継続的認証とは何ですか?
継続的認証とは、顧客がバンキングを利用する際にリアルタイムで本人確認を行う方法です。一般的には、顧客が携帯電話やデスクトップ、ATMを使用しているとき、または支店にいるときに行われます。これには、バンキング・セッションの最初から最後まで、またはログインからログアウトまでが含まれます。継続的認証は、セッション全体で適切な認証レベルを適用するリスク・エンジンによって処理される継続的データに依存します。これにより、金融機関は、正当な銀行口座の所有者が実際にその口座で取引を行っている人物であり、詐欺師ではないことを継続的に確認することができます。継続的認証は、残高の確認、電信送金の実行、振込先の追加など、顧客がバンキング・セッションを進める際のすべてのイベントを通じて行われます。
継続的認証は、複数のデータストリームを使用して、リスクエンジンがバンキングセッション中の顧客固有の動きやパターンを評価し、認識できるようにします。顧客は、自分の位置情報、デバイス、環境、キーボード操作などが、ユーザ・エクスペリエン スの一部として、通常どのように携帯電話やバンキング・アプリケーションを操作している かのプロファイルと比較されていることに気づきません。
継続的な認証により、不正防止システムの中核であるリスク・エンジンは、バンキング・セッション、顧客、デバイスに関連するすべてのデータを監視・分析し、不正の可能性を判断することができます。リスク・エンジンは、バンキング・セッション中の各アクションにリアルタイムでリスク・スコアを継続的に割り当てます。
継続的認証では、顧客の行動が通常の行動から逸脱するまで、顧客が直接関与することなく継続的に評価され、その結果、セキュリティのレイヤーが追加されます。正確なレベルのセキュリティが適切なタイミングで適用されるため、顧客はバックグラウンドで実行されているセキュリティに気付かないこともあります。しかし、金融機関にとっては、真のインタラクションに必要な認証を減らすことで、正当なバンキング・セッションの摩擦を減らし、顧客にスムーズなエクスペリエンスを提供することができます。
継続的認証の仕組み
銀行やその他の金融機関は、不正防止戦略の一環として継続的認証を使用することができます。データは、顧客の銀行とのセッションのさまざまな構成要素から収集することができ、スワイプパターンやキーストロークの動態など、顧客のモバイルデバイスとのインタラクション方法から位置情報まで、あらゆることが可能です。また、顧客がモバイル・デバイスを使用しているときに、そのデバイス内で何が起こっているかといった情報である場合もあります。これらの情報はすべて、ユーザーのデータプロファイルの作成に役立ちます。不正リスク分析は、このパターンからの逸脱を容易に検出し、それに応じて対応することができます。
継続的認証は、顧客の行動パターンが許容されたパターンから逸脱していなければ、顧客が認証に費やす時間を増やすことはありません。逸脱した場合、不正防止システムは、ステップアップ認証でユーザにチャレンジします。前述のように、認証メカニズムは、必要な場合を除き、ログイン後に顧客を中断させません。
継続的な認証により、データ・プロファイルは金融機関のリスク・エンジンと連動し、最も正確なリスク・スコアを提供し、不正行為の検出に役立ちます。これにより金融機関は、トランザクションの相対的なリスクに合わせて認証要件を決定し、適用することができます。高度なルールエンジンは、特定の基準を満たす不正イベントをフィルタリングしますが、不正攻撃の複雑さには対応できません。機械学習とルールベースのシステムを組み合わせることで、幅広い攻撃領域をカバーすることができます。継続的認証テクノロジーは、リアルタイムのリスク評価に基づき、セキュリティ強化やトランザクションの停止が必要な瞬間を発見し、不正行為の防止に役立てることができます。
バンキング・アプリケーション(モバイル、デスクトップ、ATM、支店)がリスク・エンジンに提供できるデータ・ソースは多種多様です。その一例が行動バイオメトリクスで、その機能の定義は多岐にわたります。行動バイオメトリクスは、携帯電話の持ち方やスワイプパターンのようなモバイルアプリケーション内でのユーザーインタラクションになります。また、時間帯や居場所など、ユーザー・パターンや顧客と銀行とのインタラクションの仕方である場合もあります。行動バイオメトリクスは、リスク・エンジンが使用する顧客データ・プロファイルの作成に追加されます。
継続的認証では、さまざまなタイプの行動バイオメトリクスを使用できます。
行動バイオメトリクスは、顧客がデバイスを使用してどのように行動するかを舞台裏で調査し、固有の行動パターンを特定します。行動バイオメトリクス認証は、顧客の現在の行動とプロファイルに保存された過去の行動を比較します。プロファイルと現在の行動パターンの類似性が高ければ高いほど、銀行は顧客の身元や意図について心配する必要がなくなります。
未知の人物が遠隔操作で銀行口座の新規開設を申請した場合、行動バイオメトリクス・セキュリティ・ソリューションは、その人物の行動をより広範な集団の典型的な行動と比較することもでき、その結果、行動を実行している人物が不正アクセスを行うボットやコンピュータ・プログラムではない可能性を評価するスコアが得られます。行動バイオメトリクスでは、デバイスを使用する人の行動が、リスクのレベルに基づいて必要な認証レベルを決定するのに役立ちます。
継続的な認証に使用される行動バイオメトリクスの種類
- 携帯電話の持ち方:スマホの持ち方:スマホを操作するときに使う利き手と、スマホを持つ角度が行動バイオメトリクスで分析されます。
- タイピング方法とタイピングの速さは、キーストロークのリズムを決定します。
- タイピング時の指圧の強さを認識可能なパターンにすることで、個人情報の盗難を防ぎ、オンライン詐欺のリスクを減らすことができます。
- スワイプやスクロールのパターンでは、デバイスのタッチスクリーンを右または左にスワイプするかどうか、デバイスを上下にスクロールするかどうかを調べます。
- 歩き方も行動特性の1つであり、パターンを調べることができます。
継続的認証が詐欺防止に役立つ仕組み
継続的な認証は、顧客のデバイスや銀行に対する確立されたユーザー行動パターンの異常を発見することができます。さらに、行動バイオメトリクスは、ボットの動きが人のキーストロークと異なるため、人のキーストロークをキャプチャして銀行情報を明らかにするボットなどのマルウェアを検出することができます。
不審な行動が検出された場合、金融機関はログインアクセスや銀行取引に異議を唱えるため、ユーザーに追加認証を要求することができます。ユーザーがセキュリティのハードルを越えて認証できれば、次に進むことができます。もし認証できなければ、プロセスは停止され、不正行為は防止されます。
脅威の状況は常に変化しており、攻撃やデータ漏えいの件数は増加しています。継続的な認証により、金融機関は多くの攻撃ベクトルやサイバーセキュリティの脅威に対する脆弱性を低減する機会を得ました。
COVID-19の結果、詐欺攻撃が急増しています。Aite Group によると、「ある大手金融機関の幹部は、以前は 2020 年の不正行為が 8%減少すると予測していましたが、その予測を修正し、同年の不正行為は 10%から 15%増加すると予測しています。継続的な認証は、ログイン時や取引時の本人確認にとどまらないため、不正行為の削減に役立ちます。行動バイオメトリクスは、行動に基づいて顧客の真正性について継続的なシグナルを提供するため、現時点では詐欺師が打ち負かすのは困難であることに注意することが重要です。
継続的認証の舞台裏:機械学習と不正ルールの役割
機械学習アルゴリズムは、アナリストがレビューするのが困難で時間のかかる非常に大量のトランザクションデータを分析することができます。このアルゴリズムは、顧客の位置情報、デバイス、ネットワーク、その他のデータを考慮します。これらのデータはすべて、各トランザクションの詳細なポートレートを構築し、精度の高いリスクスコアに基づいて、攻撃者やボットによる疑わしいトランザクションにリアルタイムでフラグを立てます。リスクスコアに応じて、必要に応じて行動パターンに基づいた認証チャレンジを即座に提示することができます。例えば、認証デバイスによって生成されたワンタイムパスワード(OTP)を入力するよう求められたり、プッシュ通知によって配信されたりします。また、リスクレベルが非常に高い場合は、ユーザー認証のために顔のスキャンを求めることもできます。認証に失敗した場合、バンキングやトランザクションは停止されます。
さらに、リスク・スコアには、ユーザのセキュリティ・インシデントの履歴、ログイン回数、 アクセスするデータの機密性などを含めることもできます。認証スコアが多くのコンテキストやその他のデータ・ポイントの組み合わせに基づいているのは、1 つのデータ・ポイントだけでは攻撃者に打ち負かされる可能性があるからです。しかし、多くのアクセス要求は定義されたリスク閾値を下回るため、追加の認証は必要ありません。
機械学習はまた、例えば顧客のデバイスのデータ要素を調べ、デバイスの使用方法、年齢、共有デバイスであるかどうか、そのデバイスにどのようなバイオメトリクス方式や認証方式が契約されているかなどを調べます。また、極めて異常なイベントやトランザクションのみを不正の専門家に提示することで、人間のバイアスやアラート疲れを軽減することもできます。リスクの低いトランザクション(既知のデバイスからの残高確認など)は追加の検証を必要とせず、リスクの高いトランザクション(新しい場所でのジェイルブレイクしたデバイスからの多額の送金など)は追加の認証ステップをトリガーします。ジェイルブレイクされたデバイスとは、デフォルトの状態ではソフトウェアがサポートしていない変更を加えることができるように変更された電話のことです。
機械学習アルゴリズムは、異常の検出に優れているため、新たな攻撃シナリオを発見することができますが、不正ルールを使用する不正防止システムは、フィッシング攻撃やクレデンシャル・スタッフィングを含む既知の不正攻撃しか検出できません。新しい不正攻撃が特定されると、ルールが構築され追加されるため、何百、何千もの個別のルールを維持する必要があり、ルールライブラリが非常に長くなるのはこのためです。しかし、高度なルールエンジンは、特定の基準を満たす不正イベントをフィルタリングし、通常のシナリオから逸脱した金額のトランザクションを捕捉します。これによってシステムに警告が発せられ、認証が強化されますが、ルールベースのシステムでは不正攻撃の複雑さに対応しきれません。また、ルール・ライブラリは拡張を続け、システムを圧迫し、運用を遅らせ、誤検知率を高めます。しかし、ルールベースのシステムを機械学習と組み合わせることで、この2つが一体となり、さまざまな不正行為を検知する強力な機能を提供します。
継続的認証がカスタマー・エクスペリエンスに貢献する理由
継続的認証は、顧客がバンキングを行う際にバックグラウンドに残り、セッションの継続的なリスクプロファイルを確立します。これにより、金融機関は異常が検出されたときにリアルタイムで対応できるだけでなく、正当なバンキング・セッションの摩擦を減らすことができます。ユーザー・エクスペリエンスがスムーズになると同時に、攻撃の脅威が減少し、ユーザビリティが向上します。