Enterprise Watch
最新ニュース

RSAに聞く、オンラインバンキングを守る「リスクベース認証」普及のわけ


米RSA シニアプロダクトマーケティング マネージャーのヨラム・ボレンスタイン氏
 インターネットで情報や金銭をやり取りするのが当たり前の時代となっている。一方でそうした行為にためらいをみせる一般ユーザーも少なくない。その理由はいうまでもなく、セキュリティ面での不安感だ。

 これまでにも個人情報漏えい事件は何度も報道されてきた。情報漏えいの原因としては、企業の内部犯行が最も多いとされているが、外部からの不正アクセスにより情報が盗まれてしまう危険性も高い。

 それを防ぐためにオンラインバンキングやオンラインショッピング事業者が苦心しているのが、ログイン認証をどうするかという問題である。特にオンラインバンキングにおける不正アクセスは多大な金銭的被害を生じかねないため、ログインIDやパスワードに関する銀行側の対策は非常に厳戒だ。もちろん「セキュリティ対策はしっかり」というのが一般ユーザーの一番の思いであるが、時として利便性を大きく損なう結果になることもあり、銀行側もバランスの調整が難しい話といえる。

 そうした中、米国を中心に「リスクベース認証」を採用するオンラインバンキングが増えている。米RSA シニアプロダクトマーケティング マネージャーのヨラム・ボレンスタイン氏によれば、「高いセキュリティとユーザー側の利便性を両立させ、さらに銀行側の導入コストを低減することさえ可能な認証方式だ」という。

 そもそもリスクベース認証とはどんなものか。またこの方式が注目されるにはどういった背景があったのか。リスクベース認証製品「Adaptive Authentication for Web(以下、AAW)」のマーケティングを担当する同氏に話を聞いた。


AAWの仕組み
―そもそもリスクベース認証とはどういったものですか。

ボレンスタイン氏
 ひと言でいえば、二要素認証方式の一種です。ユーザーの初回認証時にリスクを評価して、不正アクセスの可能性が高い場合に、二度目の認証を要求することで、認証の確実性を高めることができます。


―仕組みについて具体的に教えてください。

ボレンスタイン氏
 では当社のAAWで説明しましょう。同製品を導入したWebサイトに一般ユーザーがアクセスしてログイン認証を行ったとします。AAWではこの要求に対して、「RSAR Risk Engine」というコンポーネントによってリアルタイムにリスクを評価します。

 ここで評価するのは、例えば、クライアントのデバイス情報、IPアドレス、ISP、接続タイプなどのネットワーク情報、さらに口座の利用状況やアクセスの時間帯・場所などのユーザープロファイルなどです。これらに不審な点はないか。例えば、世界中のさまざまな地域から同一のデバイスでアクセスがあれば、何かおかしなことが起きていると判断できますよね。こうした点を評価します。

 また、オンライン不正情報をグローバルに共有するデータリポジトリ「RSA eFraudNetwork」なども活用されます。このネットワークには各国の金融機関、信用金庫、クレジットカード会社、ISPやIT企業などが加盟しており、オンライン詐欺者のプロファイルや実際のインシデントを監視・識別・追跡しています。例えば、不正なIPアドレスなども登録されているので、該当するIPアドレスからアクセスがきた場合には、当然多大なリスクがあると判定されるわけです。

 こうした評価の結果、リスクを0~1000点までの幅でスコアリングを行い、このスコアが高い場合に、ユーザーに2度目の認証を行ってもらうというのがAAW(リスクベース認証)です。


―2度目はどういった認証を行うのでしょう。

ボレンスタイン氏
 さまざまな方式の中から任意に設定することができます。例えば、デバイスIDの入力、ハードウェア・ソフトウェアトークン、トランザクション署名、チャレンジ質問、または電話やメール、SMSによるアウトオブバンド認証も可能です。またより重要な取引を行う顧客にはOTP認証で対応することも可能です。

 ただ実際にはチャレンジ質問を採用するケースが多いです。これはあらかじめ秘密の質問とその答えをユーザー自らが登録しておいて、これを認証に利用する方法ですが、オンラインバンキングの運用形態を考えると、一番実装が楽で現実的なんですね。海外でも日本でもこのケースがほとんどです。


―二要素認証を実現するだけなら、通常のID・パスワードとOTPを組み合わせるなどでも実現できますよね。なぜリスク評価というプロセスを踏むのでしょうか。

ボレンスタイン氏
 セキュリティと同時にユーザーの利便性を確保するためです。AAWではリスクのスコアが低い場合、2度目の認証プロセスは発生しません。スコアリングも完全にバックグランドで実行されるので、正規のユーザーは一度の認証で何にも煩わされることなくログインすることができます。

 オンラインバンキングのような一般ユーザーを相手にするサービスでは、高セキュリティであると同時に使いやすいことが重要です。それを両立できるリスクベース認証はオンラインバンキングには最適な認証方式といえます。


―現在どれくらいの採用実績があるのでしょうか。

ボレンスタイン氏
 ワールドワイドで8000の金融機関に採用されています。クライアント数だと2万、ID数だと1億2000万に上ります。公表できるユーザーとしては、Bank of America/E*TRADE Financial/ING、日本ではみずほ銀行/マネックス証券など。米国でFFIECガイダンスが発表されてから、金融機関は認証システム構築に本格的に取り組み、リスクベース認証に関心を持ち始めています。


―FFIECガイダンスというのは?

ボレンスタイン氏
 連邦準備制度理事会、連邦預金保険公社(FDIC)、米信用組合局(NCUA)、通貨監督官事務所(OCC)、貯蓄監督局(OTS)の5機関から構成された連邦金融機関調査評議会(Federal Financial Institutions Examination Council:FFIEC)が、2005年10月に発表した合同ガイダンスです。

 「インターネット・バンキング環境における認証」と命名されたこのガイダンスでは、加盟銀行に対して、オンラインバンキングを単一要素による認証から二要素認証にアップグレードするよう推奨しています。正式な法令ではなく、法的義務は生じないのですが、現実的には「強い指導」とでも表現すべきものであり、各金融機関も真剣に実施しようという風潮にあります。

 このガイダンスにはテクノロジーを選定する際、顧客の賛同が得られるもの、信頼できるパフォーマンス、将来の拡張性など、セキュリティとは関係ない要素も考慮に入れるべきとあります。


―なるほど、顧客の賛同をという項目がリスクベース認証採用の機運を作り出しているのですね。今後、オンラインバンキングにおいてリスクベース認証はデファクトスタンダードになっていくのでしょうか。

ボレンスタイン氏
 そうですね。そのほかにもポータルサイトやオークション、ゲームサイトなどでも採用が進んでいくと思っています。



URL
  RSA
  http://www.rsa.com/japan/


( 川島 弘之 )
2008/02/15 15:09

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.