リスクベース認証とは何ですか?
リスクベース認証(RBA)は、各金融取引のリスクレベルを決定し、各取引にどのレベルの顧客認証が必要かを決定することで、不正行為を防止するのに役立ちます。RBA は、認証を関連するリスク・レベルに適合させることで、口座乗っ取り詐欺やその他のタイプのオンラインおよびモバイル詐欺攻撃を防止するのに役立ちます。常に進化し続ける脅威や定期的なデータ漏洩を考えると、従来のアイデンティティおよびアクセス管理技術ではもはや十分ではありません。リスクベース認証は、適応型認証やステップアップ認証とも呼ばれています。
以前は、多くの組織がすべての顧客とトランザクションに対して、固定パスワードとユーザー名という1種類の認証に依存していました。これはバイナリ認証として知られています。パスワードとユーザー名は、詐欺師が簡単に盗んで悪用できるため、セキュリティが弱いと考えられています。一方、リスク・ベース認証は、ユーザとそのトランザクションにコンテキストを与え、リスク・ レベルと詐欺の可能性を判断するため、強力な認証の一形態です。リスクの高い取引の場合、ユーザは本人確認のために追加認証を求められます。
認証の3つの要素
認証には3つの一般的な要素があります:
- 知っていること
- 持っているもの
- あなたが持っているもの
最も一般的な認証は、あなたが知っているもので、パスワードや単純な個人識別番号(PIN)です。しかし、詐欺師にとっては最も簡単な方法です。
持っているもの」とは、モバイル・デバイスやハードウェア認証トークンなどのことで、1回限りのパスコードを生成するものです。ハードウェア認証は、二要素認証(2FA)を提供します。プッシュ通知やワンタイムパスワード(OTP)などのスマートフォンベースのオプションも、多要素認証を実現します。
バイオメトリクスは、指紋、顔スキャン、音声分析など、「あなたが何者かであること」を示す要素であり、パスワードレス・ログインへの動きの一部です。指紋センサーを搭載したノートパソコンや携帯電話は数多くあり、USBメモリーでも利用可能です。
認証の3つの要素は、詐欺師を阻止するためにより強力なセキュリティを提供するために、しばしば組み合わされます。指紋スキャンとワンタイムパスコードの組み合わせはセキュリティを強化し、多要素認証(MFA)の一例です。
リスクベース認証の重要性
リスクベース認証は、口座への不正アクセスや、資金や個人を特定できる情報データの盗難を防ぐのに役立ちます。正規の顧客にとってはより簡単で安全なデジタル・バンキング体験となり、詐欺師にとってはより困難な体験となるため、エンドユーザーのエクスペリエンスとリテンションを向上させる上で重要な要素です。顧客データへの不正アクセスは、金融機関のブランド、評判、競争力を脅かすものです。
リスクベース認証による顧客との摩擦の低減
適応型認証は、口座乗っ取りやその他のタイプの詐欺攻撃を防ぐと同時に、顧客の摩擦を軽減します。RBAは、顧客が業務を行っている間、バックグラウンドでリアルタイムに行われているセキュリティ対策を活用します。RBA は、顧客とのやり取りごとに正確なセキュリティ・レベルを適用し、リスクの低いトランザクショ ンでは不要なセキュリティ・ステップを回避します。良い例は、正規の顧客が銀行に登録された既知のデバイスで、通常と同じブラウザを使用してバンキングポータルにログインする場合です。利用者は残高の確認や少額の支払いなど、リスクの低いアクションを実行します。この場合、不正行為のリスクは非常に低いため、ログイン後に再認証する必要はないとシステムが判断します。ユーザーの行動が通常のアクティビティから逸脱した場合にのみ、追加の認証チャレンジが追加され、その結果、銀行振り込みのようなリスクの高い取引に対するセキュリティのハードルが高くなります。顧客は、何らかの形で自分自身を認証するよう促され、認証に成功すれば、そのまま業務を続行することになります。
リスクベース認証が成長とロイヤルティを促進する方法
リスクベース認証は、摩擦を大幅に減らし、より良い顧客体験を提供するため、銀行の成長と顧客ロイヤリティを引き出す鍵となります。銀行のデジタルトランスフォーメーションの一環として、不要な本人確認ステップを削減し、各取引のリスクレベルに応じて適切なタイミングで的確なセキュリティを適用します。ユーザー・エクスペリエンスは顧客維持に直接影響します。いつでもどこでも簡単に金融機関と関わることができる顧客は、乗り換える可能性が低いという調査結果もあります。同時に、リスクベース認証の利用は、銀行やその他の金融機関が詐欺による損失を削減するのに役立ちます。
リスクベース認証が不可欠なセキュリティ・ツールである理由
リスクベース認証は、正規の顧客に迷惑をかけることなく、サイバー詐欺を防止するためにリアルタイムで機能するため、不可欠なセキュリティツールです。
不正防止システムがトランザクションのリスクスコアを生成する一方で、リスクベース認証は、リスクのレベルに応じて認証方法をその場で調整する機能を提供します。また、リスク評価ツールとして、RBA はどの認証方法をどのような組み合わせで使用するかを即座に決定します。
前述したように、金融機関はこれまで、パスワードやSMSテキスト・メッセージで送信されるワンタイム・コードなど、脆弱な認証に頼ることが多くありました。しかし、詐欺、マルウェア、攻撃戦略の進歩により、より厳重なセキュリティが求められています。その結果、銀行は、顧客が行おうとしていることのリスク・レベルに応じて認証チャレンジを行うよう求められるリスク・ベースの認証に移行しつつあります。例えば、銀行口座にある利用可能資金の90%を、システムにとって未知のデバイスを使用し、顧客の過去のパターンと一致しない時間帯に送金しようとした場合、指紋スキャンや顔面バイオメトリクスを伴うワンタイム・パスコードなどの追加認証で本人確認をさらに行うよう求められます。RBAを使用することで、リスクの高いログインの試みを特定し、必要に応じてアクセスやトランザクションを完全に拒否することができます。
RBA におけるリスク・スコアの決定方法
リスク・スコアはリスク・ベース認証の鍵です。リスク・スコアは、アクセスの試みまたはトランザクションの実行の試みに関連する多くの要因から作成されます。
例えば、RBA は、顧客のデバイス、IP アドレス、地理的位置、ネットワーク、時間帯、トランザクショ ン自体など、何百、何千ものデータ・ポイントを分析します。このデータは、リアルタイムでリスクトランザクションのスコアを生成するために使用されます。リスク・スコアに応じて、RBA は必要に応じて即座に認証チャレンジを行うことができます。リスク・スコアには、ユーザのセキュリティ・インシデントの履歴、ログイン回数、およびアクセスするデータの機密性も含めることができます。リスク・スコアが多くのコンテキストやその他のデータ・ポイントの組み合わせに基づいているのは、1つのデータ・ポイントだけでは攻撃者に打ち負かされる可能性があり、また打ち負かされるからです。しかし、多くのアクセス要求は、定義されたリスクしきい値を下回っており、追加の認証は必要ありません。
RBA におけるバイオメトリクスの役割
生体認証は、セキュリティと便利なユーザーエクスペリエンスを提供するために、モバイルバンキングアプリでますます使用されるようになっています。デジタル顧客は、取引が摩擦なく安全に行われることを当然と考えています。盗用されたパスワードやユーザー名の多くがオンラインで販売され、多くの人がパスワードを再利用しているため、パスワードは安全性の低い認証オプションとなっています。しかし、指紋とともにパスワードを提出することは、認証技術としてはるかに安全です。バイオメトリクスの使用は、AppleのTouchIDによって普及し、バイオメトリクスのサポートは、指紋スキャンだけでなく、顔スキャンや虹彩または網膜スキャンに移行しています。ユーザーは、特定の状況で最も簡単な認証方法や、最も安全だと感じる認証方法を選択することができます。
ますますモバイル化が進む顧客ベースの認証に役立てるために、行動バイオメトリクスを適用して、顧客がどのようにタイピングするか、電話を持つか、スワイプするか、どちらの手を使用しているか、キーを押すリズムを学習することができます。行動バイオメトリクスは、ユーザの真正性に関する継続的なシグナルを提供するため、現時点では詐欺師がこれを破ることは困難です。
リスクベース認証ソリューションに対するアナリストの推奨
市場調査会社フォレスターは、オンラインおよびモバイル取引がますます普及しているため、リスク・ベース認証は金融機関にとってこれまで以上に重要であると指摘しています。フォレスター社によれば、セキュリティを犠牲にすることなく、顧客の不便さや手間を軽減できることは、競争上の差別化要因になるとのことです。また、同市場調査会社によると、可能な限り正確なリスクスコアを生成するためには、不正防止システムはデジタルチャネル全体で可能な限り多くのユーザー、デバイス、およびトランザクションデータを分析できなければならないとのことです。
RBAソリューションを評価する際、フォレスターはリスクスコアの精度を高める不正ルールテンプレートを提供するベンダーを探すことも提案しています。不正防止システムは、これらの不正ルールがデジタルチャネル全体でどのように、そしてなぜ発動されるのかについて透明性を提供する必要があります。さらに、機械学習がどのように不正ルールを補足し、顧客の通常の行動から逸脱した行動パターンや、新たな不正手口を示す可能性のある行動パターンを発見するかを示すことも必要です。
また、そのソリューションが単なる不正リスク分析にとどまらないことを確認してください。データの収集と分析だけでなく、必要に応じて、より高度な認証チャレンジの完了をユーザーに求めることができることを確認してください。