「リスクベース認証」の課題とイノベーションの可能性

「リスクベース認証」の課題とイノベーションの可能性

「リスクベース認証」という単語を聞いたことがありますでしょうか。金融機関におけるシステム担当や管理部門の方には耳慣れた言葉かと思いますが、まだまだ一般には浸透していないものかと思います。

大まかに定義をすると、インターネット上における各ユーザー・アカウントの動きを監視カメラのようにチェックをして、普段とは異なるなりふるまいなどから不正なユーザーによる利用かどうかを検知し、危ない場合には追加認証をかけるサービス、と言えます。

弊社が生業としております不正アクセス検知サービス「FraudAlert(フロードアラート)」は、まさにこのリスクベース認証なのですが、アメリカでは十数年前から存在する目新しくないサービスです。では、今なぜ我々が本サービスによって創業したかというと、大きく二つの理由があります。

  1. 先行する他社サービスに限界があり、新規参入によってイノベーションの余地がある判断したこと。
  2. IoT時代を迎えた今こそ、さらなる潜在的なニーズがありうると想定していること。

1. 既存リスクベース認証の課題点

大手金融機関にターゲティングしている先行サービスは、下記の特徴とその限界があります。

1)運用コスト:ユーザーの行動を確認するために、数百にもおよぶパラメーター(変数)を確認するのですが、変数の微調整を手動で行う仕様になっています。そのため、数十・数百あるパラメーターの運用を内部・外部リソースでまかなう必要があります。しかし、日々チューニングを行う必要があり、スマホ・タブレット・その他IoTデバイスの普及により、運用コストが飛躍的に高まってきています。

2)導入コスト:オンプレミス型リスクベース認証の場合、ライセンス料と膨大なデータを蓄積・分析するためのハードウェア、さらにはシステム改修費用と、実運用のために膨大な費用がかかりました。したがって、日本ではメガバンクをはじめとする大手金融機関以外での活用が全く見られません。

3)検知と認証の一体化:不正検知と追加認証が一体化されているケースが多く、せっかく検知しても追加認証の方がハッキングされているケースなども見受けられます。

日本国内では、本当にごく一部の事業者のみで使われているリスクベース認証を、どのように普及させるかをベンダーおよびサプライヤーとして考え、開発しているのが弊社サービスのFraudAlertとなります。

1)運用コスト:各パラメーターのチューニングを、利用する事業社内のデータと同業他社のデータを比較しながら機械学習によって自動化することで、運用コストを圧倒的に下げます。

2)導入コスト:クラウド化により実装を手軽なものとし、システム改修費用を圧縮・削除します。

3)検知と認証の分離:検知に特化することで、事業社側が自由に認証を選択できるようになります。不正を検知した際には不正アクセスのスコアだけでなく、なぜ危ないと判断したかの理由も合わせてリアルタイムで事業者に送信します。そのため、不正アクセス検知理由に応じた最適な認証を行うことができます。現在、単一認証技術のプロダクトライフサイクルが短くなっているという背景もあるため、定期的に認証技術に脆弱性がないか検証する必要が求められています。

上記に加えて、弊社が今後進めるのは、“マルチデバイス対応”です。

従来のリスクベース認証は、顧客接点としてウェブブラウザ・モバイルブラウザにフォーカスしており、モバイルアプリ・ウェアラブル端末用アプリ・ゲームデバイス、さらにはリアル店舗での利用はスコープ外でありました。我々は複数の開発ラインを整備することで、“顧客接点のすべて”における不正アクセスのリスクを一元管理するよう、製品ラインナップを整えてまいります。これはグローバル市場においてもっとも差別化要因となりうると考えております。

2. インターネットに接続されたデバイス数が世界の人口を上回った今こそ、リスクベース認証の真価が試される時

現在、エンドユーザと事業者の顧客接点は拡大の一途をたどっています。米シスコ社が発表したレポートによると、2020年にはインターネットに接続されるデバイスが500億台にまでのぼり[1]、世界人口の約8倍の数という時代が到来すると予測されています。

現在、市場に出ているものだけでも、家電・スマートハウス・電気メーター・ATM・自動車などライフスタイルに立脚するサービスが該当します。また、海外では“BrainTech(ブレインテック)”という脳波から得た情報をインターネットへ直接接続する試みが行われるなど、人体とも直結し「ネット」と「リアル」の境がますますぼやけた時代がくる可能性があります。

これはつまり、私たちの物理的存在だけでなく仮想的存在、つまり広義でのインターネット空間における「ID=アカウント」の重要性が高まり、利用が普及するということを意味しています。我々はあまねくすべての顧客接点における不正の有無を検知できる存在として、社会に価値提供を進めていきたいと考えております。

(文/島津敦好 画像/© Fotolia)

参考:
[1] Evans, D. (2011). The Internet of Things. How the next evolution of Inetnet is changing everything. Cisco Internet Business Solutions Group (IBSG).