連続認証とは何ですか?
継続的な認証とは、お客様がバンキングを行う際に、リアルタイムに本人確認を行う方法です。 一般的には、お客様が携帯電話やデスクトップを使っているとき、ATMを使っているとき、あるいは支店にいるときなどに起こります。 バンキングセッションの最初から最後まで、またはログインからログアウトまでを含みます。 継続的な認証は、セッション全体で適切なレベルの認証を適用するリスクエンジンによって処理される継続的なデータに依存しています。 これにより、金融機関は、正当な銀行口座の所有者が、実際にその口座で取引をしている人物であり、詐欺師ではないことを継続的に確認することが可能になります。 継続的な認証は、残高確認、電信送金、送金先の追加など、お客様が銀行取引を行う際のすべてのイベントで行われます。
継続的な認証では、複数のデータの流れを利用して、銀行取引中のお客様の固有の動きやパターンをリスクエンジンが評価・認識します。 お客様は、自分の位置情報、デバイス、環境、キーボード操作などが、ユーザーエクスペリエンスの一環として、普段の携帯電話や銀行アプリケーションの操作方法のプロファイルと比較されていることに気付きません。
また、継続的な認証を行うことで、不正防止システムの中核であるリスクエンジンが、バンキングセッション、顧客、デバイスに関連するすべてのデータを監視・分析し、不正の可能性を判断することができます。 リスクエンジンは、銀行取引中に行われた各アクションにリアルタイムでリスクスコアを割り当て続けます。
継続的な認証では、お客様の行動が通常の活動から逸脱するまで、お客様が直接参加することなく継続的に評価され、結果としてセキュリティの層が厚くなります。 正確なレベルのセキュリティが適切なタイミングで適用されるため、お客様に代わってバックグラウンドで実行されているセキュリティに気づかれないこともあります。 しかし、金融機関は、本物の銀行取引に必要な認証を減らすことで、正規の銀行取引の摩擦を減らし、お客様にスムーズな体験を提供することができます。
連続認証の仕組み
銀行などの金融機関では、不正対策の一環として継続的な認証を行うことができます。 データは、お客様の銀行とのセッションの様々な要素から収集することができ、その内容は、スワイプパターンやキーストロークの動きなど、お客様がモバイル機器をどのように操作しているかということから、お客様の位置情報まで多岐にわたります。 また、お客様が使用している時に機器内で何が起こっているのか、ということもあります。 これらの情報はすべて、ユーザーのデータプロファイルの作成に役立ちます。 不正リスク分析は、このパターンからの逸脱を容易に検出し、それに応じて対応することができます。
継続的な認証は、お客様の行動パターンが受け入れられたパターンから逸脱しない限り、お客様が認証に費やす時間を増やすことはありません。 その場合、不正防止システムは、ステップアップ認証でユーザーにチャレンジします。 前述の通り、認証機構は必要な場合を除き、ログイン後にお客様を中断させることはありません。
継続的な認証では、データプロファイルが金融機関のリスクエンジンと連携して、最も正確なリスクスコアを提供し、不正行為の検知を支援します。 これにより、金融機関は、取引が行われる際の相対的なリスクに合わせて認証要件を決定し、適用することができます。 高度なルールエンジンは、特定の条件を満たす不正なイベントをフィルタリングしますが、複雑な不正攻撃には対応できません。 機械学習とルールベースのシステムを組み合わせることで、幅広い攻撃領域をカバーすることができます。 継続的な認証技術は、リアルタイムのリスク評価に基づいて、セキュリティを強化したり、トランザクションを停止したりする必要がある瞬間を見極めることができ、不正行為の防止に役立ちます。
銀行アプリケーション(モバイル、デスクトップ、ATM、支店)がリスクエンジンに提供できるデータソースには様々な種類があります。 その一例が行動バイオメトリクスで、その機能の定義は多岐にわたります。 行動バイオメトリクスとは、携帯電話の持ち方やスワイプのパターンなど、モバイルアプリケーション内でのユーザーのインタラクションのことです。 しかし、それだけではなく、ユーザーのパターンや、時間帯や場所など、お客様がどのように銀行と接しているかを知ることもできます。 行動バイオメトリクスは、リスク・エンジンで使用される顧客データ・プロファイルの作成に役立ちます。
継続的な認証には、さまざまなタイプの行動バイオメトリクスを使用できます。
行動バイオメトリクスは、お客様がデバイスを使ってどのように行動するかを裏で見て、お客様固有の行動パターンを特定し、銀行取引の際に継続的に認証を行うことで、お客様が正当なユーザーであることを確認します。 行動バイオメトリクス認証は、お客様の現在の行動と、プロフィールに保存されている過去の行動を比較します。 プロファイルと現在の行動パターンの類似性が高ければ高いほど、銀行はその身元や意図を気にする必要はありません。
行動バイオメトリクス・セキュリティ・ソリューションは、見知らぬ人が遠隔で新しい銀行口座を申請した場合、その人の行動をより多くの人の典型的な行動と比較することもでき、その結果、行動を行っている人が、不正アクセスを行うボットやコンピュータプログラムではない確率を評価するスコアが得られます。 行動バイオメトリクスでは、デバイスを使用する人の行動によって、リスクのレベルに応じて必要な認証レベルを決定します。
継続的な認証に使用される行動バイオメトリクスの種類。
- スマホの持ち方:スマホを操作するときの利き手や、スマホを持つ角度などを行動バイオメトリクスで分析します。
- 入力方法や入力速度によって、キーストロークのリズムが決まります。
- タイピング時の指の力加減を認識可能なパターンにすることで、個人情報の盗難防止やオンライン詐欺のリスクを軽減することができます。
- スワイプやスクロールのパターンは、端末のタッチスクリーン上で右にスワイプするか、左にスワイプするか、また、端末で上下にスクロールするかを見ます。
- 歩き方も行動特性のひとつで、パターンを調べることができます。
継続的な認証による不正行為の防止
継続的な認証を行うことで、お客様のデバイスや銀行に対するユーザーの行動パターンの異常を発見することができます。 さらに、行動バイオメトリクスは、ボットの動きが人のキーストロークとは異なるため、人のキーストロークを捕捉して銀行情報を漏洩させるボットなどのマルウェアを検出することができます。
疑わしい行動が検出された場合、金融機関はユーザーに追加の認証を要求し、ログインアクセスや銀行取引に異議を唱えることができます。 ユーザーがセキュリティのハードルを越えて認証できれば、次に進むことができます。 それができなければ、処理を中止し、不正を防ぐことができます。
脅威の状況は常に変化しており、攻撃やデータ侵害の数は増加しています。これは、サイバーセキュリティに課題を与えると同時に、詐欺師に多くの機会を与えています。 継続的な認証により、金融機関は多くの攻撃手段やサイバーセキュリティの脅威に対する脆弱性を低減する機会を得ることができます。
COVID-19の結果、不正な攻撃が急増しています。 Aite Groupによると、「ある大手金融機関の幹部は、自分の金融機関では2020年の不正行為が8%減少すると予測していたが、その予測を10%から15%増加すると修正し、ほとんどの同業他社も同様の予測をしていると述べている」とのことです。 継続的な認証は、ログイン時や取引時に顧客の身元を確認するだけではなく、それ以上の効果があるため、不正行為の削減に役立ちます。 行動バイオメトリクスは、行動に基づいて顧客の信憑性に関する継続的なシグナルを提供するため、現時点では詐欺師が打ち負かすのは難しいということに留意する必要があります。
継続的認証の舞台裏:機械学習と不正ルールの役割
機械学習アルゴリズムは、アナリストが確認することが困難で時間のかかる非常に大量の取引データを分析することができます。 このアルゴリズムは、お客様の位置情報、デバイス、ネットワークなどのデータを考慮しています。 これらのデータにより、各取引の詳細な情報が構築され、精度の高いリスクスコアに基づいて、攻撃者やボットによる疑わしい取引にリアルタイムでフラグが立てられます。 リスクスコアに応じて、必要に応じて、行動パターンに基づいた即時の認証チャレンジを提示することができます。 例えば、認証デバイスで生成されたワンタイムパスワード(OTP)の入力を求められたり、プッシュ通知で配信されたりします。 また、リスクレベルが非常に高い場合は、ユーザー認証のためにお客様に顔のスキャンをお願いすることもあります。 認証に成功しなかった場合は、銀行取引が中止されます。
さらに、リスクスコアには、ユーザーのセキュリティインシデントの履歴、ログイン回数、アクセスするデータの機密性なども含めることができます。 認証スコアが多くのコンテクストデータやその他のデータの組み合わせに基づいているのは、1つのデータポイントだけでは攻撃者に打ち負かされる可能性があるからです。 しかし、多くのアクセスリクエストは定義されたリスク閾値を下回り、追加の認証を必要としません。
また、機械学習では、例えばお客さまのデバイスのデータ要素を見て、そのデバイスがどのように使われているか、年齢、共有されているデバイスかどうか、そのデバイスにどのようなバイオメトリクス方式や認証方式が加入されているか、などを調べます。 また、極めて異常なイベントやトランザクションのみを不正行為の専門家に提示することで、人間のバイアスやアラートの疲労を軽減することができます。 リスクの低い取引(既知のデバイスからの残高確認など)では、追加の検証は必要ありませんが、リスクの高い取引(新しい場所でジェイルブレイクされたデバイスから多額の送金を行うなど)では、追加の認証ステップが必要となります。 ジェイルブレイクされたデバイスとは、ソフトウェアがデフォルトの状態ではサポートしていない変更を加えられるように改造された電話機のことです。
機械学習アルゴリズムは、異常を検知することに強みがあるため、新たな攻撃シナリオを発見することができますが、不正ルールを使用する不正対策システムでは、フィッシング攻撃やクレデンシャルスタッフィングなどの既知の不正攻撃しか検知できません。 これが、ルールライブラリが非常に長くなる理由です。新しい不正攻撃が発見されると、ルールが構築・追加され、何百、何千もの個別ルールを維持する必要が出てきます。 しかし、高度なルールエンジンは、特定の条件を満たす不正なイベントをフィルタリングし、通常のシナリオから逸脱した金額のトランザクションをキャッチします。 これにより、認証を強化するようシステムに警告が出されますが、ルールベースのシステムでは、複雑な不正攻撃に対応できません。 そして、ルール・ライブラリーは拡大を続け、システムを圧迫し、操作を遅らせ、誤検出率を高めています。 しかし、ルールベースのシステムと機械学習を組み合わせれば、さまざまな不正行為を検知する強力な能力を発揮することができます。
継続的な認証が顧客体験にどのように役立つか
継続的な認証は、お客様が銀行業務を行う際にバックグラウンドで行われ、セッションの継続的なリスクプロファイルを確立します。このリスクプロファイルは、お客様やデバイスのアクションごとに変化します。 これにより、金融機関は異常が検出されたときにリアルタイムで対処できるだけでなく、正当なバンキングセッションの摩擦を軽減することができます。 ユーザー体験をスムーズにすると同時に、攻撃の脅威を軽減し、ユーザビリティを向上させます。