行動バイオメトリクスとは?
行動バイオメトリクスは、携帯電話の持ち方やタイピングの速さなど、その人がモバイルデバイスと接する方法を分析します。 その結果、行動バイオメトリクスでは、その人に固有の行動パターンが作成されます。 顔認証や暗証番号などの能動的な認証方法とは対照的に、行動バイオメトリクスは、お客様に追加のアクションを要求しないため受動的とみなされ、お客様のデジタルバンキング体験を向上させます。 行動バイオメトリクスと物理バイオメトリクスは使用する理由が似ていますが、区別することが重要です。 バイオメトリクスは、人の固有の身体的特徴を測定して本人確認を行うもので、指紋、顔認識、掌紋または掌静脈、虹彩または網膜認識、手の形状などがあります。
行動バイオメトリクスの仕組み
行動バイオメトリクスは、指紋のような静的な生物学的特徴に基づくバイオメトリクスとは異なり、お客様の行動を分析し、裏で継続的に認証を行うものです。 行動バイオメトリクスがしばしばパッシブと表現されるのはこのためです。 行動バイオメトリクスは、人のユニークな動きのパターンを見ることで、過去の行動と常に比較することができ、バンキングセッションの間、常に認証を行うことができ、不正防止を強化することができます。 このような分析により、アクションを行った人が正当な顧客である確率を評価するスコアが得られます。 類似度が高ければ高いほど、金融機関はその人のアイデンティティや意図を気にする必要がなくなり、ユーザーエクスペリエンスが向上します。 逆に、お客様の行動が過去のプロファイルと類似していない場合は、指紋スキャンなどの追加の認証レイヤーが必要になります。 行動バイオメトリクスと、膨大なデータを分析してリアルタイムに異常を発見できる機械学習、そしてリスク評価の技術を組み合わせることで、不正を減らすことができます。 行動バイオメトリクスデータは、各人が自分の習慣や動作の特定のプロファイルを持っており、銀行のセッション中に行っている活動と常に比較されるため、複製するのは困難です。 お客様の行動データは、プロフィールの中で数学的な表現に変換され、それにアクセスした詐欺師にとっては無意味なものとなるため、プライバシーに関する懸念はほとんどありません。 行動バイオメトリクスのアルゴリズムは、実際にバンキングセッションに参加している人が、それを行っていると推定される人であることを確実にすることができます。
行動バイオメトリクスの種類
行動バイオメトリクスはお客様の認証を変え、お客様が積極的に参加しなくてもシームレスなセキュリティレイヤーを追加します。 行動バイオメトリクスは、個人がモバイルデバイスを操作する方法を分析することで、銀行取引中の顧客固有の行動パターンを特定するために使用されます。
- スマホの持ち方:行動バイオメトリクスでは、スマホを持つ角度や、スマホを操作するときの利き手などを分析します。
- スワイプやスクロールのパターンは、端末のタッチスクリーン上で右にスワイプするか、左にスワイプするか、また、端末で上下にスクロールするかを見ます。
- キーストロークリズムは、入力の仕方やスピードを分析して、特徴的なパターンを見つけ出します。 タイピング時の指の力加減を認識可能なパターンにまとめることで、個人情報の盗難を防ぎ、オンライン詐欺のリスクを最小限に抑えることができます。
- 歩き方も行動特性のひとつで、パターンを調べることができます。
- キーパッドを押す指の動きとタイピングのリズムは、キーを押す強さ、タイピングの速さ、タイピングの間を分析し、リズムを確立します。
行動バイオメトリクスが金融サービスにおける不正防止にどのように役立つか
行動バイオメトリクスは、セキュリティ要件に対応しており、金融機関は、顧客のデバイス、場所、入力したデータにかかわらず、継続的に顧客のアイデンティティを確認することができます。 つまり、ユーザーの行動を目立たないように確認しながら、セキュリティの負担をお客様から金融機関による受動的な不正検知に移すことができるのです。 行動分析では、ログインした時間、取引額、新しい支払先、住所変更などに関する過去のデータと比較することで、ユーザーの典型的な行動からの逸脱を検出することができます。 行動バイオメトリクスは、習慣や行動によって人を識別する重要なサイバーセキュリティ技術として浮上しており、詐欺師と思われるエンドユーザーの行動パターンを識別します。 金融機関は、コストのかかる管理上の頭痛の種やエンドユーザーの摩擦を減らしながら、継続的で適応性のある認証を提供する行動バイオメトリクスなどの最新の対策をますます必要としています。
行動バイオメトリクスは、さまざまなタイプの不正を検出するために使用できます。
- アプリケーション詐欺は通常、データ漏洩の結果として発生しますが、2020年にはCOVID-19の流行が大きく影響して急増しています。 データ流出の増加により、サイバー犯罪者は個人を特定できる情報(PII)の宝庫となり、既存の個人になりすましたり、実際の個人情報と盗んだ個人情報を組み合わせて合成IDを構築したりすることができます。 この場合、行動バイオメトリクスは、申請プロセス中にいくつかの継続的なチェックを行います。 その中には、ユーザーがどれだけスムーズにアプリケーションを操作できるかということも含まれています。 お客様は、コピー&ペーストなどのキーボードショートカットやスクリプトを使って自動化し、素早く応募書類を記入しているのか、それとも個人情報を記入するのに長い時間をかけているのか。 代表的な同業者がそれをしなかったということは、詐欺師がすでにそのプロセスに精通しているということかもしれません。 また、このようなチェックは、特定の地域やユースケースに合わせて行うことができます。 例えば、ある地域の人々がID番号などを入力する際にコピー・ペースト機能を一般的には使用しないが、申請者が使用する場合、行動バイオメトリクスはこの行為を潜在的な不正行為として警告することができます。
- 新規口座開設詐欺 新規口座詐欺とは、詐欺師が銀行のオンボーディング・プロセスを無事に通過し、不正な口座が正当なものであるかのように見える場合に起こります。 ベストプラクティスは、新しいユーザーの行動を、代表的な顧客プールと比較することです。 その際、銀行の不正防止システムは、平均と比較した消費行動、一連の行動、機械のような動作やボットの動作に関連するナビゲーションデータなどの指標を分析し、不正なアカウントの検出に役立てます。
- アカウント乗っ取り詐欺は、サイバー犯罪者が被害者のログイン認証情報にアクセスし、フィッシングやマルウェアなどの攻撃によって資金や情報を盗むことで発生します。 行動バイオメトリクスは、現在の行動と過去の行動を比較してユーザー固有の異常検知を行うため、金融機関が正当な顧客をアカウント・テイクオーバー(ATO)詐欺の被害から守るのに役立ちます。
行動バイオメトリクスがリスクベース認証の一部である理由
金融機関は、バンキングセッションの最初に顧客の身元を積極的に確認することができますが、その10分後には、過去の行動とは異なる大規模な金銭取引を行おうとしている可能性があります。 多要素認証やMFA(something you know, something you have, something you are)は、最新の認証アプローチに不可欠な要素ですが、お客様に追加のステップを求めることは、お客様にとって煩わしく、フラストレーションの原因になります。 リスクベース認証(RBA)の一環として行動バイオメトリクスを使用することは、複数のデータポイントを取得し、ユーザーの利便性に影響を与えることなく分析して、顧客がトランザクションを実行する正当なユーザーであるかどうかを判断するパッシブな不正防止として機能します。
行動バイオメトリクスは、あらかじめ作成したユーザープロファイルと比較して、お客様のモバイル機器とのやり取りを分析します。 類似度が高ければ高いほど、銀行は顧客の身元や意図を気にする必要がなくなります。 お客様の行動がお客様のプロファイルと比較して類似していない場合、追加の認証レイヤーを適用することが正当化されます。
Aite GroupのアナリストであるShirley Inscoe氏によると、行動バイオメトリクスは、金融機関にとって、顧客の認証を向上させ、アカウントの乗っ取りに対抗するための効果的なツールとなります。 "行動バイオメトリクスは活動をスコア化し、スコアが疑わしい活動を示した場合に金融機関が行動を起こすことを可能にします」。 "例えば、お客様が金融機関から資金を移動している場合、口座の残高を確認している場合よりも高いスコアが必要になることがあります。
詐欺防止における行動分析と行動バイオメトリクスの補完について
行動バイオメトリクスでは、データが顧客の過去の行動と現在の行動、または代表的な仲間とどのように一致するかを評価するためのスコアを生成しますが、行動アナリティクスでは、より広範なコンテキストを考慮します。 銀行チャネルでの普段の行動や取引の習慣も、行動パターンの一部となります。 そのため、行動分析では、ユーザーのアカウントとの関わり方(通常何時にログインするか、いつもと違うタイミングで新しい支払先を追加するか、過去に何をしたか、クロスチャネルでの行動が一貫しているかなど)を考慮します。これらのデータをすべて評価して一貫した行動プロファイルを作成し、それをもとに不正行為のリスクを評価します。 このように、行動分析はユーザーの典型的な行動に依存するため、未知の不正シナリオも検出することができます。
行動バイオメトリクスに対するアナリストの意見は?
コスト削減や顧客満足度の向上により、生体認証への関心が高まっています。 "ガートナー社のリサーチ・バイス・プレジデントであるアント・アラン氏は、「アイデンティティとアクセス管理(IAM)および不正行為防止を担当するセキュリティおよびリスク管理のリーダーたちは、信頼性と説明責任、総所有コストとUX/CXのバランスがとれたアイデンティティの裏付けのためのアプローチを求め続けています。 "スマートフォンアプリで実装することで、UX/CXに一貫性が生まれ、さまざまなエンドポイントデバイスに直接対応するよりも技術的にシンプルになります。"
Infosecurity誌によると、行動バイオメトリクス認証方式は、本人が知らないうちに受動的に認証を行う仕組みを提供するため、人気が高まっているという。 "このタイプの認証に有利なもう一つの要因は、認証に必要なデータポイントの収集が動的であることです。 パスワード、PIN、指紋などの他の認証タイプは、登録時に保存された静的データまたは静的テンプレートを使用します。 このデータは、それを盗むことに成功した人が使うことができます。 動的なデータポイントにより、行動プロファイルは継続的に調整され、盗まれたデータは役に立たなくなります。
Aite GroupのアナリストであるShirley Inscoe氏は、「行動バイオメトリクスのような手法は、金融機関が消費者に悪影響を与えることなく、透明性の高い方法で顧客を認証することを可能にします」と述べています。 これにより、不正行為の防止に加えて、多くの金融機関が目標としているカスタマーエクスペリエンスの向上にもつながります。"
最後に、ガートナー社は、2022年までに、従業員のアクセスに生体認証を使用している組織の70%が、使用しているエンドポイント・デバイスにかかわらず、スマートフォン・アプリを介して生体認証を実施すると予測しています。 2018年には、この数字は5%を切っています。
行動バイオメトリクスによる顧客体験の向上
行動バイオメトリクスは、お客様に追加の認証ステップを求めることなく、バックグラウンドで機能します。 その結果、行動バイオメトリクスは、お客様にとってはシームレスでポジティブな体験となりますが、詐欺師にとっては困難なものとなります。なぜなら、各個人は自分の習慣や動きの特定のプロファイルを持っており、セッション中に実行しているアクティビティと常に比較され、複製することが困難だからです。