ユーザー認証とID: それぞれに適した認証プロセスの選択

それぞれのビジネスに適した認証プロセスの選択

MGM Resorts

Walgreens

J. Crew

Zoom

こうした企業すべてに共通することは何でしょうか？

いずれも過去9か月以内にデータ漏えいが発生し、顧客情報と業務記録が流出するリスクを経験しています。

企業データの漏えいは 頻繁に発生しています。2019年だけでも 1,473件の漏えいが発生し、約1億6,500万件の機密記録が流出しています。こうした漏えいは、2要素認証の導入や顧客にパスワードの定期的な更新を求めるなど、アカウントセキュリティの定期的な更新で回避できたリスクでもあります。

ここでは、3つの主なオンライン詐欺タイプ、こうしたリスクに対抗するためのさまざまなプラットフォームセキュリティオプション、それぞれのチャネルのメリットとデメリットについて解説します。

オンライン詐欺タイプの内容

3つの異なる詐欺タイプの要素があり、顧客アカウントのセキュリティジャーニーにおける4つの段階、つまり、登録、ログイン、トランザクション、パスワードのリセットの各段階に割り当てられます。それぞれのタッチポイントで、新規アカウント詐欺、アカウント乗っ取り、決済詐欺などのオンライン詐欺を防ぐことができます。

データ漏えい時には、以下の3つの詐欺タイプが一般的です。

1. 登録/新規アカウント詐欺: 新規ユーザー/登録インセンティブ（フリーミアム構造が一般的）は、数千ものアカウントを作成して新規会員割引/特典を悪用するフィッシングボットの標的になります。
2. アカウント乗っ取り詐欺: 不正ユーザーは、ユーザーの認証情報にアクセスしてユーザーアカウントにログインし、パスワードを変更して元のユーザーがログインできないようにします。
3. 決済詐欺: ハッカーは、ガソリンスタンドの端末や食料品店のレジ、ルーティーンデータ漏えいなどから顧客のクレジットカード情報を不正に入手し、その情報を悪用して購入を試みます。通常、顧客の被害は補填されますが、企業は同様のセキュリティを保証されません。

デジタルセキュリティ対策の評価

ビジネスでどのデジタルセキュリティ機能を使用するか検討する際に重要なのは、企業と顧客のデータを安全に保つための各機能の長所と短所を評価することです。

メール認証

過去数十年間にわたり、メールは指紋と同じくらい普遍的な個人の認証情報として普及しました。そのため、オンラインアカウントの大部分は、本人確認にユーザーのメールアドレスを使用しています。

メリットは明らかです。メールは広く普及しており、ほぼ忘れることがなく、アカウント所有者と連絡をとる最良の手段と言えます。しかし、それが不正アクセスアドレスなのかを判別するのはほぼ不可能です。

さらに、1段階のアカウントセキュリティだけでは、有効性を検証するのは困難です。たとえば、パスワードリセット用のリンクを侵害されたメールアドレスに送信すると、このアカウントにそのような内容を送信することは不適切であり、リスクが生じる可能性があります。

• メリット: 普遍的に使用されている、覚えやすい、低コスト
• デメリット: 検証が不可能、ハッキングされやすい

電話番号とSMS認証

メールと同様に、電話番号は素早く容易にIDを認証できる魅力的なオプションです。電話番号も普遍的に使用され、覚えやすく、ユーザーとシンプルに直接連絡をとることができます。

数千もの偽アカウントを比較的容易に作成できるメールとは異なり、個人の電話番号を偽造するのは非常に困難で、時間とコストがかかります。

電話番号は、固定電話番号/携帯電話番号の識別、出身国、使用している通信会社など、ID認証ためにユーザーに関する大量の個人情報を確認する際にも役立ちます。

多くの企業は、2要素認証（2FA）や電話番号認証などの認証テクニックを使用しています。顧客が登録手続きで電話番号を入力すると、企業がその番号にワンタイムコードを送信し、顧客がそのコードをアプリに入力します。このプロセスは、ユーザー認証プロセスのセキュリティを飛躍的に高める現時点で最も一般的な手法です。

 テキストメッセージングの普及から、電話番号は優れた認証機能と言えますが、消費者はロボコールやテレマーケティングの増加により、番号の共有を控えるようになっています。また、メールと同様に、番号やSMSメッセージに不正アクセスされるリスクも依然として存在します。

ベストプラクティスとして推奨されるのは、登録する番号がアカウント所有者のものであることを確認するためにワンタイムコードをSMSで送り、コードをアプリに入力してもらう方法です。しかし、SMSは簡単で単純すぎるため、多くの国では、 オンライントランザクションを保護するために、SMSセキュリティ規制のルールが変更されています。

たとえば、ヨーロッパでは、SMSコードは安全とはみなされません。傍受または漏えいの可能性があり、ユーザーはコードを受信し、認証する対象がわからないまま処理を進めるためです。こうした新しい要件により、マーチャントはトランザクションの詳細をテキスト経由で共有し、送信されたセキュリティコードが認証済みのユーザーによる購入と関連していることを保証する必要があります。

この手法では、プッシュ通知の特性から正当な決済であることが保証されるため、顧客と企業の双方を保護することにつながります。米国では義務付けられていませんが、決済詐欺から自社と顧客を守るための有効なセキュリティ手法と言えます。

テキスト認証のその他の欠点としては、コストが考えられます（テキストを海外に送信する場合、国内でメッセージを送信するよりはるかに高額になる）。ユーザーの大部分はテキスト対応の電話端末を利用していますが、一部のユーザーは固定電話などの音声通話限定の電話番号しか所有していないか、それ以外に、SMSの使用を禁止する制限の対象である場合があります。

• メリット: 普遍的に使用されている、便利、導入しやすい、アプリが不要 
• デメリット:  SIMスワップ/SIMハッキング、デバイスの紛失/盗難、固定電話とモバイル間の通信、コスト

アプリ認証

SMSは2FAを最も素早く利用できる手法ですが、最良のユーザー体験をもたらすソリューションは、プッシュ認証を備えたアプリベースの2FAです。

承認済みのセキュリティ基準を満たす認証アプリ（ Authyなど）の導入も、より安全なオプションの1つです。この場合は、デバイス自体でワンタイムパスコードやプッシュ通知を生成できます。

認証サービスを既存のアプリに追加するソリューションもあります。たとえば、Verify Pushでは、ユーザージャーニー全体に包括的な認証プロセスを埋め込むことにより、ワンタイムコードを他のチャネルに送信するリスクや手間、コストを回避できます。このソリューションにより、顧客は スムーズで安全かつ低コストな「プッシュ認証」要素 を既存のアプリに追加できます。

ユーザーを安全に認証する最良の手法の1つは、SMSだけに依存せず、ソフトウェアベースのアプローチを導入することです。グローバルに発展する可能性がある顧客基盤に対応する場合は、ユーザーがログインするプラットフォーム（電話、コンピューター、タブレットなど）にかかわらず、すべて同期されるように配慮する必要があります。ソフトウェアベースのソリューションを使用することにより、企業は高い可視性とセキュリティを確保し、ユーザー体験を改善できます。

こうしたアプリベースのソリューションは、基本的なセキュリティ認証ほど普及しておらず、コストも割高になります。しかし、その見返りとして、顧客のデータと業務記録を最新のセキュリティテクノロジーで安全に保つことができます。

• メリット: 最良のユーザー体験、最も安全、通信会社に依存しない
• デメリット: 価格、普及率の低さ

慎重に選ぶ:

大企業（冒頭に挙げた企業など）や小規模な企業は、物理的な世界から、よりデジタルな世界に移行する中で、オンラインセキュリティを導入するだけでなく、不正ユーザーの一歩先を行くように常に更新する必要があります。データ漏えいが発生した場合は、 漏えいに対する自社の対処方法 と顧客がとるべき手順を知らせることが、消費者からの信頼回復につながります。

使用する認証タイプを決定する際は、それぞれの顧客、顧客の所在地、購入手続きやプラットフォームへのサインインに要する時間と手間を検討しましょう。プラットフォームのセキュリティを確保して偽の登録/不正行為を回避すると同時に、プロセスをシームレスにし、実際の顧客を呼び戻せるようにする必要があります。