OneSpanがForgeRockIdentityPlatformの価値をどのように拡張するか

David Vergara, 2021年10月29日

最近のウェビナーでは、銀行の成長の加速:実証済みの不正管理と次世代MFAの組み合わせ、私たちはForgeRockと協力して、デジタルバンキングのセキュリティと、安全で簡単なユーザーエクスペリエンスを確保する方法について話し合いました。

優れたカスタマーエクスペリエンスを提供することは、正当な顧客がサイバー犯罪者を排除しながら、オンラインアカウントとモバイルアカウントに簡単にアクセスできるようにすることから始まります。 ForgeRockは、統合された広範なIDプラットフォームでこれを可能にします。 ForgeRockのソリューションは、組織がオンラインバンキングの顧客と従業員の認証エクスペリエンスをシンプルに構成するのに役立ちます。 ソーシャル認証からパスワードなしの認証まで、金融機関は顧客のオンボーディング、ログイン、アカウントのメンテナンス、金融取引などの認証プロセスをすばやく構成できます。

ForgeRockの1つとしてデジタルセキュリティパートナー、OneSpanは、リスクベース認証、モバイルアプリのシールド、およびさまざまなユーザーフレンドリーな認証オプションを備えたForgeRockのプラットフォームに追加の保護レイヤーをもたらします。

ウェビナーでは、ForgeRockのグローバルビジネスおよび企業開発担当シニアバイスプレジデントであるBen Goodmanに、これらの追加のセキュリティレイヤーの価値について話しました。 アカウントの乗っ取りや不正アクセスなどの脅威からの保護に加えて、OneSpanのすべてのセキュリティテクノロジーが連携して、迅速でシームレスな認証エクスペリエンスを提供します。

これは、OneSpanを使用してForgeRockプラットフォームでより多くのことを行うことのコアバリューです。 組織は、各デジタルトランザクションのリスクをリアルタイムで評価し、それに応じて認証を動的に調整することができます。 これにより、正当な顧客に最高のユーザーエクスペリエンスを提供すると同時に、犯罪者を玄関先で阻止することができます。

このウェビナーを見逃した方のために、ここに要約を示します。 プレゼンテーション全体にアクセスすることもできますオンデマンド

詐欺は、より良い認証とID管理の必要性を促進します

アカウント乗っ取り詐欺(ATO)は、金融業界全体で引き続き大きな問題となっています。 2019年から2020年にかけて、アカウント乗っ取り詐欺は250%増加しました。 2020年には、アカウントの乗っ取り防止のために推定150億ドルが費やされました。 詐欺の増加はCOVID-19の影響を大きく受けますが、金融機関に対する攻撃が増加する傾向は、日和見詐欺師がセキュリティシステムの弱点を利用するために増加し続けるでしょう。 特に、新しい銀行口座の作成に関しては、脆弱性が明らかになっています。 銀行口座は、2020年に引き継がれた口座のほぼ3分の1を占めています。

しかし、なぜ金融業界は依然としてアカウント乗っ取り詐欺に苦しんでいるのでしょうか。 その理由は、金融機関にはまだ使いやすさとセキュリティのバランスをとる能力が不足しているためだと考えています。 安全なユーザーエクスペリエンスよりも簡単なユーザーエクスペリエンスを選択することがもはや問題ではなくなったとき、最終的には多くの人がセキュリティを犠牲にしてユーザーエクスペリエンスを支持しています。 今日、リスクベース認証により、銀行は両方を持つことができます。

さらに、金融機関が不注意にセキュリティの脆弱性を導入するさまざまな領域があります。 それらの1つは、古い認証方法によるものです。 たとえば、ユーザー名とパスワードは簡単にハッキングされ、その結果、アカウントの乗っ取りにつながります。 専門家は、リスクベース認証(適応認証またはステップアップ認証とも呼ばれます)を通じて適用される多要素認証(MFA)を使用して最新化することを推奨しています。

適応認証は、ワンタイムパスワード(OTP)、帯域外プッシュ通知、SMS、生体認証など、すべての多要素認証方法を調整します。 さまざまな多要素認証オプションを利用することで、不正行為から保護しながら、ユーザーエクスペリエンスを最適化します。 たとえば、シングルサインオン(SSO)は従業員に最適な場合がありますが、バイオメトリクスなどのパスワードなしの認証方法は、消費者が最も好む方法です。 しかし、すべての消費者取引が指紋生体認証または顔面スキャンを必要とするわけではありません。

金融機関は、トランザクションのリスクレベルに基づいて、認証のユーザーエクスペリエンスをリアルタイムで動的に適応させる機能を必要としています。 リスクの高いアクティビティでは追加の認証チャレンジが必要ですが、リスクの低いアクションでは認証がまったく必要ない場合があります。

ForgeRockIDプラットフォーム

ForgeRockIDプラットフォーム

ForgeRock Identity Platformには、次の4つのコンポーネントがあります。

  • ForgeRock ID管理新規顧客の登録方法やオンボーディング方法などのID管理プロセスに使用されます。
  • ForgeRockアクセス管理さまざまな状況でユーザーを認証する方法を決定します。 この機能は、元のOpenAMオープンソースプロジェクトに基づいています。
  • ForgeRock Identity Governanceプラットフォームは、ユーザーが必要なものだけにアクセスできるようにします。 基本的に、WebトラフィックとAPIのIDゲートウェイを提供します。
  • ForgeRockディレクトリサービスLDAPディレクトリサービスです。 ノーコードSDKおよびAPIを介してForgeRockサービスを簡単に統合できるツールが含まれています。 ForgeRockの機能は、OAuth 2.0、OpenID Connect、SAML、FIDO2、UMAなどの標準に基づいていることに注意してください。

顧客の銀行セッション内で何が起こっているかを理解するために、ForgeRockプラットフォームはコンテキストデータを取り込みます。 データにより、動的なリアルタイムの意思決定が可能になります。

ForgeRockプラットフォームの基本的な側面の1つはインテリジェントアクセス。 ForgeRock Intelligent Accessは、ランタイムワークフローエンジンです。 新しいユーザーのオンボーディングや登録から、ユーザーがいつでも最も適切な認証を使用していることを確認するまで、IDアクションを調整します。 ForgeRockはこれを使用して、登録、認証、セルフサービス、パーソナライズなど、カスタマージャーニー全体に対応します。

上のビデオでは、ForgeRockのドラッグアンドドロップ認証ツリーを使用して簡単に構成できるいくつかの認証フローを示しています。 プラットフォーム内で、金融機関はOneSpanの機能を簡単に選択し、それらをワークフロービルダーにドラッグして、新しい認証ワークフローをより簡単に作成できます。

ユーザー登録ツリー内には、次のように呼ばれるいくつかのコンポーネントがあります。認証ノードまた決定ノード。 これらのノードは、銀行の要件に合わせて構成できます。 次の例を考えてみましょう。 金融機関が顧客登録プロセスの一部としてFacebookからのソーシャルログインを含めたい場合、銀行はソーシャルログインノードをキャンバスにドラッグアンドドロップするだけで、プラットフォームはこの新機能でワークフローを数秒で動的に更新します。

ForgeRockでの認証チェーンと認証モジュールのプロパティの構成の詳細については、こちらを参照してください。ガイド

OneSpanは適切なレベルのセキュリティでリスクに対処します

OneSpanは、卓越したエクスペリエンスを生み出すデジタルIDおよび不正防止ソリューションを専門としています。 OneSpanのクラウドソリューションはForgeRockAccess Managementと統合されており、不正をより適切に検出し、ユーザーエクスペリエンスを向上させます。

リスク分析は、OneSpanとForgeRockの統合の中核です。 OneSpan Risk Analyticsは、異常な動作を探して、すべてのユーザーセッションを分析および評価する継続的な機能を提供します。 デバイス、トランザクション、およびユーザープロファイルデータのパターンを検出し、不正をより迅速かつ正確に検出します。 たとえば、さまざまなアカウント乗っ取りシナリオを見ると、データの侵害の一般的な指標があります。 例としては、悪意のあるヘッダー、フィッシングサイトからのリファラー、悪意のあるCookie、悪意のあるデバイスまたはIPアドレス、非人道的な速度、キーボードオーバーレイなどがあります。

リスク分析は、OneSpanのインテリジェント適応認証テクノロジーの中心です。 Intelligent Adaptive Authenticationは、ForgeRock Access Managementと統合されており、アカウントの乗っ取りなどの攻撃から防御しながら、金融機関が顧客を認証するためのより多くのオプションを提供します。 ユーザーのデバイスとモバイルアプリの整合性、動作、トランザクションの詳細、およびその他のデータのスコアに関するデータを収集して、リスクを理解し、適切なレベルの認証を調整します。 リスクの高いアクティビティは追加の認証要件を開始しますが、リスクの低いアクションは認証をまったく必要としない場合があります。

継続的なクライアント側の認識とスコアリング

詳細についてはOneSpanおよびForgeRock認証のユースケース

ForgeRock機能にモバイルアプリのセキュリティを追加する

モバイル環境は絶えず進化しており、あらゆる種類の進歩とともに、あらゆる場面で新たな脆弱性と脅威が発生しています。 Sonatype DevSecOps Community Survey 2020に関するGartnerのレビューによると、多くのアプリ開発者はモバイルセキュリティの専門知識を欠いており、アプリのセキュリティではなく機能に重点を置く傾向があります。

その結果、モバイルバンキングアプリはセキュリティの脅威に対して脆弱なままになります。 Google Playストアからダウンロードされ、セキュリティ監査の対象となった30の金融サービスアプリの調査によると、

  • 97%がリバースエンジニアリングに対する防御を欠いていました
  • 90%がアプリの外部に安全にデータを保存していません
  • 80%が誤って実装された、または弱い暗号化を使用した

モバイルアプリのシールドは、最新のモバイルバンキングから保護するローコードテクノロジーです。

トロイの木馬、リバースエンジニアリング手法、およびいくつかの種類の実行時の脅威。 また、安全な実行環境を構築し、ジェイルブレイクされたデバイスなどの信頼できないモバイルデバイスでもモバイルアプリを安全に動作させることができます。

これにより、モバイルバンキングアプリが攻撃から強化されます。 ユーザーのデバイスを実際に保護するエンドポイントセキュリティとは異なり、モバイルアプリのシールドは、ユーザーのデバイスで実行されているモバイルバンキングアプリを保護します。 これは、シームレスなユーザーエクスペリエンスを提供し、不正行為を打ち負かしながら、モバイルチャネルを保護するための最も堅牢な方法を提供します。

OneSpanおよびForgeRockの認証とID管理

OneSpanとForgeRockはともに、金融サービスプロバイダーに、顧客を認証し、金融詐欺のリスクを軽減するための包括的なアプローチを提供します。 当社の統合された機能により、銀行は顧客に安全で簡単なデジタル体験を提供できます。

詳細については、ウェビナーの記録または私たちをご覧ください共同ソリューションのWebページ

ForgeRockとOneSpan
ビデオ

How to Grow Online Customers with Customer Friendly Authentication

OneSpanとForgeRockが、詐欺の防止に役立つと同時に、顧客体験を向上させる認証技術について話し合うのを聞いてください。

視聴する

David VergaraはOneSpanのセキュリティ製品マーケティング担当ディレクターであり、ソフトウェアセキュリティ分野で10年以上の経験があります。OneSpanの前は、Accertifyのマーケティング担当副社長を務め、オンライン詐欺検出ソリューションの市場開拓戦略をリードしていました。