好きな所から読む
この記事ではテレワーク時のセキュリティ対策の一つとしても有効なリスクベース認証について詳しく解説しました。機能としての特徴やメリット、その他の導入する方法などを解説しています。是非最後までご覧ください。
リスクベース認証とは
インターネット上でメールボックスやオンラインショッピング、そして各種SNSなどのサービスにログインするとき、今からログインするのは利用者本人なのだと確かめるため、ユーザーIDやメールアドレスと、それに紐づけられたパスワードの確認が求められますよね。
しかし、ユーザーIDやメールアドレスを他人が知ることはそう難しいことではありませんし、パスワードも生年月日など分かりやすいものや、総当たりをおこなえばすぐに通り抜けられる単純な設定のものを登録している人は多く、その場合すぐにハッキングされて破られてしまう危険があるので、それだけではセキュリティ対策としては少し心許ないという面もあります。
そこでそうした不正アクセスを防ぐために、アクセスしてきた傾向から本人とは違う別人によるログインであるリスクを測定し、第三者が知り得ないであろう個人的なことを答えとする別の認証をして、より高い精度で利用者が本人だと確かめる方法をとることがあります。この方法は所謂多要素認証の1種としてリスクベース認証と呼ばれています。
リスクベース認証の仕組み
今まで本人がログインしてきた様子から、普段たったらまずログインしないような時間だったり、住んでいる場所から明らかに遠い場所から、またその人が一度も使ったことのないOSやブラウザ、デバイスからログインしようとした場合のような、その人がまずおこなわないような行動パターンを割り出し、新たに別の認証(多くの場合、「秘密の質問」と呼ばれているものです)がおこなわれます。
今まで一度も海外からアクセスしたことがない人が、急に遥か遠くの国からアクセスしてきたり、つい先ほど東京からログインした記録が残っているのに、その15分後に北海道からアクセスがあったり、普段はiOSでしかログインしないのに、急にAndroidやWindowsのOSからログインしようとしてきた…などなど、どう見ても本人とは思えない状況からだったり、また悪用されやすい公開サーバーやハッキングの盛んな地域からのアクセスは「不正なアクセスの可能性が高い」とサービス元が自動で判断し、より深い認証を求めるようになっています。
認証の種類
アクティブ認証
「アクティブ認証」とはユーザーが能動的に操作をおこなう必要のある認証方式です。先述した秘密の質問もアクティブ認証のひとつですし、他にユーザーのメールアドレスに一度きりのパスワードが発行される「ワンタイムパスワード」、USBに鍵のデータを入れて鍵がわりにして、それをパソコンに差し込むことで認証をおこなう「USBトークン」などもアクティブ認証となります。
ユーザーの能動的な操作が必要になるので手間はかかりますが、その分セキュリティ性は確実に高まります。
パッシブ認証
一方「パッシブ認証」では、ユーザーが直接自分で何かをすることなく、受け身でいるだけで認証できる方式のことを指していて、リスクベース認証はこのパッシブ認証という方式のひとつに含まれることになります。アクセスした時間、場所、OSやデバイスなどからアクセスしているのが本人であるかどうかをAIが自動で判定し、リスクの高いものについてはより慎重に本人確認をおこないます。
サービス側が自動でおこなってくれるため何の手間もかかりませんが、それだけにパッシブ認証単体だけではセキュリティ対策としては十分ではなく、アクティブ認証と併用する形で用いられることも多いです。
一般的には、大切なものを扱わないサービスはパッシブ認証のみの手軽なログイン体制を採用し、個人情報や金銭を扱うようなサービスについてはアクティブ認証も合わせて確実に本人だけがログインできる、セキュリティ性の高い認証方法をとることが多いです。
リスクベース認証のメリット
なりすましログインの予防
企業から漏洩したものだったり、「ダークウェブ」と呼ばれるGoogleやYahoo!の検索には引っかからず、またChromeやinternetExplorerのような通常のブラウザからでは閲覧することも不可能な闇のサイトにて、現在多くのユーザーIDやメールアドレスなどの個人情報が裏で取引されていたりします。
「なりすまし行為」は、そうした裏の手段から知り得た情報をリスト化し、自動入力botなどを使い絨毯爆撃のように延々と進入しようとし続ける「パスワードリスト型攻撃」のおかげで、パスワードを単純なものにしていると、すぐに突破されて不正ログインされてしまう危険性があります。
しかしリスクベース認証により、ユーザー個人しか知り得ない情報がパスワードとなるため、その答えが他人に漏洩しない限りは不正ログインされる危険を大幅に避けることが可能です。
使い勝手が悪くならない
現在ではサービスの多様化とともにあらゆるサービス先でパスワードが要求されていますし、また大文字と小文字、数字それぞれを混ぜないといけないというパスワード設定が必須なサービスもあるため、セキュリティ性を上げるためとはいえ、それぞれのサービスごとに異なったパスワードを設けようとすると、そのひとつひとつを覚えることが非常に困難な状況になってしまいます。
実際調査によると、全ユーザーのおよそ7割がパスワードの使いまわしをおこなっており、他のサービスでパスワード情報が漏洩してしまえば、それによって別のサービスでも不正ログインされてしまう危険を孕んでいます。
また別の調査によれば、3割の企業が実際に不正ログインによるのっとりを経験したことがあるとも言われています。多くの人が思っている以上に、なりすましによる不正ログインは身近なものとなっていますし、今後ますますその傾向は強まることでしょう。
不正ログイン防止対策としては、PayPayや7Payなどでよく話題にされていたスマホ決済アプリでの二段階認証や、複数の要素の認証が求められる多要素認証などもありますが、その高いセキュリティ性の代償として多くの利用者の手間が求められます。
しかしリスクベース認証ならユーザーの手間をほとんど求めることがありませんし、また秘密の質問であればわざわざ本人が暗記する必要がない、本人しか知り得ない答えを簡単に設定することが可能です。
しかもリスクがあると判断されたときにだけ追加の認証をおこなうので普段は最小限の手間ですみますし、それによって最大限のセキュリティ効果を期待することができるので、この方式での認証はまさに、現在とることができる最善の不正ログイン防止対策のひとつだと言うことができるでしょう。
⇒1IDあたり数百円からリスクベース認証を導入できるサービスの詳細はこちら!
リスクベース認証の実例
イオン
イオンでは第三者のなりすましによる不正利用を防ぐため、普段利用しているパソコンやスマートフォンとは別の端末や環境からログインをおこなった場合、登録しているメールアドレスに一度きりのパスワードワンタイムパスワードが送信され、それを入力することでログインが可能となる方法をとっています。
またそれによってログイン行為がおこなわれたことがユーザーに分かるようになっていて、不正行為がおこなわれればすぐに利用者に分かるようになっていますし、初回登録時に「合言葉」を登録することが必須となっていて、その際に使った端末を普段使っている端末として登録するかどうかも選択できるようになっています。
ワンタイムパスワードもメール到着後10分以内に入力がされなかった場合や、入力画面を開いたままメールを確認しなかった場合は、そのパスワードは無効となるようになっているので、第三者がワンタイムパスワードを入力しログインに成功することは、メールアドレス自体が乗っ取られない限り不可能だと言えるでしょう。
金融機関
「お金」に関してはなによりも大事なセキュリティ管理が必須となるので、現在では主だった金融機関をはじめ、地方銀行やインターネットバンクのようなありとあらゆる金融機関もリスクベース認証を採用しています。
その多くは他のサービスにて使われているものとおなじ形のものになりますが、追加の質問を複数登録できるようにしていたり、ログインした際に複数のメールアドレスに告知されるようになっていたりと、従来の課題点を克服した対処もされていたりします。
しかし高度なリスクベース認証をおこなうためにはユーザー行動の観察を日々弛むことなくおこない、本人とは違うなりすましであることを断定するには数百ものパラメーターを設定し、日々チューニングアップをおこなわなければいけません。
それによって高い運用コストがかかったり、ライセンス料や膨大な個人情報を蓄積するための保存領域を確保するための導入コストがかかるなど、一部のメガバンクでなければ支払うのが難しいほどのコストがかかってしまうなどの問題点もあり、今後どのような対応を取るのかが問われている面もあります。
リスクベース認証の実現方法
ossはあるの?
ソースコードが一般向けに開放されていて、ソースを自由に改変したり基本的に無料での利用をおこなうことができるOSS(open source software)のリスクベース認証もあり、代表的なところでは「Open AM」などが挙げられます。
Open AMではハッカーによる推測から答えが特定される危険を避けるため、秘密の質問と回答の機能こそ現在では実装されていませんが、ログイン時の位置情報や最終ログインからの時間経過やログイン失敗回数、IPアドレスの履歴などから本人かどうかを判断する「アダプティブリスク認証」、ログイン時の端末の解像度やフォント、色合いに利用したOSなどから判断する「デバイスプリント認証」、そしてそのデバイスプリント認証をモジュール分割しさらに改善した「デバイスID一致認証」「デバイスID保存認証」といった機能が用意されています。
実装は?
リスクベース認証を実装する際、アクセスする際に取得することのできるCookie、使用したブラウザ、IPアドレスをチェックした際に分かるプロバイダを記録しそれらのデータを蓄積、アクセスする人間の好みや傾向といったユニークデータを固めていくことで、そのデータとは異なる振る舞いをしたなりすまし行為やbotを判別、リスクのあるアクセスを特定して遮断します。
ossであるOpen AMにおいても、先述したようにリスクベース認証が実装されていますが、実装することによってなりすまし行為やbotによるリスト型攻撃を特定したとしても、その後どうやって対処すべきなのかといった多くの問題点も残っています。
たとえば少しでもリスクあるアクセスを片っ端から遮断してしまうと、それが本人からのアクセスだとしても、少しでも普段と違う環境下でのログインだったら弾かれてしまいますし、また実際になりすまし行為やbotを特定できたとしても、強引にリスト型攻撃によって突破して不正ログインされてしまう、なんていう危険もあります。
とはいえそれを逆手にとって、逆にログインされても個人情報やお金が奪われ得る心配のないサービスにおいて、わざとセキュリティの脆弱なパスワードを登録し、不正アクセスがおこなわれているかどうかを監視してみる、という作戦も有効です。それによって自分のユーザーIDやメールアドレスが、第三者の手に渡っていているかどうかを特定することが可能となります。
Open AMに限らず、さまざまなossのリスクベース認証機能を実装し試すことによって、自分が利用しているサービスが安全に守られているかどうかを確認してみることもお勧めしておきます。逆に、もし開発の体制に欠けるのであれば、下記のようなリスクベース認証のプロバイダーに相談するのが吉でしょう。
リスクベース認証の製品を比較
リスクベース認証のプロバイダーを下記の表で一覧化致しました。リスクベース認証を検討されている方は是非下記の特徴を比較して検討ください。
| 特徴 | 価格 | |
| RSA Adaptive Authentication |
|
要問い合わせ |
| one login |
|
無料〜 |
| LOCKED |
|
|
| Open AM |
|
無料 |
