米Capyの日本支社は2014年8月27日、Webサイトへの不正ログインを防止するSaaS型サービス「Capyリスクベース認証」(写真)を発表、同日提供を開始した。ログイン時の時間帯や場所といった情報から“ユーザー本人である確率”を数値化してWebサイトに通知する。

写真●Capyリスクベース認証の概要(出典:米Capyの日本支社)
写真●Capyリスクベース認証の概要(出典:米Capyの日本支社)

 Capyリスクベース認証は、ログイン時のユーザーの環境や行動がいつも通りかどうかという視点に立ってログインユーザーが本人かどうかを判定する「リスクベース認証」の機能を提供するSaaSである。ログインページに専用のJavaScriptを埋め込むことで、同サービスを利用した判定結果を得られる。判定結果を基にどのようなアクションを起こすかはWebサイト側で決める。

 ログイン時の環境や行動がいつもと違うことを判定する材料として、IPアドレスのロケーション、利用しているISP(インターネット接続事業者)の種類、アクセス時間帯、クライアントデバイス環境(WebブラウザーのUser-Agent)など、各種の情報を利用する。サービスの利用開始に当たっては、過去の履歴から平常時の状態を学習するための学習期間を設ける必要がある。

 SaaSからは、認証結果として、ログインの妥当性(本人らしさの確率)が0から1までの実数値で返される。加えて、スコアーを算出した根拠となる情報(IPアドレスのロケーションが異なっているなど)を、あらかじめ設定してある規定のステータスコード値(数値)として得ることができる。

ログインユーザー1人当たり月額10円以下で利用可能

 他社と比べた特徴として同社は、利用料金の安さを挙げる。具体的な価格(税別)は、単価が最も高額になる小規模導入時でも、ログインユーザー1人当たり月額10円。ログインユーザー数が数百万人クラスの大規模導入の場合、1人当たり月額1円程度で利用できる。

 なお、米Capyの日本支社は、ログイン認証サービスとして、今回のCapyリスクベース認証のほかに、「Capyキャプチャ」を提供している(関連記事:サムライズ、人に優しいパズル型CAPTCHAサービスを販売)。Capyキャプチャは、Webサイトの利用者が機械(ボットプログラム)ではなく生身の人間であることを確かめるもの。これに対してCapyリスクベース認証は、Webサイトの利用者が他人ではなく本人であることを確かめるものである。