AaaS(Authentication as a Service)とは?
AaaS(Authentication as a Service)とは、金融機関が多要素認証(MFA)を利用して安全に顧客を認証できるよう、クラウド上で認証機能を提供するサービスです。金融機関はクラウド・コンピューティングに移行しており、オンプレミスの認証機器や技術を保守、アップグレード、交換する必要性は低くなっています。今日、COVID-19 の大流行によってデジタル化の進化が加速し、顧客は銀行とのより多くのデジタル体験を期待しています。サービスとしての認証により、金融機関はネットワーク・インフラの修理・交換コストを削減し、不正行為を軽減することができます。また、顧客の需要に応じて規模を拡大したり縮小したりすることも可能です。サービスとしての認証は、アプリケーションやチャネル全体の認証を強化・合理化し、ハードウェアとソフトウェアの認証方法を組み合わせてサポートします。
サービスとしての認証多要素認証方式
サービスとしての認証では、ログイン・セキュリティのために多要素認証(MFA)を使用します。これは次のようなものです:
- ワンタイムパスコード(OTP)や秘密の質問に対する答えなど、知っているもの
- モバイル・デバイスなど、あなたが持っているもの
- 指紋や顔スキャンなど、あなたが持っているもの
多要素認証を実現するには、少なくとも 2 つの異なる技術グループの少なくとも 2 つ の異なる技術を認証プロセスに使用する必要があります。その結果、暗証番号とパスワードの併用は MFA とはみなされませんが、暗証番号と第 2 要素としての顔認証の併用は MFA とみなされます。また、2 つ以上の認証形式を使用することも認められます。しかし、ほとんどの人は、摩擦のない認証(過剰なセキュリティ・ステップを実行する必要なく認証できること)を望むようになってきています。
また、Authentication as a Serviceは、FIDOのようなオープンスタンダード、バイオメトリクス(顔認証や指紋スキャンを含む)、Crontoのような帯域外認証、QRのようなコード、次世代ハードウェアなどの最新技術にも対応しています。
サービスとしての認証を使用する利点
過去10年間、ITサービスやアプリケーションのクラウドやハイブリッド・クラウドの導入が拡大してきました。COVID-19の大流行は、銀行のデジタルトランスフォーメーションと近代化イニシアチブを加速させました。パンデミックは、顧客のデジタル行動も加速させました。人々は今、金融機関とのデジタルなやり取りが増え、それがシームレスであることを期待しています。こうした取り組みをオンプレミスのインフラでサポートすることは、特にパンデミック時には困難です。これが、クラウドベースのソリューションに注目が集まる一因となっています。
Aiteグループのレポート「デジタル・ファースト・バンキングの台頭」は、コロナウイルスの大流行が消費者の生活のあらゆる場面での関わり方を変えた今、消費者が世代に関係なくデジタル・ファーストになること、そして金融機関がその準備ができているかどうかを考察しています。「COVID-19の危機は、デジタルの普及と利用の軌道を本格的に押し上げています。"デジタル・ファーストのバンキングは新たな規範であり、金融機関にとって、新たなデジタル体験を構築し、既存のデジタル・プロセスを最適化して摩擦を減らすことが、これまで以上に重要になっています。"
以下は、サービスとしての認証の利点です:
- オンプレミスに機器を置く必要がありません:サービスとしての認証により、金融機関はIT部門の運用コストを削減できます。
- 余分なITスタッフが不要:IT機器はメンテナンスや交換が必要です。サービスとしての認証では、サードパーティのサービス・プロバイダが、アプリケーショ ンがホストされている機器の保守を担当するのが一般的です。例えば、インフラ・エンジニアのような高度なスキルを持つスタッフは、メンテナンス作業に時間を費やす代わりに、他のITプロジェクトに再割り当てすることができます。サービスとしての認証はパスワードレスであるため、多忙なITチームにとってパスワードの再設定が不要になります。
- 運用コストの削減、運用効率の向上サービスとしての認証により、金融機関はサーバー機器、ネットワーク・インフ ラ、ネットワーク・メンテナンス、ホスティング、セキュリティ手順などの継続的な 交換コストを削減できます。その結果、運用コストはオンプレミスの導入よりも低くなり、一貫性が高まるため、安全なアクセスを提供しながら運用効率を高めることができます。
- 拡張性:サービスとしての認証により、銀行は現在の需要を満たすために必要なスケー ルアップやスケールダウンが可能になります。そのため、オンプレミスで新しいサーバー機器を導入するよりも、クラウドサービスの容量を追加購入する方が価格設定が複雑でなく、コストもかかりません。
- 迅速かつ容易な展開: サービスとしての認証は、IT インフラの購入、プロビジョニング、デプロイメントを必要とせず、数週間でデプロイできます。逆に、オンプレミスでの展開には、予算やその他の要因にもよりますが、数ヶ月から1年かかる場合もあります。
- 柔軟な認証オプション:Authentication as a Serviceは、ソフトウェアと ハードウェアのハイブリッド認証テクノロジー、継続的モニタリング、デバイスとマルチユーザー・チャネル・プロファイリングをサポートします。また、機械学習やリスクエンジンを利用したリスクベース認証など、より包括的なソリューションへのシームレスなアップグレードも可能です。
Authentication as a Serviceを利用した3つのケーススタディ
ケーススタディ#1: 日本の銀行がクラウドベースの認証に移行
課題: この日本の銀行は、2019年11月にモバイルバンキングアプリをリリースしました。当初、アプリの機能は限られており、ユーザーは残高を確認することしかできませんでした。また、オンラインチャネルで使用されていたレガシー認証プロセスは、満足のいくモバイル体験を提供していませんでした。顧客は電子メールでワンタイムパスワード(OTP)を受け取り、ウェブポータルでパスワードを入力する仕組みでした。このエクスペリエンスは、モバイルにはうまく反映されませんでした。そこで銀行は、クラウドベースの認証と取引データ署名を導入し、アプリを通じた送金を安全に行えるようにすることにしました。このプロジェクトのスケジュールは、プロジェクト開始から3ヵ月後にアプリの更新版をリリースする必要があったため、非常にタイトでした。通常、新しい認証ソリューションを既存のアプリに統合し、それをサポートするためにオンプレミスの認証サーバーを導入すると、完了までに1年以上かかる可能性があります。そこで同行は、クラウド上の認証サーバーに移行することにしました。
その結果:現在、顧客はアプリ内でワンタイムパスワードを受け取るか、指紋生体認証を使用して認証することができます。その結果、モバイル・バンキング・アプリの機能を拡張しながら、信頼性が高く、安全で、便利な顧客体験が実現しました。
ケーススタディ#2:フィンテックがノルウェーの全銀行にクラウド認証を提供
課題:このユースケースでは、ノルウェーのフィンテック企業が、ノルウェーの銀行に本人確認と電子署名のための安全でコスト効果の高い認証ソリューションを提供しています。認証を行うには、ユーザーはハードウェア認証装置を使用する必要があり、エンドユーザーに必要なセキュリティを提供していました。しかし、顧客からのフィードバックによると、モバイル・デバイスを使用できるソフトウェア認証ソリューションに対する要望がありました。同組織は、顧客体験の向上とバイオメトリクスの導入のために、ユーザーを認証する新しいモバイル・アプリを発表することを決定しました。この組織は、ノルウェーのすべての銀行が一部所有しており、すべての銀行がこのサービスを利用しています。その結果、ノルウェーの各銀行が新しい認証サーバーをオンプレミスに導入する必要があるため、オンプレミス認証ソリューションを検討することができませんでした。
結果クラウドベースの認証を使用することで、銀行はユーザー認証に認証アプリを簡単に導入することができました。アプリの導入により、ユーザーは指紋生体認証とプッシュ通知による多要素認証(MFA)にアクセスできるようになりました。この新しいエクスペリエンスは、顧客にとって格段に便利であることが証明され、認証アプリをダウンロードした顧客は、ハードウェア認証装置を安全に廃止することができました。
ケーススタディ#3: 医療機関がコスト削減のためにクラウド認証を導入
課題:このヘルスケア・ソフトウェア開発会社は最近、サービスとしての認証に移行することで、セキュリティ戦略を近代化しました。同社は、医師や医療専門家が患者と必要な規制薬をつなぐ電子処方箋(Electronic Prescription of Controlled Substances:EPCS)ソリューションを販売しています。医療情報のプライバシーの問題や、薬が悪用される可能性など、センシティブなデータが関係するため、認証とユーザー・アイデンティティはソリューションの非常に重要な要素です。
結果同社は、認証を可能にするサーバーの購入、サポート、保守に関連するコストを回避するため、オンプレミスの実装からクラウドベースの認証サービス・プロバイダーに移行しました。同社はまた、導入、評価、あらゆる規制への準拠の確認が容易なソリューションで、認証プロセスを既存の製品に統合したいと考えていました。
Authentication as a Service(サービスとしての認証)が不正行為を軽減する方法
金融機関は、実績と信頼性のあるセキュリティ・インフラ上でクラウドベースのMFAを利用することで、詐欺の脅威から顧客を守ることができます。2020年に入ってから、Twitter、Zoom、マリオット(この数年で2回目の情報漏えい)[JM2]などで著名な情報漏えいが発生しています。多くの人々が複数のアカウントで同じ固定パスワードを唯一の認証手段として使用しているため、パスワードや電子メールアドレスのデータ漏洩は消費者に深刻な結果をもたらす可能性があります。
COVID-19の大流行の結果、サイバー犯罪者はその取り組みを強め、フィッシングサイトの数は今年の初めから350%増加し、ロックダウンが始まって以来、ショッピング詐欺の被害額は1,660万ポンド(2,080万米国ドル)に上っています。フィッシングは依然として
Verizon's 2020 Data Breach Investigations Reportによると、認証情報を盗むという点では、フィッシングは依然として攻撃者に好まれる手法です。さらに、ダークウェブには150億件以上の認証情報が出回っており、サイバー犯罪者はアカウント乗っ取り攻撃やその他の形態の詐欺を行うために必要なものをすべて手にしています。
また、デジタルの進化は、モバイルの台頭、デジタルチャネルの拡大、アプリケーションや製品の増加をもたらしました。その結果、認証セキュリティに対するアプローチがサイロ化し、IT スタッフがさまざまなソリューションを管理する負担が大きくなっています。Authentication as a Service は、一元化されたセキュリティを提供し、銀行が詐欺攻撃、特にソーシャル・エンジニアリングやフィッシング攻撃から顧客を確実に保護できるようにします。
サービスとしての認証による顧客体験の向上
脅威の状況を考慮すると、AaaS(Authentication as a Service)は銀行がユーザー認証のセキュリティを維持し、デジタル・バンキングの顧客の信頼を高めるのに役立ちます。生体認証やアプリ内プッシュ通知など、ユーザーフレンドリーなモバイル認証オプションにより、顧客は摩擦のないユーザー体験を得ることができます。顧客はますますデジタルな行動を取るようになり、クラウド経由で安全な認証を得ることができます。
規制コンプライアンスへの対応
Authentication as a Serviceは、安全なオンライン決済のためのPSD2のStrong Customer Authentication (SCA)要件を満たすように設計されています。多要素認証、ダイナミック・リンク(中間者攻撃への対策)、モバイル・セキュリティ、生体認証技術によってこれを実現します。SCA要件は、不正行為を制限し、オンライン決済のセキュリティを強化するのに役立ちます:
- 顧客が知っているもの(暗証番号、パスワード、セキュリティ質問など)
- 顧客が持っているもの(例:デバイス)
- 顧客が持っているもの(例えば、デバイス) 顧客が持っているもの(例えば、デバイス) 顧客が持っているもの(例えば、指紋や顔認識などのバイオメトリクスデータ) 顧客が持っているもの(例えば、指紋や顔認識などのバイオメトリクスデータ
取引時には、取引の価値と受取人の身元が表示され、少なくとも 2 つの所有要素が使用されなけれ ばならないため、ダイナミック・リンクも金融機関のコンプライアンス達成に役立ちます。これらの所有要素は、取引の開始と検証時に、支払者が指定した金額と受取人に取引を動的にリンクする必要があります。
戦略的重要性
Authentication as a Service は、クラウドベースの多要素認証を使用して、セキュリティ、厳格な規制遵守、シームレスな顧客体験を提供し、成長を促進します。Authentication as a Service は、クラウドコンピューティングリソースを活用し、より優れたユーザーエクスペリエンスとユーザー管理を提供する、ID・アクセス管理の現代的なアプローチ方法です。迅速に導入できるソリューションにより、銀行は即座に効率化を実現できます。ほとんどの AaaS プロバイダーは、エンタープライズ・アプリケーションに簡単に統合できるプラグインや API(RESTfulサービスなど)を備えているため、Authentication as a Service も迅速な展開をサポートします。
AaaS は、強力な認証だけでなく、アクセス・コントロール・ポリシーを提供することで、セキュリティのレイヤーを増やします。クラウドにおける機密性は、暗号化・復号化手順、ハッシュ化、デジタル署名、証明書、鍵交換管理など、さまざまなアルゴリズムを適用することで実現されます。クラウドベースのMFAは、デジタル化が進む顧客の行動もサポートします。オンプレミスのインフラからクラウド上のサービス・プロバイダーに移行することで、金融機関やその他の組織は、カスタマイズや、リスク・ベース認証や適応型認証など、より包括的な認証ソリューションの基盤を築くことができます。