強力な認証とは?
強力な認証は、多要素認証(MFA)を使用して、ログインやトランザクションの承認時に顧客のアイデンティティを認証します。 また、リスクベース認証(RBA)を使用して、オンラインまたはモバイルバンキングの各取引のリスクレベルを決定し、各取引にどのレベルの認証が必要かを判断することで、不正行為の防止に役立てています。
強固な認証の仕組みは?
まず、多要素認証(MFA)では、3つの共通要素を使用します。
- あなたが知っているもの:最も一般的な認証は「あなたが知っているもの」で、パスワードや単純なPIN(個人識別番号)などがあります。 しかし、詐欺師にとっては最も簡単な方法でもあります。
- あなたが持っているもの:「あなたが持っているもの」要素とは、モバイルデバイスやハードウェア認証トークンなどのアイテムを指し、1回限りのワンタイムパスコード(OTP)を生成します。 ハードウェア認証は、2ファクタ認証(2FA)を提供します。 プッシュ通知やワンタイムパスコード(OTP)など、携帯電話を使ったオプションでも2FAを実現できます。
- バイオメトリクスとは、「自分らしさ」を表現するもので、指紋や顔のスキャンなどがあり、特にモバイルバンキングでは、パスワードレスログインへの移行の一環となっています。 また、指紋センサーを搭載したノートパソコンも数多く発売されており、USBフラッシュメモリーでも利用可能です。
多要素認証を実現するためには、少なくとも2つの異なる技術グループの異なる技術を認証プロセスに使用する必要があります。 お客様が顔認証付きのPINを第2の要素として使用する場合は、MFAを使用することになります。 しかし、PINとパスワードを併用しているお客様は、多要素認証ではなく二要素認証(2FA)を使用していることになります。
時間に追われるお客様は、摩擦のない認証を求めるようになっています。 つまり、実際に検証を行わなくても、検証されたいということです。 MFAを導入すると、パスワードやユーザー名ではセキュリティが弱いとされるため、不正行為を防ぐことができます。 パスワードやユーザー名は、盗み出したり、悪用したりするのが簡単で、ダークウェブで販売され、犯罪者が購入するのを待っています。
第二に、リスクベース認証(RBA)は、強力な認証の一部です。
リスクベース認証は、機械学習とリスクエンジンを用いて、アカウント乗っ取りなどの不正攻撃を防ぐことができます。 RBAは、お客様のデバイス、IPアドレス、位置情報、ネットワーク、時間帯、取引そのものなど、何千ものデータを分析し、リアルタイムにリスクスコアを算出します。 リスクスコアに応じて、リスクベース認証では、必要に応じて直ちに認証チャレンジを行うことができます。 リスクスコアには、ユーザーのセキュリティインシデントの履歴、ログイン回数、アクセスしたデータの機密性なども含まれます。 リスクスコアが多くのコンテクストデータやその他のデータの組み合わせに基づいているのは、1つのデータポイントだけでは攻撃者に打ち負かされる可能性があるからです。 リスクベース認証は、適応型認証やステップアップ認証とも呼ばれ、必要に応じて多要素認証を利用します。
ここでは、ある取引が低リスクであると判断するリスクベース認証の例を示します。正当な顧客が、銀行に登録された既知のデバイスで、通常使用するのと同じブラウザを使用して、銀行のポータルにログインします。 お客様は残高を確認したり、ちょっとした支払いをしたりしています。 この場合、不正行為のリスクは非常に低いとシステムが判断し、お客様はログイン後に再認証する必要はありません。
しかし、お客様の行動が通常の活動から逸脱した場合、リスクベースのシステムでは認証機構が追加され、結果的に銀行送金のようなリスクの高い取引ではセキュリティのハードルが高くなってしまいます。 この場合、お客様は何らかの形で自分自身を認証するよう促されます。例えば、ワンタイムパスコードを伴った指紋など、多要素認証となります。 成功すれば、彼らはビジネスを続けることができる。 そうでなければ、その取引はキャンセルされます。
前述のように、常に進化し続ける脅威や定期的に発生するデータ侵害を考えると、固定のパスワードやユーザー名ではもはや十分なセキュリティを確保できません。 多要素認証を用いたリスクベースの認証では、金融機関はモバイルアプリやハードウェアトークンなど、自分が持っているものを認証要素としてサポートすることができます。 また、指紋認証や顔認証などのバイオメトリクスにも対応しており、暗証番号などのSomething You Knowの要素にも対応しています。
さまざまなタイプの多要素認証技術
- ハードウェアトークン: キーホルダーやスマートカードなどの小型で使いやすいハードウェアデバイスで、所有者がネットワークサービスへのアクセスを承認するために携帯するもの。 ワンタイムパスワード(OTP)による強力な認証をサポートしています。 ハードウェアトークンは、多要素認証の所有要素となります。 物理的に侵入して操作することが難しく、顧客情報が保存されていないため、データ保護にも役立ち、攻撃を受けにくいのです。
- ソフトトークン:ソフトウェアやアプリをベースにしたトークンで、1回限りのログインPINを生成します。 このトークンは、スマートフォンが「所有物」、つまり自分が持っているものを提供する多要素認証によく使われます。 ソフトトークンは、パスワードを覚える必要性を軽減し、技術革新に対応することができ、エンドユーザーの導入時間を数日から数分に短縮することができます。
- プッシュ通知:認証コードやワンタイムパスワードを、本人の携帯電話にプッシュ通知で配信すること。 SMSメッセージを受信する代わりに、プッシュ通知が相手の端末のロック画面に表示されます。
- 視覚的暗号:Cronto®などの視覚的暗号は、色のついたドットのマトリクスで構成されたグラフィカルな暗号に含まれる固有の視覚的チャレンジを使用する多要素認証ソリューションです。 お客様は、携帯電話のカメラで暗号を読み取り、その中にある取引内容を解読します。
- モバイル認証:モバイル認証は、携帯電話を介して顧客を認証したり、デバイス自体を認証する方法を提供します。これにより、顧客はセキュリティが強化された場所にログインし、どこからでもリソースにアクセスできるようになります。
- バイオメトリクス認証: バイオメトリクス認証には、認証プロセスに指紋スキャンや顔認証を使用して、通常モバイルデバイス上でお客様を正確かつ安全に認証するものと、お客様がデバイスに接する際のユニークな方法によって継続的に認証する舞台裏のセキュリティを提供する行動認証があります。 これには、キーストロークのケイデンスやスワイプのパターンなどが含まれます。
強力な認証による不正行為の防止
強力な認証方法は、多要素認証やリスクベースの認証のため、不正な攻撃を減少させるのに役立ちます。
多要素認証では、「知っているもの」「持っているもの」「いるもの」という3つの認証要素を検証することで、詐欺師がお客様のアカウントにログインすることをより困難にします。 MFAは、例えば、お客様のデバイスが認識されない場合や、お客様がいつもと違う場所から取引を行おうとする場合などに、セキュリティを強化します。 また、フィッシング、クレデンシャルスタッフィング、中間者攻撃、キーロガーなど、最も一般的なサイバー攻撃の防止にも役立ちます。 フィッシング攻撃で人の認証情報を盗むことはできても、例えば、ハッカーに指紋を提供することはできません。 多要素認証を使用することで、すべてのタイプの攻撃を阻止できるわけではありませんが、強力な認証のレイヤーを追加することで、サイバー攻撃をより困難にすることができます。 1つの要素が侵害されたり破られたりした場合、攻撃者はお客様のアカウントにアクセスする前に、少なくとももう1つの障壁を突破しなければなりません。
リスクベース認証は、不正アクセスを防ぐために、顧客のトランザクションごとに必要な認証セキュリティレベルを不正防止システムがリアルタイムに判断するため、不正防止にも役立ちます。 RBAは、本人の行動、トランザクションデータ、デバイスデータなどのコンテクストビューに基づいているため、詐欺師が正当な顧客になりすますことは困難です。
時間の経過とともに、リスクスコアはアカウントの侵害や新たな不正パターンのより信頼性の高い指標となります。 また、RBAはリスク評価ツールとして、どのような認証方法をどのような組み合わせで使用するかを瞬時に判断し、不正行為を防止します。 例えば、銀行に登録されていない未知のデバイスを使って、顧客の過去のパターンと一致しない時間帯に、銀行口座で利用可能な資金の90%を送金しようとした場合、指紋スキャンや顔面バイオメトリクスを伴うワンタイムパスコードなどの強力な認証で、さらに本人確認を行うよう求められます。 さらに、RBAを使用することで、危険なログイン試行を識別し、必要に応じてアクセスやトランザクションを完全に拒否することができます。
強固な認証により、金融機関は簡単にハッキングされ、セキュリティ侵害や口座詐欺の主な原因となっているパスワードへの依存から脱却することができます。 パスワードの問題点のひとつは、最近の詐欺の手口は非常に巧妙で、パスワードではほとんど防ぐことができないということです。
強力な認証のメリットは?
強力な認証は、旧来のユーザー名とパスワードによる単一要素のユーザー認証よりもセキュリティを向上させます。 銀行が新しいオンラインサービスを追加したり、モバイル化が進む顧客に新しいサービスを提供したりする際には、強力な認証がセキュリティの課題に対応し、顧客にできるだけ迷惑をかけないようなサービスを提供するのに役立ちます。
また、お客様がスムーズに安心してご利用いただけるため、ロイヤリティを高め、最終的には成長につなげることができる勝利の条件でもあるのです。 お客様は、何重にも認証を重ねることに我慢がならず、また、自分のアカウントにアクセスするために多くの時間を費やしたくないと考えています。 銀行のデジタルトランスフォーメーションの一環として、強力な認証は不要な本人確認のステップを取り除きます。 リスクのレベルに応じて、各トランザクションに適切なタイミングで正確な量のセキュリティを適用し、追加のセキュリティが必要な場合もスムーズに対応します。 カスタマー・エクスペリエンスはリテンションに直接影響し、いつでもどこでも簡単に金融機関とやりとりできるお客様は、他の金融機関に乗り換える可能性が低いという調査結果が出ています。 前述のように、強力な認証は、金融機関の詐欺被害の削減にも役立ちます。
コンプライアンス
強力な顧客認証(Strong Customer Authentication: SCA)は、改訂された決済サービス指令(PSD2)の新たな要件で、電子決済にさらなるセキュリティの層を追加するものです。 例えば、MFAはその強力な認証要件を満たすために必要です。 また、PSD2では、不正な支払いを防止するために、取引リスク分析の利用が義務付けられています。
アナリストの声
市場調査会社のフォレスター社は、オンラインやモバイルでの取引がますます盛んになっているため、強力な認証の一部であるリスクベースの認証は、金融機関にとってこれまで以上に重要であると指摘しています。 フォレスター社は、セキュリティを犠牲にすることなく、お客様の不便さや手間を軽減できることが競争上の差別化につながるとしています。 また、市場調査会社によると、可能な限り正確なリスクスコアを生成するためには、不正行為防止システムが、デジタルチャネル全体で可能な限り多くのユーザー、デバイス、トランザクションのデータを分析できなければならないという。