不正送金の可能性が高いときのみ認証を求めるトランザクション署名を追加（EMCジャパン）

EMCジャパン株式会社は6月7日、包括的な認証・不正行為検出プラットフォームの最新版「RSA Adaptive Authentication 7.3」を発表した。同社のRSA事業本部事業推進部シニアビジネスデベロップメントマネージャーである花村実氏は、オンラインバンキングの不正送金被害が、件数は減っているものの金額が増加しており、対象となる金融機関の拡大と法人を狙うケースの増加が背景にあるとした。

不正送金などへの対策として、すでに多くの金融機関は電子証明書やワンタイムパスワードなどを導入しているが、利用者が操作負荷の増大を嫌がり別の金融機関に乗り換えてしまう不安などから、実際には使われていないケースが多いと花村氏は指摘した。これまでは100％の対策を提供してきたが、すべて常に100％では使い勝手に悪影響を及ぼす。そこで新バージョンではリスクベースのトランザクション署名を追加したという。

同製品では、利用者のIPアドレス、ブラウザの種類、時間帯や場所などの利用環境を分析し、不正利用のリスクをスコアで判定するリスクベース認証を行う。新たに追加されたトランザクション署名は、明らかに不正リスクのある振込み手続きを検知した際には、利用者のスマホに通知し、手続き続行の可否を利用者に求めるというもの。これにより、正当な振込み操作はシンプルに行うことができ、トロイの木馬やMITM、MITBなど不正の可能性のある振込みには利用者本人に確認を求めることができる。

RSAの製品管理ディレクターであるマーク・クライトン氏は、同製品のポイントを紹介。他の製品と最も異なる点は使いやすさであるとした。複数の認証キーを持つのではなく、スマートフォンに金融機関のアプリを入れるだけでよく、安全性を担保した状態でシンプルで便利に使えることを挙げた。そのためにSDKを提供しており、金融機関は容易にトランザクション署名を追加できる。また、リスクレベルの強度は変更でき、署名の種類も文字入力や生体認証などを選ぶことができる。もちろん、ワンタイムパスワードの提供も可能だという。

同製品の価格は、サービス対象利用者に基づいて算出される。たとえば、サービス利用者数が10万人規模のサイトの場合、利用者単価が623円となる。また、リスクベース認証のために利用者の「正当なふるまい」を学習するために90日間必要としている。