デジタル時代には、誰もがクラウド技術を利用します。従業員はリモートワークで使用します。請負業者は契約上の義務を果たすために使用します。顧客はより良い体験のためにそれらを利用します。これらすべての変化によって、IDに焦点を当てる境界線が永久的にシフトしました。
悪徳業者は、会社がユーザー認証に苦労していることを知り、この攻撃ベクトルを活用するために戦術を変えています。例えば、Verizonの「2021年データ侵害調査レポート」によると、攻撃方法の上位2つはフィッシングと盗まれた認証情報の使用であるとのことです。会社が堅牢なセキュリティ体制を維持するには、IDの境界で自らを守る必要があります。
さらに驚愕的なのは、それは単に機密情報の保護という問題だけとは限らないのです。また、接続性が高いということは、犯罪者がIDを盗み、オンライン不正行為を行うことが容易であることを意味します。こちらの統計も、サイバーセキュリティの統計よりもよい傾向はみられません。米国の連邦取引委員会によると、同委員会では2021年に消費者から280万件の詐欺報告を受け、その損失総額は58億ドル以上にのぼるとのことです。
保護する対象が会社と顧客のいずれであれ、IDプルーフィングは正当なユーザーを確認し認証することで、データを保護し不正リスクを軽減する方法です。
IDプルーフィングとは?
IDプルーフィングとは、個人の実際の身元に関する情報を集約し、個人のデジタルIDを検証することであり、セキュリティ上のリスクや不正リスクを軽減する方法です。IDプルーフィングソリューションでは、公共および独自のデータソースから次のような取引証拠を収集します。
クラウドベースのソリューションを導入する企業は、サイバーセキュリティの取り組みの一環として、継続的な認証を必要としています。
本人確認について詳しくはこちらIDプルーフィングが重要な理由
歴史的に見れば、IDプルーフィングは何も新しいことではありません。パスポートは中世から存在し、社会保障カードは世界恐慌の時に初めて作られました。本人確認と検証は、長い間、政府や企業で日常的に行われてきたことです。
クラウドに接続された今日の世界では、ユーザーの認証情報を利用してシステムやネットワークへの不正アクセスを試みるサイバー犯罪が増え続けています。現在、犯罪者はブルートフォース攻撃や辞書攻撃で、脆弱なパスワードを狙っています。また、認証情報を盗む方法として、フィッシング攻撃の利用も増えています。これらの攻撃により、特にネットワークを介した横の動きと組み合わさった場合、機密データが危険にさらされることになります。
IDプルーフィング向上の重要性
従来のIDプルーフィングでは、誰かが直接書類を提供する必要がありました。例えば次の場合など、多くの人は、政府の身分証明書を対面で直接確認することに慣れています。
- 新しい職場への入社
- 銀行口座の開設
デジタルの世界では、組織はリモートでIDプルーフィングを可能にする技術を必要としています。例えば、リモートで採用した社員が企業のオフィスに出向くことができない場合や、顧客がオンラインで口座開設を希望する場合などです。
リモートIDプルーフィング技術は、会社が人々のID属性を確認する方法を提供し、虚偽の本人確認が行われるリスクを軽減します。IDプルーフィングサービスプロバイダーは、以下のことができます。
- デバイスのカメラで紙の文書をデジタル化する
- この情報を確認し、情報元の信頼性を検証する
- 真偽を確認する
- データの整合性と品質を確保する
最後に、提供された個人に関する証拠を結び付けて個人が本人であることを確認します。リモートIDプルーフィング技術は、会社が自身、従業員、顧客を不正行為から守るための手段を提供します。
ID詐欺による損失
ここ数年、不正行為による損失において、ID詐欺による損失が占める割合が以前より大きくなっています。
銀行業務
銀行業界では、以前からID詐欺に対処してきました。クレジットカードの盗難は、今に始まったことではありません。しかし、新しい銀行業務や融資のモデルは、その影響を変えつつあります。
LexisNexis Risk Solutionsの調査によると、本人確認は顧客の行程全体にわたって業界の最重要課題となっています。2021年におけるID関連の不正は次のようになっています。
- 米国金融サービス機関における損失において、資金分配段階での損失のうち35%をID関連の不正が占める
- 米国金融サービス機関における損失において、口座乗っ取りによる損失のうち34%をID関連の不正が占める
- 米国金融サービス機関における損失において、新規口座開設時の損失のうち31%をID関連の不正が占める
- 米国貸付機関における損失において、資金分配段階での損失のうち35%をID関連の不正が占める
- 米国貸付機関における損失において、口座乗っ取りによる損失のうち35%をID関連の不正が占める
- 米国貸付機関における損失において、新規口座開設時の損失のうち30%をID関連の不正が占める
最も注目すべきは、米国貸付機関における損失において、新規口座開設時のID詐欺が6%増加したことです。
小売および電子商取引
オンラインプラットフォームを介した商品購入や非接触型決済システムの利用が増える中、ID詐欺は大幅に増加しています。
LexisNexis Risk Solutionsの調査によると、2021年のID詐欺は、次のような傾向がみられるとのことです。
- 米国の小売業における損失の25%を占める
- 米国の電子商取引における損失の31%を占める
しかし、それだけではありません。調査の結果、ID関連の不正は次で発生していることがわかりました。
- POS
- アカウントの乗っ取り
- 新規アカウント作成時
従業員IDに関する不正行為
サイバー犯罪者は、失業保険を不正受給するために、従業員のIDを盗みます。過去1年間にわたって、各州の失業保険機関では、不正請求が増加しています。米国労働省は、870億ドル以上の損失額と見積っており、そのほとんどは犯罪組織が組織的にデータを盗み、他人名義で給付を申請したことによるものです。
会社は返金を受けることになりますが、現在の従業員に代わって申告が行われたことを見抜き、適切な書類を提出する必要があります。不正請求の管理には、次のような手続きによって多大な時間を必要とします。
- 新規申請フォームの送付
- 実態調査質問票への回答
- 元の不正請求によって継続的に自動生成される書類の延々と続く受取り
IDプルーフィングとは、実際にはどのようなものなのでしょうか?
実際には、IDプルーフィングによって、認証ポイント全体にビルトインされた保護レイヤーが構築されます。
情報の収集と裏付け
多くのアプリケーションは、メールアドレスや電話番号だけで登録できる自己登録方式を採用しています。これらの情報はサイバー犯罪者が簡単に盗用、偽造できるため、IDプルーフィングには個人を特定できる情報(PII)の収集とそのデータの裏付けを含める必要があります。
パスワードマネージャー
パスワードマネージャーでは、アプリケーション、シングルサインオン、ネットワークのいずれであっても、サインインする場所ごとに固有で安全なパスワードを簡単に作成できます。
多要素認証(MFA)
MFAとは、次の3つを組み合わせて使用することです。
- 本人が知っていること(パスワード)
- 本人が持っているもの(トークン、携帯電話、ノートパソコン)
- 本人であることの証拠(指紋や顔認証などの生体認証)
パスワードレス認証
パスワードレス認証ソリューションは、本人確認に多方向からアプローチするもので、以下のような特徴があります。
- デバイスの生体認証リーダーを利用して秘密鍵を生成する方法でユーザーを登録する
- 生体認証リーダーによる秘密鍵のロック解除によりユーザーを確認する
パスワードレスソリューションは、ユーザーがアプリケーションに対して認証する際に、「本人が持っているもの」と「本人であることの証拠」を組み合わせることで、以下のようなことに関するエンドユーザーの不満やセキュリティの問題を解消します。
- ワンタイムパスワード(OTP)
- 電子メールのマジックリンク
- Authenticatorアプリ
規制、コンプライアンス、IDプルーフィング
規制遵守の義務では、Identity and Access Management(IAM)がますます重視されるようになっています。プライバシー、セキュリティ、または非技術的な義務の一部であるかどうかに関係なく、IDプルーフィングは、個人を特定できる情報(PII)を管理するすべての組織にとって、コンプライアンス上非常に重要です。
ID詐欺、サイバーセキュリティ、プライバシーが互いにどのように関連しているかを理解することが重要です。セキュリティとプライバシーの両法律において、組織は機密データへの不正アクセスを防止するように求められています。不正アクセスには、ブルートフォース攻撃や盗まれた認証情報による攻撃などのセキュリティインシデントが含まれます。これらは、従来は不正行為と見なされていない場合もありますが、他人になりすまして情報やシステムにアクセスすることです。
例えば、以下の義務は、不正行為、IDプルーフィング、サイバーセキュリティ、およびプライバシーが重なり合う方法に焦点を当てたものです。
- 大統領令14028「国家のサイバーセキュリティ向上」:すべての連邦政府機関において、ユーザーの認証と検証を行うMFA実装の義務化
- 一般データ保護規則(GDPR):個人情報にアクセスできないはずの社内外のユーザーからの、クレデンシャル盗難などのサイバー攻撃も含む、PIIへのアクセスの制限
- 銀行秘密法:顧客デューデリジェンスのポリシーおよび文書の確立と維持。これは金融機関がデジタルで情報を収集するにつれて難しくなります
いずれも特にはIDプルーフィングを利用したものではありませんが、同じところに行き着きます。最終的には、
組織は、法規制の遵守に配慮した姿勢を維持するために、ユーザーや顧客がデジタル的にも物理的にも本人であることを確認する必要があります。
米国国立標準技術研究所(NIST)の特別刊行物(SP)800-63-3A デジタル本人確認ガイドライン:登録とIDプルーフィングでは、以下の3種類の本人確認保証レベル(IAL)を概説しています。
- IAL1:申請者と実在の人物との関連付けは不要
- IAL2:申請者が関連することを確認できる、申請者の実世界での存在を裏付ける証拠
- IAL3:ID属性を確認するために物理的な存在が必要
適切なIDプルーフィングのために、組織は通常次の手順に従います:
- 解明:個人から提供された主要な属性と証拠を収集し、彼らが集団または状況の中で固有であることを証明する
- 妥当性検証:提供された証拠を検証し、情報の信憑性、有効性、正確性を確保する
- 確認:申請者と現実の存在を結びつける、証拠を検証する
IDプルーフィングの自動化
IDプルーフィングは、ほとんどの組織で課題となっています。従業員の入社時など、場合によっては、組織が保管、管理しなければならない書類が膨大な量となることもあります。また、消費者向けアプリのように、会社がこの情報を全く収集できない場合もあります。
IDプルーフィングサービスでは、これらのプロセスが自動化されるため、すべての組織はスケーラブルなアプローチでユーザーが本当に本人であることを確認できます。パスワードレス技術では、生体情報とデバイスを組み合わせてユーザーを認証します。そのため、ユーザーがアプリやWebサイトにアクセスすると、デバイスが秘密鍵を使用して不正行為を排除します。
Transmit Securityでは、シームレスなオムニチャネルの認証システムによって、顧客離れを減らすパスワードレスな体験を確立する方法を組織に提供します。このような機能を従業員にも適用するCIAMプラットフォームにより、従業員は簡単に安全なワークステーションにログインでき、リモートワークの安全性を確保できます。Transmit Securityの革新的な技術は、IDを境界として、脆弱なパスワードに関連するセキュリティ、プライバシー、および不正のリスクを軽減します。