行動バイオメトリクスとは?
行動バイオメトリクスは、携帯電話の持ち方やタイピングの速さなど、その人のモバイルデバイスとの関わり方を分析します。その結果、行動バイオメトリクスはその人固有の行動パターンを作成します。顔スキャンや暗証番号のような能動的な認証方法とは対照的に、行動バイオメトリクスは受動的と見なされます。行動バイオメトリクスと身体バイオメトリクスを使用する理由は似ていますが、区別することが重要です。バイオメトリクスは、その人固有の身体的特徴を測定して本人確認を行うもので、指紋、顔認識、掌紋または掌静脈、虹彩または網膜認識、手の形状などがあります。
行動バイオメトリクスの仕組み
指紋のような静的、または不変の生物学的特徴に基づくバイオメトリクスとは異なり、行動バイオメトリクスは顧客の行動を分析し、舞台裏で継続的に認証を行います。このため、行動バイオメトリクスはしばしば受動的と表現されます。行動バイオメトリクスは、その人特有の動きのパターンを調べることで、過去の行動と常に比較し、バンキング・セッション中も常に認証を行い、不正防止を強化します。このような分析の結果、行動を行った人物が正規の顧客である確率を評価するスコアが得られます。類似性スコアが高ければ高いほど、金融機関はその人物の身元や意図について心配する必要がなくなり、ユーザーエクスペリエンスが向上します。逆に、過去のプロファイルと比較して顧客の行動が類似していない場合は、指紋スキャンのような認証のレイヤーを追加することが正当化されます。行動バイオメトリクスと、膨大な量のデータを分析してリアルタイムで異常を発見できる機械学習、およびリスク評価技術を組み合わせることで、不正行為を減らすことができます。行動バイオメトリクス・データは、一人一人が習慣や動きの特定のプロファイルを持っており、バンキング・セッション中に実行しているアクティビティと常に比較されるため、複製が困難です。顧客の行動データはプロファイル内で数学的表現に変換されるため、プライバシーに関する懸念はほとんどありません。行動バイオメトリクスのアルゴリズムは、バンキング・セッションに実際に参加している人物が、それを行っていると推定される人物であることを保証することができます。
行動バイオメトリクスの種類
行動バイオメトリクスは顧客認証に変化をもたらし、顧客が積極的に参加しなくてもシームレスなセキュリティ層をもう1つ追加します。行動バイオメトリクスは、個人のモバイル・デバイスとの関わり方を分析することで、バンキング・セッション中の顧客固有の行動パターンを識別するために使用されます。
- 携帯電話の持ち方行動バイオメトリクスは、携帯電話を持つ角度や、携帯電話を操作する際の利き手を分析します。
- スワイプやスクロールのパターンでは、デバイスのタッチスクリーンを右または左にスワイプするかどうか、デバイスを上下にスクロールするかどうかを調べます。
- キーストロークのリズムは、タイピングの方法と速度を分析し、特徴的なパターンを決定します。タイピング時に使用する指圧の量を認識可能なパターンにまとめることで、個人情報の盗難を防止し、オンライン詐欺のリスクを最小限に抑えることができます。
- あなたの歩き方も、パターンを調べることができる行動特性です。
- キーパッドを押す指の動きとタイピングのリズムは、キーを押す強さ、タイピングの速さ、タイピングの一時停止を分析し、一定のリズムを確立します。
行動バイオメトリクスが金融サービスの詐欺防止に役立つ方法
行動バイオメトリクスはセキュリティ要件に対応し、金融機関が顧客のデバイス、場所、入力データに関係なく、継続的に本人確認を行うことを可能にします。つまり、ユーザーの行動を確認するための控えめな方法であると同時に、セキュリティの負担を顧客から金融機関による受動的な不正検知にシフトさせることができます。行動分析では、ログイン時間、取引金額、新しい振込先、住所変更などに関連する履歴データと比較することで、ユーザーの典型的な行動からの逸脱を検出できます。行動バイオメトリクスは、習慣や行動によって人を識別する重要なサイバーセキュリティ技術として登場し、詐欺師となる可能性のある人物から正当なエンドユーザーの行動パターンを識別します。金融機関は、コストのかかる管理上の頭痛の種やエンドユーザの摩擦を減らしながら、継続的で適応性のある認証を提供する行動バイオメトリクスのような最先端の対策をますます必要としています。
行動バイオメトリクスは、さまざまなタイプの不正行為の検出に使用できます。
- アプリケーション詐欺は通常、データ侵害の結果であり、COVID-19の大流行により2020年に急増しています。データ漏洩の増加により、サイバー犯罪者は個人を特定できる情報(PII)の宝庫を手に入れ、既存の個人になりすましたり、本物の個人情報と盗んだ個人情報を組み合わせて合成IDを構築したりすることができます。この場合、行動バイオメトリクスは申請プロセス中にいくつかの継続的なチェックを行います。チェックの 1 つは、ユーザーが申請プロセスを通じてどの程度流暢にナビゲートするかを定義します。顧客がコピー&ペーストなどのキーボードショートカットやスクリプトを使用してプロセスを自動化し、申請書に素早く記入しているか、それとも個人情報を記入するのに長い時間を要しているか。代表的な同業者がそのようなことをしていない場合、詐欺師がすでにそのプロセスに精通していることを示している可能性があります。この種のチェックは、特定の地域やユースケースに合わせることもできます。例えば、ある地域の住民は一般的にコピーペースト機能を使ってID番号やその他の情報を入力しませんが、申請者は入力する場合、行動バイオメトリクスはこの行為を詐欺の可能性があると判断することができます。
- 新規口座詐欺は 、詐欺師が銀行のオンボーディング・プロセスをうまく通過し、詐欺口座が合法的に見える場合に発生します 。ベストプラクティスは、新規ユーザーの行動を代表的な顧客プールと比較することです。この分析において、銀行の不正防止システムは、平均と比較した支出行動、一連の行動、機械的またはボット的な行動に関連するナビゲーションデータなどの指標を分析し、不正アカウントの検出に役立てることができます。
- 口座乗っ取り詐欺は、サイバー犯罪者が被害者のログイン認証情報にアクセスし、フィッシングやマルウェアなどの攻撃によって資金や情報を盗む場合に発生します。行動バイオメトリクスは、現在の行動と過去の行動を比較することでユーザー固有の異常検知を行うため、金融機関が正規の顧客をアカウント乗っ取り(ATO)詐欺の被害者から守るのに役立ちます。
行動バイオメトリクスがリスクベース認証の一部である理由
金融機関は、バンキング・セッションの開始時に顧客の本人確認を行うことができますが、その10分後には、過去の行動と一致しないような多額の金銭取引を行おうとしている可能性があります。多要素認証またはMFA(あなたが知っているもの、あなたが持っているもの、あなたがいるもの)は、最新の認証アプローチの不可欠な部分ですが、顧客に追加のステップを要求することは、顧客にとって煩わしく、イライラさせる可能性があります。リスクベース認証(RBA)の一部としての行動バイオメトリクスの使用は、受動的な詐欺防止として機能し、複数のデータポイントを取得し、ユーザーの利便性に影響を与えることなくそれらを分析し、顧客がトランザクションを実行する正当なユーザーであるかどうかを判断します。
行動バイオメトリクスは、事前に作成されたユーザープロファイルと比較して、顧客のモバイルデバイスとのやり取りを分析します。類似性スコアが高いほど、銀行は顧客の身元や意図について心配する必要がなくなります。顧客の行動とプロファイルとの間に類似性がない場合、追加の認証レイヤーの適用が正当化されます。
Aite Groupのアナリスト、シャーリー・インスコーによると、行動バイオメトリクスは、金融機関に顧客認証を改善し、口座乗っ取りの試みに対抗する効果的なツールを提供します。「行動バイオメトリクスは行動をスコア化し、そのスコアが疑わしい行動を示している場合に金融機関が行動を起こすことを可能にします。「例えば、顧客が金融機関から資金を移動している場合、口座残高を確認する場合よりも高いスコアを要求することができます。
行動分析が不正防止における行動バイオメトリクスを補完する方法
行動バイオメトリクスでは、データが顧客の過去の行動と現在の行動、または代表的な同業者グループとどの程度一致するかを評価するためにスコアを生成しますが、行動分析ではより広範なコンテキストを考慮します。銀行取引チャネルや取引習慣を通じた個人の普段の行動も行動パターンの一部となり得ます。そのため、行動分析では、ユーザーが口座とどのようにやり取りしているか、つまり、通常ログインするのは何時か、いつもと違う時間に新しい振込先を追加しているか、過去に何をしたか、チャネルをまたいだ行動が一貫しているかなどを考慮します。これらのデータはすべて評価され、一貫性のある行動プロファイルが作成され、不正行為のリスク評価に使用されます。このように、行動分析はユーザーの典型的な行動に依存するため、未知の詐欺シナリオを検出することもできます。
アナリストによる行動バイオメトリクスの評価
コストの削減と顧客体験の向上が、バイオメトリクス認証への関心を高めています。「ガートナーのリサーチ・バイス・プレジデントであるアント・アラン氏は、次のように述べています。「アイデンティティとアクセス管理(IAM)および不正防止を担当するセキュリティとリスク管理のリーダーは、信頼性と説明責任と総所有コストおよびUX/CXのバランスが取れたアイデンティティ確証のアプローチを求め続けています。「スマートフォンアプリを介してこれを実装することで、UX/CXに一貫性が生まれ、さまざまなエンドポイントデバイスで直接サポートするよりも技術的にシンプルになります。
Infosecurity誌によると、行動バイオメトリクス認証法は、本人が知らないうちに受動的に認証する仕組みを提供するため、人気が高まっています。「この種の認証に有利に働くもう一つの要因は、認証に必要なデータポイントの収集が動的であることです。パスワード、PIN、指紋などの他の認証タイプは、登録時点で静的データまたは静的テンプレートが保存されています。このようなデータは、盗用することができます。動的なデータポイントがあれば、行動プロファイルは継続的に調整され、盗まれたデータは役に立ちません」。
Aiteグループのアナリストであるシャーリー・インスコによると、「行動バイオメトリクスのような方法は、金融機関が消費者に悪影響を与えることなく、透明性のある方法で顧客を認証することを可能にします。これはまた、不正行為の防止に加え、多くの金融機関の目標である顧客体験の向上にもつながります。
最後に、ガートナーは、2022年までに、従業員のアクセスにバイオメトリクス認証を使用する組織の70%が、使用するエンドポイントデバイスに関係なく、スマートフォンアプリ経由でバイオメトリクス認証を導入すると予測しています。2018年には、この数字は5%未満でした。
行動バイオメトリクスによる顧客体験の向上
行動バイオメトリクスは、顧客に追加の認証ステップを求めることなくバックグラウンドで動作します。その結果、行動バイオメトリクスは顧客にとってシームレスでポジティブなエクスペリエンスとなりますが、各個人が習慣や動きの特定のプロファイルを持っており、セッション中に実行している活動と常に比較され、複製が難しいため、詐欺師にとっては困難です。