認証が面倒なサイトと簡単なサイト、どちらが安心ですか?
FacebookやTwitter、InstagramにtiktokなどのSNSや、会員サイト、オンラインショッピングサイトとインターネットを利用した便利なサービスやツールを使う事が当たり前になっていますが「IDやパスワードを覚えきれない」「パスワードを複雑にしないと登録できないのが面倒」「スマホとの連携が必要で面倒」と思われる方も多いのではないでしょうか。
ただ、なりすましなどの犯罪者から守るためには、サービスを提供する側としても必要な施策ともなっています。
今回は、そうしたユーザ認証にまつわるお話をしたいと思います。
1.認証方式のおさらい
ユーザ認証には、知識認証、所有物認証そして生体認証があります。知識認証とは、パスワードや「秘密の質問」などの人が記憶している情報を用いた認証です。所有物認証とは、スマートフォンやトークンなどのユーザが所持している情報を用いた認証です。そして、生体認証は、指紋や音声などの人体にまつわる情報を用いた認証となります。
知識認証のみでは、「総当たり攻撃」や漏洩などのリスクが残ります。所持物認証は、スマートフォンやトークンなど本人が持っている情報を用いるため、こうしたリスクを軽減することができますが、逆にこの情報を持っていない場合は認証を通過することが出来なくなります。生体認証は情報を持っていないということはないのですが、専用のシステムを構築する必要があるのに加え、 端末側の機能有無やユーザの主義主張に左右される課題があります。
こうした、それぞれの不足している部分をかけ合わせるのが、多要素認証です。一番身近なのはパスワード(記憶情報)の他に、スマートフォンにワンタイムパスワードが送信される(保持情報)という二要素認証です。
2.利便性と安全性をどちらも高めていくには
皆さんは何度も認証を求められるWebサースとIDとパスワードですぐにアクセスできるWebサービスどちらが安心して利用できますか? もちろん認証がしっかりしたサービスが安心なのは言うまでもありませんが、利用する上で面倒なのも確かです。実際には常時ログイン状態を保つサービスも多く存在しています。こうした面倒な認証も一度してしまえば、しばらくはそのまま利用できたりします。これは、利便性を考慮した上でのサービス提供側の設計です。
また、複数のサービスを利用する中で、IDパスワードを共通にしない事がセキュリティ維持の観点で推奨されているため、ただでさえ大変なパスワード管理に多要素認証が加わる事によってストレスを感じる方も多いのではないでしょうか?
都度多要素認証を求められると、ユーザ側の利便性が著しく低下してしまいます。そのため、サービスを提供する側も、利便性を損なわずに、安全性を高めるような施策を考える必要があります。 サービスによっては、アクセスする端末が変わるなど条件が異なった時にだけ追加で他の認証を要求してくることもあります。しかしながら、同じサービスを色々なアクセス条件で使うのは既に一般的になっており、1台のスマホで全部を済ませているようなユーザ以外は追加認証を必要とする機会が多くなってしまいます。
セキュアブレインでは、こうした問題を解決できるひとつの手段として、「SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー)BD」という製品を開発・提供しています。この製品では、Webサービスやモバイルアプリのアクセス時に発生するテレメトリ(遠隔情報収集)データ等をリアルタイムに収集・分析します。
分析した結果を本人以外のアクセス危険度としてスコア化しサービス事業者に連携するため、事業者はスコアによって「そのままアクセスさせる」「追加認証を取る」「アクセスさせない」を精緻にシステム判断する事ができます。追加認証を取る精度が上がれば、複数の条件でサービスを利用する優良顧客の満足度を高める事が出来るでしょう。提供するスコアは、ネット犯罪を長年研究しているセキュアブレインが持つ知見を活かした独自ロジックによって算出しています。一例を挙げると、ユーザ認証をした際の場所、時間、デバイスに加え、サイト内行動の 振る舞い分析を加味する等して精度を高めています。
サービスを利用する側も提供する側も安心安全なWebサービス環境の実現に向け、今後もセキュアブレインは製品開発を進めていきます。
