近年、デジタル化の進展とともに、サイバー犯罪の手口は巧妙化の一途をたどっています。特に深刻なのが、アカウントの乗っ取りによる金銭被害です。私たちは、まるでSF映画のような「別人になりすます」行為が現実世界で横行している現状に直面しています。巧妙なフィッシング詐欺やマルウェアによって認証情報が盗まれ、気づかないうちに自身のデジタル資産が危機に晒されているケースが後を絶ちません。

警察庁の発表 によると、2023年にはインターネットバンキングに係る不正送金被害が過去最悪を記録し、その手口の多くは預金者の IDやパスワードを盗み取るフィッシング詐欺が占めています。また、企業のビジネスメール詐欺(BEC)による被害も深刻で、巧妙な手口で偽の指示を送り、多額の金銭をだまし取る事例が頻発しています。正規のユーザーになりすますことで、システムを欺き、金銭や情報を不正に盗取する――この悪意ある行為から、私たちはいかにして身を守ればよいのでしょうか。

従来の認証の限界と「リスクベース認証」の必要性

従来の認証システムは、主に IDとパスワードの組み合わせ、あるいはそれに加えてワンタイムパスワードなどの二要素認証に依存していました。もちろん、これらも不正アクセス対策として有効ですが、パスワードの使い回しや脆弱なパスワードの設定、さらにはフィッシング詐欺による認証情報の漏洩など、ユーザー側のセキュリティ意識や運用の不備が突かれやすいという課題がありました。

その課題を解決するために、パスワードに代わる次世代の認証技術としてパスキーが注目されています。パスキーは生体認証やデバイスのPINコードを利用するため、利便性と安全性を兼ね揃えた技術ともいえます。

パスキーはとても安全な仕組みですが、一度登録すれば、他の端末でも同じパスキーを使ってログインできるという便利な仕組みがあります。しかし、この仕組みにはリスクもあります。たとえば、Microsoft や Apple、Google など、パスキーを管理しているサービスのアカウントが乗っ取られてしまうと、本人になりすまして不正にログインされる可能性があります。

そのため、裏側で「このログインは怪しくないか」と自動的に判断する仕組みが必要になります。このような仕組みを「リスクベース認証」と呼び、より安全な認証が実現できます。

「リスクベース認証」とは

リスクベース認証は、従来の認証方法に加えて、ユーザーのアクセス環境や行動パターンをリアルタイムで分析し、リスクレベルを評価する画期的な認証機能です。具体的には、以下のような要素を多角的に評価します。

● 認証失敗チェック
設定した回数以上、認証に失敗している場合にリスクと判定します。
● IPアドレスチェック
アクセス経験のあるIPアドレス以外からのアクセスがあった場合にリスクと判定します。
● 経過時間チェック
設定した時間以上、前回のログインから時間が経過していると、リスクと判定します。
● 位置情報チェック
前回アクセスされた国コードと異なる国コードからのアクセスがあった場合にリスクと判定します。
● OSチェック
前回アクセスされたOSと異なるOSでアクセスがあった場合にリスクと判定します。
● ブラウザチェック
前回アクセスされたブラウザと異なるブラウザでアクセスがあった場合にリスクと判定します。

これらの要素を総合的に判断し、「通常とは異なるリスクの高いアクセス」と判断した場合、認証を拒否したり、追加の認証(多要素認証)を要求したりすることで、不正なログインを未然に防ぎます。

「想定外」をブロックする、DDS「EVECLOUD」の強力な抑止力

例えば、あなたが普段、日本のオフィスから会社のシステムにログインしているとします。ある日、見知らぬ海外の IPアドレスから、使ったことのないスマートフォンを使って、深夜にログインが試みられたとします。DDS の EVECLOUD のリスクベース認証は、この「想定外の場所」「想定外の端末」「想定外の時間」からのアクセスを即座に異常と判断し、認証を拒否します。これにより、たとえあなたの IDとパスワードが漏洩していたとしても、不正な第三者によるアカウント乗っ取りを阻止できるのです。
この機能は、単に認証の扉を固くするだけでなく、「なりすまし」による金銭被害や情報漏洩を未然に防ぐ、最後の砦となり得ます。

認証は「点」から「線」へ:変化するセキュリティの常識

これまでの認証は、ログインの瞬間に「点」で判断するものでした。しかし、EVECLOUD のリスクベース認証は、ユーザーの行動全体を「線」として捉え、常にリスクを評価し続けることで、より強固なセキュリティを実現します。
DDS は、EVECLOUD のリスクベース認証を通じて、お客様が安心してデジタルサービスを利用できる環境を提供してまいります。不正アクセスによる被害を最小限に抑え、大切な情報資産を守るために、ぜひ EVECLOUD の導入をご検討ください。

この機能に関するご質問やご相談がございましたら、お気軽に弊社までお問い合わせください。

※記載の製品名は、各社の商標または登録商標です。