「ネット銀行の不正対策は、リスクベース型が主流になる」――。米ベリサインのニコ・ポップ 認証サービス担当バイスプレジデントはこう説明する(写真)。「一つのセキュリティ対策技術に頼るのではなく、なりすましの危険性がどの程度高いかに応じて、複数の認証方式を柔軟に切り替える仕組みなら、今後の不正アクセスに耐えられる」。
日本ベリサインは10月に、ネット銀行やECサイトが不正な操作をするユーザーを検出するサービス「VIPオンライン詐欺検出サービス」を開始する。ネット銀行やECサイトと連携するASPサービスである。
ログインしようとするユーザーのアクセス元IPアドレスや利用しているISP、ブラウザの種類、利用時間帯など、さまざまな要素から従来の行動パターンと同じかどうかをチェック。普段と異なるパターンであれば、ワンタイム・パスワード認証を追加するなどして、不正アクセスのリスクを軽減する仕組みである。例えば、普段Windowsを使って自宅からサービスを利用することが多いユーザーが、海外からMacを使ってサービスを利用しようとすると、あらかじめ設定しておいた「祖父の名前は何?」といった質問をして正しいユーザーであることを確認する。
このようなリスクベース型の対策は、欧米でも比較的新しい手法である。ネット銀行にしてみれば、ユーザーIDとパスワードによる認証だけでは対策としては不十分。しかし、ワンタイムパスワードなどを使って認証を強化すると、ユーザーの利便性が低下する。そこで、リスクに応じて認証の強度を変える仕組みを考案した。
VIPオンライン詐欺検出サービスは、ベリサインの認証サービス・メニュー「ベリサイン アイデンティティプロテクション」の一つ。ほかに、やはり10月から提供を始める、ワインタイム・パスワードなどを使ってユーザー認証を強化する「VIP ストロングオーセンティケーションサービス」がある。
