ストロング認証とは何ですか?
強固な認証とは、ログイン時や取引承認時に多要素認証(MFA)を使用して本人認証を行うことです。また、リスクベース認証(RBA)を使用して、オンラインまたはモバイルバンキングの各取引のリスクレベルを判断し、各取引でどのレベルの認証が必要かを判断することで、不正行為を防止します。
強力な認証の仕組み
まず、多要素認証(MFA)は3つの共通要素を使用します:
- あなたが知っている何か最も一般的な認証は "知っている何か "です。これはパスワードであったり、単純な個人識別番号(PIN)であったりします。しかし、詐欺師にとっては最も簡単な方法です。
- あなたが持っているもの:持っているもの」とは、モバイル・デバイスやハードウェア認証トークンなど、1 回限りのワンタイム・パスコード(OTP)を生成するものを指します。ハードウェア認証は二要素認証(2FA)を提供します。プッシュ通知やワンタイムパスコード(OTP)などの携帯電話ベースのオプションも2FAを提供します。
- あなたの何か:バイオメトリクスは「あなたが何者かであるか」という要素であり、指紋や顔のスキャンが可能で、特にモバイル・バンキングではパスワードレス・ログインへのシフトの一部となっています。また、指紋センサーを搭載したノートパソコンも数多く販売されており、USBメモリーでも利用可能です。
多要素認証を実現するには、少なくとも2つの異なる技術グループの異なる技術を認証プロセスに使用する必要があります。暗証番号と顔認証を第 2 要素として使用する顧客は、MFA を使用していることになります。ただし、PIN とパスワードの組み合わせを使用する顧客は、多要素認証ではなく 2 要素認証(2FA)を使用することになります。
時間に追われる顧客は、ますます摩擦のない認証を求めるようになっています。言い換えれば、実際に認証を行う必要なく認証されることを望んでいるのです。パスワードやユーザーネームはセキュリティが弱いと考えられているため、MFAを導入することは詐欺防止に役立ちます。パスワードとユーザーネームは盗みやすく、悪用しやすいため、ダークウェブで売りに出され、犯罪者が購入するのを待っているのです。
第二に、リスクベース認証(RBA)は強固な認証の一部です:
リスクベース認証は、機械学習とリスクエンジンを使用することで、アカウント乗っ取りやその他の詐欺攻撃を防ぐことができます。RBAは、顧客のデバイス、IPアドレス、場所、ネットワーク、時間帯、トランザクション自体など、何千ものデータポイントを分析し、リアルタイムでリスクスコアを生成します。リスク・スコアに応じて、リスク・ベース認証は必要に応じて即座に認証チャレンジを開始します。リスク・スコアには、ユーザのセキュリティ・インシデントの履歴、ログインの回数、およびアク セスされたデータの機密性も含めることができます。リスク・スコアが多くのコンテキストやその他のデータ・ポイントの組み合わせに基づいているのは、1 つのデータ・ポイントだけでは攻撃者に打ち負かされる可能性があるためです。リスクベース認証は、適応型認証やステップアップ認証とも呼ばれ、必要に応じて多要素認証を利用します。
以下は、リスクベース認証がトランザクションを低リスクと判断する例です:ある正当な顧客が、銀行に登録された既知のデバイスでバンキング・ポータルにログインし、通常と同じブラウザを使用しています。その顧客は、残高を確認したり、少額の支払いを行ったりします。この場合、システムは詐欺のリスクが非常に低いと判断するため、顧客はログイン後に再認証する必要はありません。
しかし、顧客の行動が通常のアクティビティから逸脱している場合、リスクベースのシステムは認証メカニズムを追加し、その結果、銀行振り込みのようなリスクの高い取引に対するセキュリティのハードルが高くなります。この場合、顧客は、例えば、指紋とワンタイムパスコードを伴う多要素認証など、何らかの形で自分自身を認証するよう促されます。成功すれば、顧客はビジネスを続行します。成功しなければ、取引はキャンセルされます。
前述したように、常に進化する脅威や定期的なデータ漏洩を考えると、静的なパスワードやユーザーネームではもはや十分なセキュリティは得られません。多要素認証を使用したリスクベース認証では、金融機関はモバイルアプリやハードウェアトークンなどの認証要素をサポートすることができます。また、指紋や顔スキャンなどの生体認証もサポートし、暗証番号のような「知っている」要素もサポートします。
多要素認証技術の種類
- ハードウェアトークン: キーホルダー型フォブやスマートカードなど、小型で使いやすいハードウェアデバイスで、所有者がネットワークサービスへのアクセスを承認するために携帯します。ワンタイムパスワード(OTP)による強力な認証をサポートします。ハードウェアトークンは、多要素認証の所有要素を提供します。物理的な侵入や操作が困難で、顧客データが保存されないためデータ保護に役立ち、攻撃に対する脆弱性が低い。
- ソフトトークン:ソフトウェアまたはアプリベースのトークンは、1回限りのログインPINを生成します。これらのトークンは、スマートフォンが「所有」要素、つまりあなたが持っているものを提供する多要素認証によく使用されます。ソフトトークンは、パスワードを覚えておく必要性を軽減し、技術革新に対応し、エンドユーザーのオンボーディング時間を数日から数分に短縮することができます。
- プッシュ通知:プッシュ通知では、認証コードまたはワンタイムパスワードをモバイルデバイスにプッシュ通知します。SMSメッセージを受信する代わりに、プッシュ通知は端末のロック画面に表示されます。
- 視覚的暗号:Cronto® のような視覚的暗号は、色のついたドットのマトリックスで構成されるグラフィカルな暗号に含まれるユニークな視覚的チャレンジを使用する多要素認証ソリューションです。顧客はモバイルデバイスのカメラを使って暗号をスキャンし、トランザクションの詳細を解読します。
- モバイル認証:モバイル認証は、携帯電話を介して顧客を認証する方法、またはデバイス自体を認証する方法を提供し、顧客が安全な場所にログインしたり、セキュリティを強化してどこからでもリソースにアクセスできるようにします。
- バイオメトリクス認証: バイオメトリクス認証には、認証プロセスで指紋スキャンや顔認証を使用し、通常モバイルデバイス上で顧客を正確かつ安全に認証する方法と、デバイスとのユニークな対話方法によって継続的に顧客を認証するビハインド・ザ・シーン・セキュリティを提供する行動認証があります。これには、キーストロークの周期やスワイプパターンなどが含まれます。
強力な認証が詐欺防止に役立つ仕組み
強力な認証方法は、多要素認証とリスクベース認証により、詐欺攻撃を減少させることができます。
多要素認証は、「あなたが知っているもの」「あなたが持っているもの」「あなたがいるもの」の3つの認証要素で認証を行うため、詐欺師が顧客のアカウントにログインすることをより困難にします。MFAは、例えば顧客のデバイスが認識されない場合や、顧客が通常とは異なる場所から取引を行おうとする場合に、追加のセキュリティを追加します。また、フィッシング、クレデンシャル・スタッフィング、中間者攻撃、キーロガーなど、最も一般的なサイバー攻撃の防止にも役立ちます。フィッシング攻撃は人の認証情報を盗むことになるかもしれませんが、例えばハッカーに指紋を提供することはありません。多要素認証の使用は、すべてのタイプの攻撃を阻止するわけではありませんが、サイバー攻撃をより困難にする強力な認証の層を追加します。1つの要素が漏洩または破られた場合、攻撃者は顧客のアカウントにアクセスする前に、少なくとももう1つの障壁を突破しなければなりません。
リスクベース認証は、不正アクセスを防止するために各顧客の取引に必要な認証セキュリティの正確なレベルを不正防止システムがリアルタイムで判断するため、不正行為の防止にも役立ちます。RBA は、その人の行動、トランザクション・データ、デバイス・データなどのコンテキス ト・ビューに基づいているため、詐欺師が正規の顧客になりすますことは困難です。
時間の経過とともに、リスク・スコアはアカウントの危殆化や新たな詐欺パターンについて、より信頼性の高い指標となります。リスク評価ツールとして、RBA はまた、どの認証方法をどのような組み合わせで使用すれば詐欺を防止できるかを即座に判断します。以下は、リスクベース認証の実例です:例えば、銀行口座にある資金の90%を、銀行に登録されていない未知のデバイスを使用し、顧客の過去のパターンと一致しない時間帯に送金しようとした場合、指紋スキャンや顔面バイオメトリクスを伴うワンタイム・パスコードなどの強力な認証で本人確認をさらに行うよう求められます。さらに、RBA を使用することで、リスクの高いログイン試行を特定し、必要に応じてアクセスやトランザクションを完全に拒否することができます。
強固な認証は、ハッキングされやすく、セキュリティ侵害や口座詐欺の主な原因であるパスワードへの依存から金融機関を脱却させます。パスワードの問題の一つは、現代の詐欺の手口は非常に巧妙で、パスワードでは事実上防ぐことができないことです。
強固な認証のメリット
強固な認証は、時代遅れのユーザー名とパスワードによる一要素認証よりもセキュリティが強化されます。銀行が新しいオンライン・サービスを追加し、ますますモバイル化が進む顧客にサービスを提供する新しい方法を追加するとき、強固な認証はセキュリティの課題に対応し、顧客に可能な限り侵入の少ないエクスペリエンスを提供するのに役立ちます。
また、顧客にとってスムーズで安全なエクスペリエンスとなるため、ロイヤリティを引き出し、最終的には成長につながる勝利条件でもあります。顧客は、何重にも重なる認証に我慢ができず、口座へのアクセスに多くの時間を費やしたくないのです。銀行のデジタル・トランスフォーメーションの一環として、強力な認証は不必要な本人確認ステップを削除します。また、各取引のリスクレベルに応じて的確なセキュリティ量を適切なタイミングで適用し、追加のセキュリティが必要な場合でもスムーズなエクスペリエンスを提供します。顧客体験は顧客維持に直接影響し、いつでもどこでも簡単に金融機関とやり取りできる顧客は、他の金融機関に乗り換える可能性が低いという調査結果もあります。前述したように、強固な認証は金融機関の詐欺被害削減にも役立ちます。
コンプライアンス
強固な顧客認証(Strong Customer Authentication:SCA)は、電子決済にさらなるセキュリティ層を追加する改正決済サービス指令(Payment Services Directive:PSD2)の新たな要件です。例えば、強固な認証要件を満たすにはMFAが必要です。PSD2はまた、不正決済を防止するための取引リスク分析の利用も義務付けています。
アナリストの意見
市場調査会社のフォレスターは、オンラインおよびモバイル取引がますます普及しているため、強力な認証の一部であるリスクベースの認証は、金融機関にとってこれまで以上に重要であると指摘しています。フォレスター社によると、セキュリティを犠牲にすることなく、顧客の不便さや手間を軽減できることが、競争上の差別化要因になるとのことです。また、同市場調査会社は、可能な限り正確なリスク・スコアを生成するためには、不正防止システムは、デジタル・チャネル全体で可能な限り多くのユーザー、デバイス、およびトランザクション・データを分析できなければならないとしています。