ユーザー認証の近未来像〜パスワードレスで超円滑なセキュア認証〜Twilio Verifyの機能強化

Twilio SIGNAL 2022 では、何百万人ものモバイルユーザーが毎日オンラインで本人確認を行う方法を変革するような製品リリースを行えたことを嬉しく思っています。

今日のデジタル環境では、ユーザーが本人確認時に飛び越える必要がある障壁が高ければ高いほど、ユーザーとビジネスの安全性が高くなるはずだという前提があります。

その一方で、現在利用されている認証・検証ソリューションが、ユーザーを保護するのと並行に、不正行為を働く側が利用できるセキュリティの抜け穴を作り出してもいます。さらに、ユーザージャーニーの初期段階で摩擦を生じさせることで、真の顧客のオンボーディングやアクティベーションを遠ざけているとも言えます。実際、Liminalの調査によると、42%の顧客が摩擦が原因でオンボーディングを放棄したと報告しています。

私たちの使命は、ユーザー認証の安全性を高めると同時に、より多くの正規ユーザーがアクティベーションを成功させられるよう摩擦をなくし、その両立を図ることです。

ユーザー体験とセキュリティ確保はトレードオフではなく両立

今日の認証ソリューションは複雑で、本来シームレスであるべきユーザージャーニーを妨げています。その結果、せっかく獲得した顧客がオンボーディングのプロセスを放棄し、既存顧客が離反してしまうというお粗末な顧客体験が生まれます。

このような背景からTwilio Verifyという製品を開発するに至っており、通常の顧客にとって円滑であるべき本人確認の摩擦をなくすと同時に、偽のユーザーや不正なユーザーに対するセキュリティのチャレンジを強化することに注力しています。

Twilio VerifyのSilent Network Auth機能 (パブリックベータ版)

Twilio VerifyのSilent Network Authentication（サイレントネットワーク認証）機能は、ビジネスの安全性を維持しながら、ユーザーに最高の認証体験を提供するために設計されました。パスワードや認証情報の入力、CAPTCHAへの対応を必要としない、安全なユーザー認証を提供する仕組みです。

動作の仕組み

Silent Network Auth機能は、30カ国以上、56社以上の携帯電話会社（＝比類のないパートナーネットワーク）によって一意に特定されるSIMデータと携帯電話会社からのネットワーク利用データを組み合わせ、ユーザーが本物かどうかを検証します。これにより、ユーザーによる入力に頼ることなく、企業は偽のユーザーと本物のユーザーとを自動的に区別することができます。完全にパスワード不要で、手間を掛けずに、より安全にユーザーのオンボーディングやアクティベーションを推進することができる、非常に優れた認証方式です。

（日本語翻訳上の補足: 残念ながら日本国内では2022年11月時点で未対応であり、国内の通信事業者による今後の対応を期待したいと思います。）

YouTube video を埋め込む

ご利用いただくには

Twilio Verifyのサイレントネットワーク認証は、顧客を安全・円滑にユーザー認証する必要があるB2Cビジネスにおいて幅広くご利用いただけます。（B2Bにおけるご利用を排除するものではありません！）

優位性

サイレントネットワーク認証により、ユーザー体験とセキュリティの間のトレードオフに終止符を打つことができます。ベータ版リリースをご利用のお客様の例では、新規ユーザーのエンドツーエンドの認証とアクティベーションの時間が、平均20秒以上から5秒未満に短縮されました。

実際、サイレントネットワーク認証を導入したインドネシアのGojek社*1のプロダクトマネージャーであるAbhishek Agarwal氏は、「従来のSMSベースのOTP*2方式から移行して、サイレントネットワーク認証を使用することで、セキュリティ向上と認証時間短縮の両立が可能だと判断しました」と語っています。

（*1 オンデマンドマルチサービスプラットフォームとデジタル決済の企業; *2 ワンタイムパスコード）

新規ユーザーの認証とアクティベーションにかかる時間が短縮されるということは、ユーザーが気を取られたり、イライラしてアクティベーションのプロセスを放棄する可能性が減ることを意味します。そしてそれは、ユーザーが貴社のアプリケーションやプラットフォームで過ごす時間が増えることを意味します。サイレントネットワーク認証の詳細については、ランディングページ（英語）の内容もご確認ください。

Twilio VerifyのFraud Guard機能 (正式リリース)

SMSにまつわる多くの不正な攻撃の例に漏れず、そのトラフィックポンピングと呼ばれる不正は増加傾向にあります。アプリ、プラットフォーム、ウェブサイト上には、しばしば携帯電話番号の入力フィールドが存在し、同フィールドを介したリクエストに基づいてワンタイムパスコード、アプリのダウンロードリンク、その他SMSで配信され得るあらゆる情報が生成されます。特定の国・地域・SMS配信事業者においては、配信されたSMSトラフィックの量に応じた収益配分の仕組みがあり、犯罪者は知り得た番号にSMSを送信し、不正に配信されたSMSトラフィックから生じる収益の一部を受け取るという不正*3です。

（*3 日本国内の配信事業者には、2022年11月時点で当てはまらない種別の不正です。）

SMSトラフィックポンピングはいつでも起こり得る不正であり、多くの企業にとって唯一の安全策は、ポンピング不正の攻撃が行われているかどうかを手動で監視し、該当のプレフィクス番号をブロックすることです。この種の不正攻撃では、素早い対処が最も重要で、弊社では、SMSトラフィックポンピング攻撃の結果、数十万ドル相当の不正請求にさらされた企業の話を聞いたこともあります。

動作の仕組み

Twilio VerifyのFraud Guard機能は、お客様の現在および過去のSMSトラフィックを監視することにより、SMS関連の不正行為を防止します。ある場所からのSMSトラフィックに異常な変動があった場合、Fraud Guardは自動的に詐欺の疑いのある宛先のプレフィクス番号をブロックします。

ご利用いただくには

Twilio VerifyのFraud Guard機能は、Twilio VerifyをSMSチャネル越しにご利用のお客様であれば、どなたでもご利用いただけます。

優位性

Twilio VerifyのFraud Guard機能は、不正な認証の試みをブロックし、そうすることでコンバージョン率を向上させます。ベータ版リリースのお客様である大手ソーシャルメディア企業は、Fraud Guard機能を導入することで、SMSのコンバージョン率が27%上昇し、ユーザーあたりのコストが42%減少しました。

多くの企業は、この種の詐欺に対抗するために、「高リスク」と思われる国の電話番号を宛先に含めないようにブロックする対処を実施されています。Fraud Guard機能により、企業は世界のどこからでも本物の顧客と取引することができ（＝一律に間引く必要なく）、SMSポンピング攻撃をそれと特定し、該当のSMSコミュニケーションを自動的にブロックすることができます。

ユーザーアクティベーションの信頼性確保ソリューション

今回お届けしたTwilio Verifyの機能強化、Silent Network Authentication機能とFraud Guard機能により、業界に革新をもたらせるものと考えています。本人確認の手間を省き、正真正銘の顧客をより多くアクティベーションできるようお客様企業を支援し、不正行為に対してより安全にビジネスを行うことができるという価値提供は極めて大きいのではないでしょうか。

この流れのなか、Twilioの認証・不正防止ソリューションスイートを強化するにあたり、該当のプロダクトカテゴリの名称をTwilio Account SecurityからTwilioUser Authentication & Identityに変更いたしました。ユーザー認証は、単に偽アカウントや不正アカウントから企業を防御するセキュリティ確保のためだけでなく、正真正銘のユーザーをより多く、そして円滑にアクティベートするためのものだと考えることが背景にあります。

アーロンは2021年にTwilioに入社し、Twilioのアイデンティティ、検証、および消費者向けビジネスをリードしています。アーロンは、コンシューマーインターネット、フィンテック、セキュリティの結節点における20年以上のリーダーシップ経験を有しています。彼はこれまで、世界で最も愛されている製品の構築と拡張に貢献してきました。これには、Facebook、Amazon、Microsoft、Twitterにおけるプロダクトリーダーとしての役目が含まれます。最近ではKiva.orgのGM/CPOとして、シエラレオネ国家のためのナショナルデジタルアイデンティティのプロジェクトに従事していました。ブロックチェーン上に構築されたこの製品は、世界銀行のミッション・ビリオン・チャレンジにおいて2020年のグローバル・プライズを受賞しています。