AaaS(Authentication as a Service)について

AaaS(Authentication as a Service)とは何ですか?

Authentication as a Serviceは、クラウド上に認証機能を提供し、金融機関が多要素認証(MFA)を用いて顧客を安全に認証できるようにします。 金融機関は、オンプレミスの認証機器や技術の維持、アップグレード、交換の必要性を減らすために、クラウド・コンピューティングに移行しています。 今日、進行中のデジタルの進化はCOVID-19の流行によって加速され、顧客は銀行に対してより多くのデジタル体験を期待するようになっています。 認証をサービスとして提供することで、金融機関はネットワークインフラの修理や交換のコストを削減し、不正行為を抑制することができます。 また、お客様の需要に合わせて、スケールアップやスケールダウンも可能です。 サービスとしての認証は、アプリケーションやチャネル間の認証を強化、合理化し、ハードウェアとソフトウェアの認証方法を組み合わせてサポートし、適応型認証やリスクベースの認証など、より包括的な認証ソリューションにアップグレードすることができます。

Authentication as a Service: Multi-factor Authentication Methods (多要素認証)

Authentication as a Service(サービスとしての認証)では、ログイン時のセキュリティに多要素認証(MFA)を使用し、2つ以上の認証要素を組み合わせて本人確認を行います。 これはあり得る。

  • ワンタイムパスコード(OTP)や秘密の質問の答えなど、あなたが知っているもの
  • モバイル機器など、あなたが持っているもの
  • 指紋や顔のスキャンなど、あなた自身であるもの

多要素認証を実現するためには、少なくとも2つの異なる技術グループの少なくとも2つの異なる技術を認証プロセスで使用する必要があります。 その結果、PIN とパスワードの併用は MFA とはみなされず、PIN と顔認証を第二の要素として使用する場合は MFA とみなされます。 また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどの人がフリクションレス認証(過剰なセキュリティステップを踏まなくても認証されること)を求めるようになっています。

また、サービスとしての認証は、FIDOのようなオープンスタンダード、顔認証や指紋スキャンなどのバイオメトリクスCrontoのようなアウトオブバンド認証、QRライクコード、次世代ハードウェアなどの最新技術にも対応しています。

Webcast banner

Future-Proof Authentication with a Modern Cloud-Based Platform

Experts discuss how the ability to leverage a modern security platform is central not only to supporting cloud-first strategies, but for driving down fraud, boosting the user experience and reducing total operating costs in the process. 

View the Webinar

Authentication as a Serviceを利用するメリット

この10年間で、ITサービスやアプリケーションにクラウドやハイブリッドクラウドを導入するケースが増えてきました。 COVID-19の流行は、銀行のデジタルトランスフォーメーションやモダナイゼーションの取り組みを加速させました。 パンデミックの影響で、お客様のデジタル行動も加速しています。 今や人々は、金融機関とのより多くのデジタルインタラクションを期待し、それがシームレスであることを求めています。 このような取り組みは、特にパンデミック時には、オンプレミスのインフラではサポートが困難です。 これが、クラウド型のソリューションが注目される一因となっています。

Aite Groupのレポート「The Rise of Digital-First Banking」では、コロナウイルスの大流行により消費者の生活のあらゆる分野での関わり方が変化した今、世代に関係なく消費者がデジタルファーストになり、金融機関はその準備ができているのかいないのかを考察しています。 "COVID-19の危機は、デジタルの導入と利用の軌道を本格的に推し進めています」と、Aite Groupのシニアアナリスト、Tiffani Montez氏は述べています。 "デジタルファーストバンキングは新しい常識であり、今まで以上に、FIにとっては新しいデジタル体験を構築し、既存のデジタルプロセスを最適化して摩擦を減らすことが重要です。"

ここでは、Authentication as a Serviceのメリットをご紹介します。

  • オンプレミスに機器を置く必要がない:認証サービスを利用することで、金融機関はIT部門の運用コストを削減できます。
  • ITスタッフを増やさない:IT機器はメンテナンスや交換が必要です。 サービスとしての認証では、通常、サードパーティのサービスプロバイダーが、アプリケーションがホストされている機器のメンテナンスを担当します。 例えば、インフラエンジニアなどの高度なスキルを持つスタッフは、保守作業に時間を費やす代わりに、他のITプロジェクトに再配置することができます。 サービスとしての認証はパスワードレスであるため、多忙なITチームにとってはパスワードの再設定が不要になります。
  • 運用コストの削減、業務効率の向上:認証サービスを利用することで、金融機関はサーバー機器、ネットワークインフラ、ネットワークメンテナンス、ホスティング、セキュリティ対策などの継続的な交換コストを削減することができます。 その結果、運用コストはオンプレミス型に比べて低く、安定した運用が可能となり、安全なアクセスを実現しながら運用効率を高めることができます。
  • 拡張性:サービスとしての認証は、銀行がその時々の需要に応じて規模を拡大・縮小することができます。 そのため、クラウドサービスの容量を増やしても、オンプレミスで新たにサーバー機器を導入するよりも、価格設定が複雑にならず、コストを抑えることができます。
  • 迅速かつ容易な導入: サービスとしての認証は、ITインフラの購入、プロビジョニング、導入を必要とせず、数週間で導入することができます。 逆に、オンプレミスの場合は、予算などの関係で数ヶ月から1年程度かかることもあります。
  • 柔軟な認証オプション:Authentication as a Serviceは、ソフトウェアハードウェアのハイブリッド認証技術、継続的なモニタリング、デバイスとマルチユーザーのチャネルプロファイリングをサポートします。 また、機械学習とリスクエンジンを用いて不正行為の削減を支援するリスクベース認証など、より包括的なソリューションにシームレスにアップグレードすることができます。

Authentication as a Serviceを利用した組織の3つのケーススタディ

事例1:邦銀、クラウド型認証へ移行

課題: この日本の銀行は、2019年11月にモバイルバンキングアプリケーションをリリースしました。 当初、このアプリの機能は限られており、ユーザーは残高を確認することしかできませんでした。 また、オンラインチャネルで使用されている従来の認証プロセスでは、満足のいくモバイル体験を提供できませんでした。 お客様は電子メールでワンタイムパスワード(OTP)を受け取り、そのパスワードをウェブポータルに入力します。 この経験は、モバイルにはうまく反映されませんでした。 銀行は、アプリによる送金を安全に行うために、クラウドベースの認証と取引データの署名を導入することを決定しました。 このプロジェクトでは、プロジェクト開始から3カ月後にアップデート版のアプリをリリースする必要があったため、非常にタイトなスケジュールとなりました。 通常、新しい認証ソリューションを既存のアプリに統合し、それをサポートするためにオンプレミスの認証サーバーを導入すると、完了までに1年以上かかることがあります。 その代わりに、同銀行はクラウドでホスティングされた認証サーバーへの移行を決定しました。

結果:お客様は、アプリ内でワンタイムパスワードを受信して認証することも、指紋認証を利用することもできるようになりました。 その結果、モバイルバンキングアプリの機能を拡張しつつ、信頼性、安全性、利便性の高い顧客体験を実現しました。

ケーススタディ2:フィンテックがノルウェーの全銀行にクラウド認証を提供

課題:このユースケースでは、ノルウェーのフィンテック企業が、ノルウェーの銀行に対し、本人確認や電子署名のための安全でコスト効率の高い認証ソリューションを提供しています。 認証のために、ユーザーはハードウェア認証装置を使用する必要がありましたが、これはエンドユーザーに必要なセキュリティを提供するものでした。 しかし、お客様の声には、モバイル端末を利用できるソフトウェア認証ソリューションを望む声がありました。 この組織は、カスタマーエクスペリエンスを向上させるために、ユーザーを認証する新しいモバイルアプリを立ち上げ、生体認証を導入することを決定しました。 この組織は、ノルウェーのすべての銀行が一部出資しており、すべての銀行がこのサービスを利用しています。 そのため、オンプレミス型の認証ソリューションを検討することはできませんでした。オンプレミス型の認証ソリューションを検討すると、ノルウェーの各銀行が新たに認証サーバーをオンプレミスで導入する必要があるからです。

結果:クラウド型認証を利用することで、銀行はユーザー認証に認証アプリを簡単に導入することができました。 このアプリを導入することで、ユーザーは指紋認証とプッシュ通知による多要素認証(MFA)にアクセスできるようになりました。 この新しい体験により、お客様の利便性は格段に向上し、認証アプリをダウンロードしたお客様は、ハードウェア認証装置を安心して退避することができました。

ケーススタディ#3:医療機関がコスト削減のためにクラウド認証を導入

課題:このヘルスケア・ソフトウェア開発会社は、最近、サービスとしての認証に移行することで、セキュリティ戦略を近代化しました。 同社は、医師や医療従事者が患者と必要な規制薬物を結びつけるのに役立つElectronic Prescription of Controlled Substances (EPCS)ソリューションを販売しています。 医療情報のプライバシーに関する懸念や薬の誤用の可能性など、デリケートなデータが含まれているため、認証とユーザーのアイデンティティがソリューションの非常に重要な要素となります。

結果:オンプレミス型の導入から、クラウド型の認証サービス・プロバイダーに移行し、認証を可能にするためのサーバーの購入、サポート、保守にかかるコストを回避しました。 また、同社は、導入、評価、すべての規制への準拠を確認することが容易なソリューションを用いて、既存の製品に認証プロセスを統合したいと考えていました。

 

サービスとしての認証は、不正行為の防止に役立ちます。

金融機関は、実績のある信頼性の高いセキュリティインフラ上でクラウド型MFAを利用することで、詐欺の脅威から顧客を守ることができます。 2020年に入ってからは、Twitter、Zoom、そして数年ぶりに2回目の情報漏えいを起こしたMarriottなど、著名な情報漏えい事件が発生しています[JM2]。 いまだに多くの人が複数のアカウントの認証手段として同じ固定パスワードを使用しているため、パスワードや電子メールアドレスのデータ流出は、消費者に深刻な影響を与える可能性があります。

COVID-19のパンデミックの結果、サイバー犯罪者はその活動を活発化させ、フィッシングサイトの数は年初から350%増加し、ロックダウンの開始以来、ショッピング詐欺による損失は1,660万ポンド(2,080万USドル)に達しました。 フィッシングは、依然として

ベライゾンが発表した「2020 Data Breach Investigations Report」によると、認証情報を盗む際、攻撃者はこの方法を使っています。 さらに、ダークウェブ上には150億件以上の認証情報が流通しており、サイバー犯罪者はアカウント・テイクオーバー攻撃やその他の形態の不正行為を行うために必要な情報をすべて持っています。

また、進行中のデジタル進化は、モバイルの台頭、デジタルチャネルの拡大、アプリケーションや製品の増加をもたらしました。 その結果、認証セキュリティのアプローチがサイロ化し、異なるソリューションを管理するためにITスタッフに負担がかかることがよくありました。 サービスとしての認証は、集中的なセキュリティを提供し、銀行が顧客を詐欺攻撃、特にソーシャルエンジニアリングやフィッシング攻撃から確実に保護することを可能にします。

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Learn how cloud authentication is a key stepping stone to modernizing security.

Read the Blog

サービスとしての認証はどのように顧客経験を向上させるか

脅威の状況を考慮すると、サービスとしての認証(Authentication as a Service:AaaS)は、銀行がユーザー認証のセキュリティを維持し、デジタルバンキングの顧客の信頼を高めるのに役立ちます。 お客様は、生体認証やアプリ内プッシュ通知などのユーザーフレンドリーなモバイル認証オプションを利用して、摩擦のないユーザー体験を実現することができます。 お客様がますますデジタルな行動をとるようになると、クラウド経由で安全な認証が得られるようになります。

法規制への適合性

サービスとしての認証は、PSD2の安全なオンライン決済のためのSCA(Strong Customer Authentication)要件を満たすように設計されています。 多要素認証、ダイナミックリンク(中間者攻撃への対策)、モバイルセキュリティ、バイオメトリック技術などでこれを実現しています。 SCAの要件は、認証における3つの要素のうち、2つの要素でお客様を認証することが求められるため、オンライン決済の不正を抑制し、セキュリティを強化するのに役立ちます。

  • お客様が知っているもの(例:PIN、パスワード、セキュリティ質問
  • お客様が持っているもの(例:デバイス
  • お客様が何者か(例:指紋や顔認識などの生体情報

また、取引時には、取引金額と受取人の身元が表示され、少なくとも2つの所有要素が使用される必要があるため、ダイナミックリンクは金融機関のコンプライアンス達成にも役立ちます。 これらの所有要素は、取引の開始と検証の際に、支払者が指定した金額と受取人に取引を動的に結びつける必要があります。

戦略的重要性

Authentication as a Service(サービスとしての認証)は、クラウドベースの多要素認証を使用して、セキュリティ、厳格な規制遵守、シームレスな顧客体験を提供し、成長を促進します。 Authentication as a Service(サービスとしての認証)は、クラウド・コンピューティング・リソースを活用し、より優れたユーザー・エクスペリエンスとユーザー管理を提供する、最新のID/アクセス・マネジメントのアプローチです。 迅速な導入が可能なソリューションで、銀行に即時の効率化をもたらします。 ほとんどのAaaSプロバイダーは、プラグインやAPI(RESTfulサービスなど)を備えており、企業のアプリケーションに簡単に統合できるため、Authentication as a Serviceは迅速な導入をサポートします。

AaaSは、強力な認証だけでなく、アクセスコントロールポリシーを提供することで、セキュリティの層を増やします。 クラウドでの機密性は、暗号化・復号化手順、ハッシュ、デジタル署名、証明書、鍵交換管理など、さまざまなアルゴリズムを適用することで実現します。 クラウドベースのMFAは、デジタル化が進むお客様の行動にも対応しています。 金融機関やその他の組織は、オンプレミスのインフラからクラウド上のサービス・プロバイダーに移行することで、カスタマイズや、リスクベース認証やアダプティブ認証などのより包括的な認証ソリューションを実現するための基盤を築くことができます。

お問い合わせはこちら

お客様のデジタル・セキュリティ・ニーズに対する当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。