認証ソフトウェアとは何ですか?
認証ソフトウェアとは、ハードウェア・デバイスの代わりに、ソフトウェア・アプリケーションまたはモバイル・アプリを介してユーザーを認証する手段です。これは、モバイル認証、ソフトトークン認証、またはフォン・アズ・ア・トークン認証とも呼ばれます。認証ソフトウェアは、デスクトップやモバイルデバイスで口座にログインする際、または銀行取引を行う際に、本人確認を行うために使用されます。これにより、ハードウェア認証機を携帯する必要がなくなります。
認証ソフトウェアは、二要素認証ソリューション(2FA)または多要素認証(MFA)プロセスの一部として使用できます。ほとんどの銀行やその他の組織では、ログイン・セキュリティのために 2FA または MFA を要求しており、2 つ以上の認証要素を組み合わせて本人確認を行います。これは次のようなものです:
- ワンタイムパスワードや秘密の質問など、知っているもの
- モバイル・デバイスなど、あなたが持っているもの
- 指紋や顔スキャンなど、あなたが持っているもの
認証ソフトウェアの使用を後押しするモバイル・デバイス
モバイル・アプリの全体的な普及により、モバイル・デバイスでのシンプルで簡単かつ適応性の高い認証プロセスに対する顧客の期待が高まっています。Juniper Research の最近の調査によると、デジタル・バンキングの総ユーザー数は 2020 年の 24 億人から 2024 年には 36 億人を超えると予想されています。認証ソフトウェアは、銀行のモバイル・アプリを通じて、または公式アプリストアからダウンロードした独立したモバイル認証アプリを通じて行うことができます。携帯電話をログインの認証に使用することもできます。携帯電話は、指紋や顔スキャンなどの他の認証手段や、モバイルデバイス上の認証アプリで生成されたワンタイムピンと組み合わせて2FAを実現できるものだからです。その結果、お客様はパスワード管理から解放され、シームレスなエクスペリエンスを得ることができます。携帯電話を使用することで、同じことを行うためにスマートカードなどのハードトークンを持ち歩かなければならない不便さが解消されます。
さらに、独自のMFAソフトウェアを構築することを選択する開発者もいますが、開発者のソフトウェアがMFAソフトウェアと統合できるようにするアプリケーション・プログラム・インターフェース(API)を使用して、既存のMFAソフトウェア・ソリューションをアプリに組み込む開発者も多数います。
モバイル認証方法
安全なアクセスを提供するために、モバイルデバイス上で簡単かつ迅速に使用できるさまざまなモバイル認証ソフトウェア技術があります。
例えば、携帯電話にスタンドアロン認証アプリをインストールし、ボタンをタップするとワンタイムパスコード(OTP)が生成され、二要素認証プロセスで使用することができます。このOTPは SMSで送信することもでき、安全な認証を実現します。また、アプリやデバイスが対応していれば、指紋や顔を使ってモバイルバンキングアプリにログインすることもできます。
バイオメトリクス認証(指紋または顔のスキャン)を使用して、モバイルバンキングアプリにアクセスできます。指紋はOTPのロックを解除し、裏側であなたを認証します。アップル(iOS)のTouch IDまたはFace IDは、生体認証のためのデバイスネイティブです。Androidのフレームワークにも顔認証と指紋認証があります。 しかし、デバイス内の専用ハードウェアに依存しないバイオメトリクス認証システムは、サードパーティとみなされ、銀行や金融機関がバイオメトリクスでより多くの顧客にサービスを提供できるようになります。
さらに、ログインが許可される前にプッシュ通知を受け取ることができます。プッシュ通知(パスワードレス認証と見なされる)は、本人のデバイス上のセキュア・アプリケーションに直接短いメッセージを送信し、認証の試みが行われていることを警告することで、ユーザー認証を可能にします。
トランザクションの認証では、プロセスは異なります。Crontoコードを使用して、金融取引を認証または承認することができます。この場合、QRコードに似たグラフィカルな暗号がウェブブラウザに表示されます。Crontoコードは登録したデバイスだけが読み取ることができるので、非常に安全です。取引を行う場合は、ブラウザのオンラインバンキングアプリケーションに支払いデータを入力します。その後、QRのようなコードが表示されますので、携帯端末のカメラを使って読み取ってください。携帯端末はQRコードを解読し、決済データを復号化し、プレーンテキストで携帯端末に表示します。このアプローチは、欧州連合の改正支払サービス指令(PSD2)規制技術基準で概説されているダイナミック・リンクの要件を満たしています。
認証ソフトウェア導入のベストプラクティス
認証は、1つのサイズですべてに適合するものではありません。上記のように、認証ソフトウェアにはさまざまな形態があるため、複数のソフトウェア認証オプションをサポートすることで、エンドユーザーのニーズを満たすようにしてください。ソフトトークンは、ハードウェアトークンの簡単で魅力的な代替手段として顧客に提示できます。
考慮すべきシナリオは 2 つあります。第一に、金融機関は、新規顧客オンボーディング(銀行やその他の金融機関の口座開設時に顧客を登録するプロセス)の際に、複数の認証方法について新規顧客を登録することができます。顧客のノート PC や携帯電話が安全で信頼できるデバイスとして銀行に登録されると、 銀行は、認証のために顧客を登録する必要があります。これには、生体認証、暗証番号、ハードウェア・トークンなど、さまざまな形式があります。顧客は、ユーザ・エクスペリエンスの一部として、口座にアクセスするたびに認証できるよう、認証のセットアップを行う必要があります。また、多くの銀行では、顧客が資金移動や支払いなどの金融取引を承認できるように、認証を使用しています。
第 2 に、すでにハードウェア認証機を使用している金融機関に対しては、段階的なアプ ローチによる認証ソフトウェアの導入を推奨しているところが多い。金融機関は、ソフト・トークンとハード・トークンの両方を一定期間使用する計画を立てるべきです。特定の顧客は、モバイル認証を好むにもかかわらず、バックアップとしてハード・トークンの 両方を望むでしょう。多くの金融機関は、まず顧客調査を行い、モバイル・ファーストの顧客など、ハードウェア認証機 器をソフトウェア認証に置き換える準備ができているユーザ・グループを特定します。顧客の準備状況に応じて段階的なアプローチを取ることで、デジタル・ネイティブやモ バイル・ファーストの顧客の満足度を高めることができ、同時に他のユーザを教育する時間 を確保することができます。
最後に、従業員にソフトウェア認証を提供する方法を検討する場合、金融機関やその他の組織では、企業ネットワークや電話に対する要件や考慮事項が異なります。これには、従業員の携帯電話に認証アプリをプロビジョニングすること、シングル・サインオン(SSO)を通じて従業員を認証すること、仮想プライベート・ネットワーク(VPN)を通じて社内システムやポータルへのアクセスを確保すること、またはアイデンティティとアクセス管理のためのその他の戦略が含まれます。
認証サービス・ソフトウェアによるセキュリティ強化
認証ソフトウェアは、オンライン・バンキングやモバイル・バンキングの利用者を強力に保護します。不正行為を防止するために、認証されたユーザーと登録されたデバイスをリンクします。顧客がスマートフォンを紛失した場合、通常はすぐにわかります。認証ソフトウェアを使用している場合、紛失したハードウェアトークンを探すよりも、顧客と銀行がデバイスを迅速にシャットダウンし、不正行為を防止することができます。データ漏洩やハッカーによるアカウント乗っ取りが後を絶たないため、ユーザー名とパスワードだけに頼るのは、ユーザーIDの安全性を保つ上でもはや安全とは言えません。
標準的な多要素認証機能に加え、多くの企業はエンタープライズ・グレードのリスクベース認証ソフトウェア(RBA)に移行しています。認証ソフトウェアは、リスクベース認証アプローチの一部として使用することもできます。リスク・ベース認証とは、不正防止システムのリスク・エンジンが認証チャレンジをトランザクションのリスク・レベルに適合させるものです。認証ソフトウェアは、電子メールやテキストで感情に訴えかけ、顧客に悪意のある添付ファイルやリンクをクリックさせるフィッシング攻撃の防止にも役立ちます。上記のように、画像処理デバイスで読み取ることができる QR のようなコードは、暗号化された取引の詳細がすべて銀行と顧客の間でのみ通信されるため、ハッカーによる傍受や改ざんのリスクが低く、中間者(Man-in-the-Middle)攻撃の防止に役立ちます。さらに、ソフトウェア・トークンは、指紋や顔スキャンなどのバイオメトリクスを使用することができます。
認証ソフトウェアによる顧客体験の向上
認証ソフトウェアがより良い顧客体験を提供するのは、顧客がパスワードやPINを追跡するためにハードウェアトークンを携帯する必要がなくなり、顧客にとって不必要な摩擦が減るからです。ソフトトークンはシンプルで使い勝手がよく、スマートフォンの普及により利用が拡大すると予想されます。ソフトトークンは、簡単でありながら強固な認証を安全に提供するため、顧客のロイヤルティと成長を高めることができます。ソフトトークンは、ワンタイムパスコード、バイオメトリクス、その他の認証機能により、顧客がログを取る際や金融取引を行う際に、さまざまな、しかし簡単なソリューションを提供します。