、当社のインフォメーションセキュリティ部署や同行の他の部署からのガイダンスを得て機能仕様について書き出し始めた日から、最大の要件は、ソフトウェアオーセンティケーターを完全にBank of Cyprusモバイルアプリと統合することでした。」とToula Efthymiadou氏が述べています。銀行のデジタルサービスチャネル部署では、Toula氏がデジタルサービスチャネルのビジネスソリューション部署を率いています。Toula氏はオンラインバンキング、モバイルアプリ、ATMチャネルのビジネス開発を管理し、またカスタマー認証テクノロジーの責任者でもあります。

「シームレスなカスタマーエクスペリエンスの提供が鍵です。PSD2(欧州決済サービス指令第2版)コンプライアンスがカスタマーに負担にならないことが重要でした。」とToula氏が説明しています。

ケーススタディ

キプロス銀行のケーススタディ

Bank of CyprusがPSD2に準拠するためにソフトウェア認証とトランザクション固有のワンタイムパスコード(OTP)をどのように実装したかをご覧ください。

今すぐダウンロード

Bank of Cyprus: ソリューション

PSD2(欧州決済サービス指令第2版)RTSに関する審議が行われ、OneSpanのソリューションが基準に適合していることをデモンストレーションで確認し、Bank of CyprusはOneSpanのソフトウェア認証と、プッシュ通知オプションとCronto®(クロント)ビジュアルトランザクション署名方式を採択しました。これらはすべてOneSpan Mobile Security Suite(ワンスパン モバイル セキュリティ スイート)のSDKを介して統合されています。

アカウントログインとダイナミック・リンキングに、銀行はBank of Cyprusモバイルバンキングアプリに直接実装されたソフトウェア認証を導入することにしました。モバイルバンキングアプリを利用しないけれどもオンライン決済を行うカスタマーには、銀行はOTPワンタイムパスワード認証コードをSMS(オンライン)またはCrontoコード(オフライン)で受け取る機能を提供しています。

OneSpan Cronto(クロント)

Crontoテクノロジーは暗号化取引データを表すカラーの記号を使用しています。ユーザーが取引を開始するとき、

  1. 支払データをブラウザのオンラインバンキングアプリケーションに入力します。次にバンキングサーバーは、支払データからカラーの記号を生成しブラウザにそれを表示します。
  2. カスタマーのモバイルデバイスのカメラで記号をスキャンします。デバイスはその記号を復号し、支払データを解読して、ユーザーに明確なテキストとして表示します。
  3. デバイスを認証すると、デバイスに保存されている暗号鍵を使って支払データの認証コードが算出されます。(注意: 他のソリューションとは異なり、Cront記号は認証されたユーザーの認証デバイスでのみ読み取ることができます。コードは普通のデバイスで読み取られることはありません。)

この対応は、PSD2(欧州決済サービス指令第2版)Regulatory Technical Standardsに書かれているダイナミック・リンキングの要件をすべて満たしています。

3か月で試験導入をライブに

銀行はモバイルバンキングアプリとの統合と銀行のITチームが扱っていたことすべてを外注しました。

「ビジネス側で機能仕様を100ページの文書にまとめていたため、長期の実装を予想していました。とても細かく記載され、あらゆるシナリオでカスタマーに体験してもらいたいと考えていたことが正確にステップごとに説明されています。」とToula氏が話しています。

ITチームはこのプロジェクトの優先度をできるだけ高くして、集中的に取り掛かりました。その結果、プロジェクトは3か月でライブ(試験)導入できました(2016年10月〜2017年1月)。「実装開始からライブ導入まで3か月です。これほど迅速にライブ導入できたことに驚いています。」

バンクモバイルアプリで作成された支払を認証

現在までにカスタマー採用度30-40%

「統合認証の採用は、現在のところ30〜40%です。これを購入した方々は、ハードウェアデバイスを使う状態に戻りたくないと話しています。ソフトウェア認証を一度試したら、とても楽です。シームレスだし、とても使いやすいです。」

銀行はカスタマーにハードウェアトークンをソフトウェア認証に置き換えることを推奨していますが、多くの取引は未だにハードウェアトークンのOTPを用いる署名式(すなわち、ダイナミックにリンクされた状態)で行われています。「モバイルアプリの使用が追いついてきていますが、ソフトウェア方式を利用している最初のカスタマーは技術に精通した領域にいます。」とToula氏は話しています。「コールセンターに寄せられるカスタマーフィードバックによると、個人契約の方は統合ソフトウェア認証エクスペリエンスを好んでいるようです。総合して、非常に高い採用度合いで見ると、ソフトウェア認証が最も好まれ、次にCrontoコードが続いています。」

付加的なメリットとしては、銀行がTouch IDやFaceIDといったテクノロジーを有効にしているため、カスタマーからBank of Cyprusは現代的であると認識されています。「Bank of Cyprusを市場リーダーとして強化することは、Touch IDまたはFaceIDをデバイスに搭載するようなものです。ソフトウェア認証により、この認識も強化されました。これを導入したとき、カスタマーから肯定的なコメントをいただきました。新しい現代的なアプリケーションとテクノロジーを導入することは、カスタマーロイヤリティにプラスになります。」

20年間、Jeannineはテクノロジーとそれを日常の課題を解決するためにどのように適用するかについて書いてきました。ジェニンは、OneSpanのコンテンツディレクターとして、金融機関やその他の組織がセキュリティおよび電子署名ソリューションから価値を得る手助けをすることに焦点を当てたライターおよびコンテンツ開発者のチームを率いています。Jeannineはl'Universitéde Sherbrookeでプロフェッショナルライティングの学士号を取得しています。