これからの認証方法とは

2018年6月4日

現在の社会人の半数以上は若い時からインターネットやモバイルに精通しており、私たちは今、生活の大半をオンラインの中で過ごしています。そして現在、全ての世代が共通してポケットやカバンに所有しているスマートフォンの出現は、小売ショッピングやオンラインバンキングに混乱をきたしています。

かつて有力だった小売事業名が一瞬にして消え去っており、(ザ・リミテッド, トイザらス、サーキットシティなど)、ショッピングモール自体が危機に陥ってさえいます。小売店のエキスパートはAI(人口知能)の機能によって、購入する際に物理的な場所に行かなくても、商品を見たり、試着したり、触ったり、もちろん商品のエキスパートとその場で話すことができるようになると考えています。組織はこうした指を動かしたりタップするだけで実行できる全ての商業活動のため、ユーザーの身元を確認するための認証方法をどのように進化させるべきか考えるべきです。

従来の認証


ほとんどの金融機関及びeコマース企業は防御の第一線としてユーザー名とパスワードの組み合わせを使用しています。しかしパスワードは実際、強固なサイバーセキュリティ戦略の主力になることはありませんでした。それは機密データにアクセスするための二次的な抑止戦略として作成されたものです。何年も前にサイバー犯罪者は、パスワードを盗み出し、回避する方法を発見しています。また、ソーシャルエンジニアリングとして知られている手法でユーザーのクレデンシャル情報を盗み、人を騙す方法を発見しています。

パスワードの問題はこれだけではありません。もう一つの問題はその偏在性です。パスワードはオンラインのアカウント及びサービスを保護するために幅広く利用されており、現代のインターネットユーザーは平均して92にも及ぶアカウントのパスワードを覚える必要があります。その必然的な結果としてユーザーは、複数のプラットフォーム上でパスワードを再利用するというパスワードのリサイクルを行います。つまり攻撃者が関連のないアカウントのパスワードを取得したとしても、彼らは被害者のオンラインアカウントの詳細を意図せずに手にする可能性があるのです。

公平な立場で言いうと、従来のパスワードを改善し、ソーシャルエンジニアリングやその他の攻撃から保護するための努力がなされてきたのも事実です。例えば、過去にいくつかの金融機関は取引を確認するためにランダムな数字を生成する物理的なトークンを顧客に発行しています。しかし、それらのキー・フォブは大規模なフィッシング攻撃の侵害に幾度となくあっています。サイバー犯罪者は生成されたそれらの数字を傍受しユーザーのパスワードを手にいれました。また物理的なトークンはその小さなデバイスに傷がついたり、なくしてしまったり、盗まれたりした場合、再発行にコストがかかります。

SMSのワンタイムパスワードは携帯電話に広く利用されているため、物理的なトークンを配布する必要性を排除しました。しかし残念ながら、SMSメッセージを送信するために使用される通信システムは暗号化されておらず、容易に傍受されるため、従来のパスワードより安全ではありません。2016年、アメリカ国立標準技術研究所(NIST)は企業に、SMSのワンタイムパスワードの代わりとなる、より信頼できるユーザー認証方法探すことを推奨しています。

銀行や企業は、一昔前に攻撃者により侵害を受けたセキュリティ方法を超えた何かを実行する必要があります。このようなSMSのワンタイムパスワードでサポートされているユーザーパスワードの先天的な欠点は、新しくて安全な認証ファクタがオンラインでの購入及びバンキング取引において消費者の信頼を維持するために必要であることを示しています。そして幸いなことに、未来の認証が存在します。

最新の認証

パスワード不要の認証:認証ファクタはスマートフォンやタブレットのもつユーザー認証機能に見合うよう進化してきました。ユーザーはしばしば複数のデバイスをもっていますが、一般的にある特定の仕事を実行するために同じデバイスを使う傾向にあります。先見的な企業はこの傾向を認識し、それに応じてログインプロセスを合理化しています。
ユーザーはモバイルデバイスのような既知のデバイスを利用し、パスワードを入力しなくてもモバイルフォンのカメラでコードを単にスキャンニングするだけでプラットフォームにログインが可能です。ユーザーの経験価値を向上させることに加えて、これは優れたフィッシング攻撃を削減できる可能性をもっています。パスワードは認証との関連性が低くなるため、攻撃者はエンドユーザーのクレデンシャルを取得することで大きなメリットがなくなるのです。

強固で負荷の少ないバイオメトリクス認証:金融機関はまた、新しい方法としてバイオメトリクス認証技術を利用しています。バイオメトリクスはにエンドユーザー独特の身体的特徴を分析することで彼らの身元を確認します。そのプロセスは非常に安全ですが、過度に手間がかかるわけではなく、セキュリティとその利便性のバランスを上手く保っています。それは指紋スキャナー、ボイスレコーダー、モバイルフォンカメラなどのスマートフォンの技術を利用します。これによりユーザーは指紋、音声、顔認証技術を使って彼らの身元を簡単に証明することができます。この認証の一番いいところは、セルフィーを撮ったり、話したり、スクリーンをタップするなど顧客が日常的に携帯電話を使うのと同じぐらい簡単にできるため、顧客が快適にこれらの機能を利用できるところです。

ジオロケーション認証:ジオロケーションもまた、いつでもどこでも認証を提供できるようユーザーのモバイルデバイスを利用しています。顧客が大型店で買い物をしており、銀行が彼らの身元を認証する必要がある場合、その選択肢の1つとして、金融機関は取引認証のためにプッシュ認証を送信できます。また、ジオロケーションにより、銀行は携帯電話を介して顧客の場所にアクセスし、ユーザーが取引を要求しているのと同じ場所にいることを確認することができます。この場合、顧客は通知に返答する必要がないため、より簡単で負荷のかからない認証エクスペリエンスが実現できます。

こういった認証方法は全て、取引が真正であることを安全に確認するために機能しますが、単一のテクノロジーでは100%確実なオンライン金融取引を保証することはできません。その鍵となるのは顧客のエクスペリエンスに負荷をかけずに、サイバー犯罪者の一歩前にいることです。パスワードではそれのどちらもできません。強固なマルチファクタ認証が提供するべく最新の認証を取り入れてステップアップする時がきているのです。

By Ricardo Villadiego

Ricardo  Villadiego

Ricardo VilladiegoはCyxtera Technologies (シクステラ テクノロジー)、詐欺対策セキュリティ部門の代表取締役副社長及びGMです。

Cyxtera Technologies, Inc. All rights reserved    I    Privacy Policy    I    Legal Terms