リスクベース認証

リスクベース認証とは何ですか?

リスクベース認証(RBA)は、各金融取引のリスクレベルと、各取引に必要な顧客認証のレベルを決定することにより、不正行為の防止に役立ちます。 RBAは、認証を関連するリスクのレベルと照合することにより、アカウント乗っ取り詐欺やその他の種類のオンラインおよびモバイル詐欺攻撃を防ぐのに役立ちます。 絶えず進化するランドスケープの脅威と定期的なデータ侵害を考えると、従来のIDおよびアクセス管理テクノロジーではもはや十分ではありません。 リスクベース認証は、適応認証またはステップアップ認証とも呼ばれます。

これまで、多くの組織は、すべての顧客とトランザクションに対して、静的パスワードとユーザー名という1つのタイプの認証に依存していました。 これはバイナリ認証として知られています。 パスワードとユーザー名は、詐欺師が盗んだり悪用したりしやすいため、セキュリティが弱いと見なされます。 一方、リスクベース認証は、ユーザーとそのトランザクションにコンテキストを提供して、リスクレベルと不正の感受性を判断するため、強力な認証の一形態です。 リスクの高いトランザクションの場合、ユーザーはIDを確認するために追加の認証を求められます。

認証の3つの要素

認証に使用される一般的な要素は3つあります。

  1. あなたが知っていること
  2. あなたが持っているもの
  3. あなたが何か

最も一般的な認証はあなたが知っているものであり、パスワードまたは単純な個人識別番号(PIN)にすることができます。 ただし、詐欺師が打ち負かすのも最も簡単です。

あなたが持っているものは、モバイルデバイスやハードウェアオーセンティケータートークンなど、1回限りのパスコードを生成するアイテムを指します。 ハードウェア認証は、2要素認証(2FA)を提供します。 プッシュ通知やワンタイムパスワード(OTP)などのスマートフォンベースのオプションも、多要素検証を提供します。

バイオメトリクスは「あなたが何か」の要素であり、指紋、顔のスキャン、音声分析などがあり、パスワードなしのログインへの移行の一部です。 指紋センサーを備えたラップトップや電話は数多くあり、USBフラッシュドライブでも利用できます。

多くの場合、認証の3つの要素を組み合わせて、詐欺師を阻止するためのより強力なセキュリティを提供します。 指紋スキャンとワンタイムパスコードの組み合わせはセキュリティを強化し、多要素認証(MFA)の例です。

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report
Analyst Report

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report

Download this new Forrester report for a deeper understanding of OneSpan’s Intelligent Adaptive Authentication solution and how it improves the customer experience, helps mitigate fraud, and meets key risk-based authentication (RBA) requirements.

Download Now


リスクベース認証の重要性

リスクベース認証は、不正なアカウントアクセスや資金や個人を特定できる情報データの盗難を防ぐのに役立ちます。 これは、正当な顧客にとってデジタルバンキングエクスペリエンスをより簡単かつ安全にし、詐欺師にとってより困難にするため、エンドユーザーエクスペリエンスと保持を改善するための重要な要素です。 顧客データへの不正アクセスは、金融機関のブランド、評判、競争姿勢に対する脅威です。

リスクベース認証が顧客の摩擦をどのように軽減するか

適応認証は、アカウントの乗っ取りやその他の種類の不正攻撃を防ぎながら、顧客の摩擦を軽減します。 これは、顧客がビジネスを行っている間に、バックグラウンドでリアルタイムで行われるセキュリティ対策を活用します。 RBAは、顧客との固有のやり取りごとに正確なレベルのセキュリティを適用し、ユーザーの摩擦を増大させる可能性のある低リスクのトランザクションに対する不要なセキュリティ手順を回避します。 良い例は、銀行に登録されている既知のデバイスを使用して、通常と同じブラウザを使用して銀行ポータルにログインする正当な顧客です。 彼らは、残高の確認や少額の支払いなど、リスクの低い行動を取っています。 この場合、システムは、不正のリスクが非常に低いため、ログイン後に再認証する必要がないと判断します。 ユーザーの行動が通常のアクティビティから逸脱した場合にのみ、追加の認証チャレンジが追加され、銀行振込などのリスクの高いトランザクションのセキュリティハードルが増加します。 顧客は、何らかの形で自分自身を認証するように求められ、成功した場合は、ビジネスを続行します。

Blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


リスクベース認証が成長とロイヤルティを促進する方法

リスクベース認証は、摩擦を大幅に減らして顧客体験を向上させるため、銀行の成長と顧客ロイヤルティを解き放つための鍵となります。 銀行のデジタルトランスフォーメーションの一環として、不要なID検証手順を削減し、リスクのレベルに基づいて、各トランザクションに適切なタイミングで正確な量のセキュリティを適用します。 ユーザーエクスペリエンスは、顧客維持に直接影響します。 調査によると、いつでもどこでも金融機関と簡単にやり取りできる顧客は、乗り換える可能性が低いことがわかっています。 同時に、リスクベース認証を使用すると、銀行やその他の金融機関が不正損失を削減するのに役立ちます。

リスクベース認証が不可欠なセキュリティツールである理由

リスクベース認証は、正当な顧客に迷惑をかけることなく、サイバー詐欺を防止するためにリアルタイムで機能するため、不可欠なセキュリティツールです。

不正防止システムはトランザクションリスクスコアを生成しますが、リスクベース認証は、リスクのレベルに応じて、認証方法をその場で調整する機能を提供します。 リスク評価ツールとして、RBAは、使用する認証方法とその組み合わせについても即座に決定します。

前述のように、金融機関は、パスワードやSMSテキストメッセージで送信されるワンタイムコードなどの弱い認証に依存することがよくあります。 ただし、詐欺、マルウェア、および攻撃戦略の進歩には、より警戒するセキュリティが必要です。 その結果、銀行はリスクベース認証に目を向けており、顧客が行おうとしていることのリスクレベルに応じて、認証チャレンジの実行を求められる場合があります。 たとえば、誰かがシステムに知られていないデバイスを使用して、顧客の履歴パターンと一致しない時刻に銀行口座で利用可能な資金の90%を送金しようとすると、さらに確認するように求められます。指紋スキャンまたは顔の生体認証を伴うワンタイムパスコードなど、追加の認証を使用したID。 RBAを使用すると、危険なログイン試行を識別し、必要に応じてアクセスまたはトランザクションを完全に拒否できます。

RBAでのリスクスコアの決定方法

リスクスコアは、リスクベース認証の鍵です。 リスクスコアは、アクセスの試行またはトランザクションの実行の試行に関連するいくつかの要因から作成されます。

たとえば、RBAは、顧客のデバイス、IPアドレス、地理的位置、ネットワーク、時刻、トランザクション自体など、数百から数千ものデータポイントを分析します。 このデータは、リスクトランザクションスコアをリアルタイムで生成するために使用されます。 リスクスコアに応じて、RBAは必要に応じて即時認証チャレンジをトリガーできます。 リスクスコアには、ユーザーのセキュリティインシデントの履歴、ログイン数、アクセスするデータの機密性を含めることもできます。 リスクスコアが多くのコンテキストデータポイントと他のデータポイントの組み合わせに基づいている理由は、1つのデータポイント自体が攻撃者によって攻撃される可能性があり、攻撃される可能性があるためです。 ただし、多くのアクセス要求は定義されたリスクしきい値を下回っており、追加の認証は必要ありません。

RBAにおけるバイオメトリクスの役割

生体認証は、セキュリティと便利なユーザーエクスペリエンスを提供するために、モバイルバンキングアプリでますます使用されています。 デジタルの顧客は、彼らの取引が摩擦のない安全なものになることを当然のことと考えています。 盗まれたパスワードやユーザー名の多くはオンラインで販売されており、多くの人がパスワードを再利用しているため、認証オプションの安全性が低くなっています。 ただし、指紋と一緒にパスワードを送信することは、認証技術としてはるかに安全です。 バイオメトリクスの使用はAppleのTouchIDによって普及し、バイオメトリクスのサポートは指紋スキャンから顔のスキャン、虹彩または網膜のスキャンに移行しています。 ユーザーは、特定の状況で最も簡単な認証方法、または最も安全であると感じる方法を選択できます。     

ますますモバイル化する顧客ベースの認証を支援するために、行動バイオメトリクスを適用して、顧客がどのようにタイプし、電話またはスワイプを保持し、どちらの手を使用しているか、およびキーを押すリズムを学習できます。 行動バイオメトリクスは、ユーザーの信憑性に関する継続的なシグナルを提供し、その結果、現時点で詐欺師が敗北するのは難しい場合があります。

リスクベース認証ソリューションに関するアナリストの推奨事項

市場調査会社のForresterは、オンラインおよびモバイルトランザクションの人気が高まっているため、リスクベース認証は金融機関にとってこれまで以上に重要であると述べています。 Forresterは、セキュリティを犠牲にすることなく顧客の不便さや煩わしさを軽減できることは、競争上の差別化要因であると述べています。 市場調査会社はまた、可能な限り最も正確なリスクスコアを生成するために、不正防止システムはデジタルチャネル全体で可能な限り多くのユーザー、デバイス、およびトランザクションデータを分析できなければならないと述べています。

Forresterは、RBAソリューションを評価する際に、リスクスコアの精度を高める不正ルールテンプレートを提供するベンダーを探すことも提案しています。 不正防止システムは、これらの不正ルールがデジタルチャネル全体でトリガーされる方法と理由について透明性を提供する必要があります。 さらに、システムは、機械学習が不正ルールを補完して、顧客の通常の動作から逸脱し、新たな不正方法を示している可能性のある動作パターンを特定する方法を示す必要があります。

また、ソリューションが不正リスク分析以上のものを実行することを確認してください。 データを収集して分析できるだけでなく、必要に応じて、より高度な認証チャレンジを完了するようにユーザーに依頼してください。

私たちと連絡を取る

当社のソリューションがデジタルセキュリティのニーズにどのように役立つかについて詳しくは、セキュリティの専門家の1人にお問い合わせください