2014年11月28日

BioCatch 共同創始者兼副社長
Uri Rivner

金融システムへの不正アクセスや成りすまし等に歯止めをかける手段として、認知行動アナリティクスの可能性が注目されている。顧客の行動パターンのプロファイルを作り、これに照らして個々のアクセスの正当性を判断する手法だ。国境を越え金融機関が不正防止/摘発の効果的な対策に頭を悩ませる中で、人為的な操作が難しい個人の「癖」を認証に利用することへの期待は高まっており、プライバシー保護に関する根強い懸念とうまくバランスをとることが課題となっている。

金融システムへの不正アクセスや成りすまし等が後を絶たない現状を受け、米国を中心として、本人認証に認知行動アナリティクスを導入することに期待が集まっている。これは、ウェブサイトにアクセスする際の行動をもとに、顧客ごとの行動パターンのプロファイルを作成した上で、その後のオンライン取引については、プロファイルに照らして顧客本人によるアクセスかどうかを判断する認証のしくみだ。従来のログイン名やパスワードによるアクセスに、更なるセキュリティ層を加える位置づけとなる。背景には、遠隔操作ツールや仮想マシン等を利用し高度化する不正アクセスに対応するため、人為的に作り出すことが難しいファクタを認証に利用する動きが活発になっていることがある。この動きは、指紋、音声、虹彩、心拍等の情報を収集/分析する生体認証技術の開発に弾みをつけ、さらにはビッグデータを有効利用しようとする流れと相まって、認知行動アナリティクスについても、その開発/利用が活発になっているのである。無意識の個人の「癖」をプロファイリングすることにより、生体認証と同様に強固なセキュリティを提供できると期待されている。しかし、個人情報の漏洩や悪用の被害が拡大傾向にある中で、消費者の間では、無意識の行動パターンまでが個人情報として外部に収集され、自分のコントロールの及ばないところで分析/利用されることに対し、プライバシー保護の観点から懸念を示す声も上がっている。また、人為的な操作が難しい個人の「癖」が、仮に不正に流出/悪用されるような自体になれば、被害は今よりもさらに深刻なものになるという見方も出てきている。今後、認証の強度とプライバシー保護等のバランスをどう取っていくのか、認知行動アナリティクスの普及に向け金融機関にはどういった対策が必要になってくるのか等について、米欧に拠点を置く認知行動アナリティクスのサービスプロバイダBio Catchの共同創始者兼副社長Uri Rivner氏に意見を聞く。

Uri Rivner氏へのインタビュー

Q.認知行動アナリティクスの技術に注目した理由は。

認知行動アナリティクスの考え方や技術自体はしばらく前からありましたが、なぜ今この技術に注目したのかといえば、機が熟したからと言えます。多様なデバイスの普及等により、市場がこれまでの認証ツールを大きく見直す時期に来ていると同時に、認知行動アナリティクスの技術も、市場の普及に十分耐え得る高い認証精度/信頼性と使いやすさを備えたのです。これまでも金融機関は顧客の利便性を損なうことなく、認証の強度を確保することに取り組んできました。その結果、例えばモバイルを利用した複数要素認証を行うスタイルが普及しましたが、実際には4件に1件がモバイルのバッテリー切れや電話番号の変更等により認証完了に失敗しているというのが現状です。また、複数のデバイスをまたがってウェブサイトにアクセスしても、それまでのトランザクションが中断したり取り消されたりすることなく、円滑に取引を完了できるサービスへのニーズが高まっていますが、認知行動アナリティクスを利用すれば、顧客にこれまでと異なる作業を求めることなく円滑に認証を完了できるので、この高い利便性も評価されています。

Q.認知行動アナリティクスが生体認証技術と比べて特異な点は。

どちらも人為的に作り出したり、変化を加えたりすることが難しい点で共通しています。しかし、認知行動を認証ファクタに利用する場合は、生体認証に比べ、認証プロセスがインタラクティブである点が異なります。生体認証で指紋や虹彩等を認証に利用する場合、正しい本人データはひとつだけです。その結果、例えば生体情報を読み取るデバイスの調子が悪く、うまく情報を読み取れなかった場合、認識された生体情報がファイルされている情報と十分に一致しません。その結果、たとえ本人でも認証は完了しないことになります。これに比べ認知行動アナリティクスでは、人間が環境の変化に対し、常に普段の行動に調整を加えながら対応するという習性を反映させています。つまり、人間が無意識に行っている行動と、調整を加えている行動の両面に関するデータを利用し、総合的に本人認証を行っているのです。特に複数のデバイスや国内外のあらゆる場所からバンキングサービスを利用するケースが増えている現状を勘案すると、多角的に行動を分析し認証する認知行動アナリティクスの可能性は大きいとみられています。

Q.認知行動アナリティクスでは、どういったデータを収集/分析するのか。

一般的には、カーソルやマウスの動かし方、ウェブページを移動するスピード、画面移動の際にマウス/キーボードのショートカットキー/タッチスクリーンを利用するのか等に加え、デバイスの握り方や、マウスやタッチスクリーンを触る強さ等も併せて収集します。これらのデータからは、左利きか右利きかといった分析も可能ですし、通常アクセスする場所、時間、デバイス等に関する情報とも併せて分析しています。Bio Catchでは450を超える認知的あるいは心理的な行動のパラメータを準備しており、これらをもとに非常に細かい個人の行動パターンのプロファイルを作成します。だいたい顧客の一口座について、約10のセッションをモニターすれば、プロファイルを作成するに十分なデータが収集できます。そして、通常は一口座あたり顧客一人の行動プロファイルをひも付きにするというのが一般的ですが、Bio Catchでは共同口座やビジネス用の決済口座等での利用も想定し、日常的にアクセスする個人を二人まで正当な顧客とし、認知行動アナリティクスの認証をすることが可能になっています。

Q.認知行動アナリティクスを利用した不正防止サービスのビジネスモデルは。

サービスのビジネスモデルは、専用のソフトウェアを提供するケースが多いと思いますが、月額/年額で不正摘発サービスを提供するという形態をとるケースもあります。Bio Catchでは後者のスタイルをとっており、オンラインバンキングサイト等で、認知行動アナリティクスを利用した認証が必要なウェブページにコードを書き込むほか、顧客の本人認証のプロセスを可視化したダッシュボードを提供しています。ダッシュボードでは、ウェブサイトにアクセスした顧客について、個々の行動プロファイルに照らし、どの程度の精度で本人と判断したかが数値化されており、金融機関のセキュリティチームがいつでもアクセスできるようになっています。その結果、例えば米国の顧客が出張先の日本で資金移動を行ったとしましょう。通常であれば、いつもと違う疑わしい取引と警告が発されますが、認知行動アナリティクスを利用すれば、資金移動の指示を出すまでのウェブ上での行動/動作が本人のものかを正確に判断できるのです。また、こうしたサービスは、顧客のデータ収集/分析/アクセスのニーズに応じて柔軟に対応できるよう、クラウドベースで運営するスタイルが定着しつつあります。

Q.プライバシー保護の観点からの懸念にはどう対応するのか。

BioCatchが金融機関向けに提供するサービス事例でお話ししますと、オンラインバンキングのサイトに顧客がアクセスする際の行動データは収集しますが、個人のプロファイリングを作成する際には、このプロファイリング情報と個人の実名はリンクさせてはいません。つまり、行動パターンデータだけを見ても、実際の個人を特定することはできないのです。認知行動アナリティクスの技術は、パスワードやユーザネーム等にさらなるセキュリティ層を追加するというのがそもそもの役割ですので、個人の癖に関する情報だけを仮にハッカーが入手しても、これをもって不正アクセスを完了するのは極めて難しいと言えます。もちろん、個々の金融機関がユーザネームやパスワードといった情報に関するセキュリティ対策を十分に講じるということが大前提ではあります。

Q.マルウェアや組織的なサイバー攻撃等にはどう対応するのか。

例えばマルウェアのボットネット等によるサイバー攻撃では、ウェブにアクセスするスピードが長期間一定であったり、人間のアクセスでは不可能なレベルの高速なアクセスを記録したりするので、こうしたものについては、顧客本人のプロファイリングと照らす以前に、ウェブサイトへのアクセス自体が不正として摘発することができます。しかし、金融機関の間で現在問題となっているのは、少し前に発生した拡散型サービス拒否(Distributed Denial of Service)DDoS攻撃のように、複数の金融機関をまとめて標的にしたようなケースです。こうした事例については、金融機関をまたがって攻撃の情報を共有する必要があります。また今後の課題ともなりますが、金融機関のセキュリティ専門チームが中心となり、ひとつの金融機関が個人のプロファイリングに照会し不正だと判断した案件についても、必要に応じて金融業界レベルで共有し、金融機関をまたがった攻撃かどうかを判断して、組織的な不正を摘発する対策を立てることも可能でしょう。

Q.認知行動アナリティクスの普及の見通しは。

4年以内に大手金融機関を中心として、オンライン/モバイルバンキングを取り扱う金融機関の約半分は、何らかの形で認知行動アナリティクスの技術を取り入れることになるだろうとみています。これは、米国だけでなく南米地域においても、今年から来年にかけて、認知行動アナリティクスを利用した認証のパイロットプログラムを開始したり、開始する計画を立てたりする金融機関が増えている現状や、ベンダの技術開発分野のトレンド、投資家の資金の流れ等を勘案した見通しです。実際、金融機関に限らず、認知行動アナリティクスを認証に導入しEコマース等も出てきていますし、企業がすでに導入している不正防止のプラットフォームに統合できるタイプのサービスも出てきています。このため、業界を越えて認知行動アナリティクスは導入しやすい環境になってきていると言えます。

インタビューを終えて

大手金融機関の半数が、4年以内に認知行動アナリティクスを導入するという見通しは、一見強気にも思えます。しかし、サイバーアタックや個人情報の漏洩/悪用による被害が後を絶たない現状では、新しい技術の試行や投資をしないコストの方が、するコストよりも高くなっているという背景を反映している証拠なのかもしれません。市場展開に耐え得るレベルに達したという認知行動アナリティクス技術ですが、4年の間にさらに高度化する不正手口を睨みながら、どこまで利用者の信頼を確保できるかが普及の鍵となりそうです。

注釈

  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。