RSA Adaptive Authentication 7.3、トランザクション署名に対応

EMCジャパン RSA事業本部事業推進部シニアビジネスデベロップメントマネージャー花村実氏

EMCジャパンは6月7日、不正送金のリスクを低減できるようにするリスクベース認証製品「RSA Adaptive Authentication 7.3」の提供を開始した。

同製品は、利用者のIPアドレス、ブラウザの種類、時間帯や場所などの利用環境を分析し、不正利用のリスクを判定して認証を行う。最新版では、不正リスクのある振り込み手続きが行われたことを利用者のスマートフォンに通知し、手続き続行の可否を利用者に求めるトランザクション署名を新たに追加した。

初めに、RSA事業本部事業推進部シニアビジネスデベロップメントマネージャー花村実氏が、不正送金のリスクを低減する対策として、トランザクション署名が必要とされる背景について説明した。

花村氏は警察庁の発表資料を例にとり、2015年にインターネットバンキングにおける不正送金発生件数は減っている一方で、被害金額は前年比約6%増の30億円超となっており、依然としてリスクが高い状況を示した。

不正送金事犯の発生状況

オンライン取引は、インターネットへの接続、セッションの開始、ログイン、トランザクション、ログアウトといったステップを踏んで行われる。これのステップのうち、トランザクションにおいて不正送金が行われるため、最も守るべきステップとなる。

こうした背景から、トランザクション署名を提供する製品が増えているが、「すべてのトランザクションに対し、署名を付与する製品が多い。この場合、利便性が下がるため、利用者が敬遠していることが考えられる。加えて、トランザクション署名には、配布・維持に必要なコストが高いという課題もある。そこで、われわれはリスクベース認証により各取引のリスクを判定し、リスクが高い取引のみ署名を行う。これにより、ユーザーの利便性を保ちながらも、オンライン取引のセキュリティを向上する」と花村氏。

米EMC RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton氏

同製品の概要については、米EMC RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton氏から説明がなされた。

Crichton氏は競合製品との最大の差異について「従来の製品はトークンなどの専用ハードウェアが必要とするものが多い。これに対し、RSA Adaptive Authenticationはソフトウェアベースの製品であり、スマートフォンアプリを活用するため、利便性が高くて使いやすい」と述べた。

また、認証を強化する機能として、スマートフォンアプリ上で、指紋・眼球の白目部分の血管の形状(EyeprintID)、声紋といった生体情報を利用することが可能だ(生体認証を利用するには「RSA Adaptive Authentication biometric suite」が別途必要)。

さらに、Crichton氏は同製品の特徴として、柔軟にカスタマイズ可能な点を挙げた。iOSおよびAndroid向けのSDKを配布しているため、既存のアプリケーションに統合することができる。

リスクの評価は、「ふるまい」「デバイス」「過去の不正活動」を参照することで行われるが、95%がリスクが低いためそのまま取引を続行でき、2～4%がリスクの高いものと見なされ、追加の認証が必要となるという。

RSA Adaptive Authenticationにおけるリスク評価の流れ

トランザクション署名を利用すると、利用者のアクションとして、「振り込み内容の通知をスマートフォンで受け取り、手続きの承認、拒否を選択し、モバイル生体認証で認証し、署名を付けて返答する」「振り込み内容の通知をスマートフォンで受け取り、手続きの承認、拒否を選択し、署名を付けて返答する」を設定できる。

トランザクション署名においてリスクが低いと評価された場合の画面