Web会員サービスやECサイトが私たちの生活に欠かせない存在になるなか、サービス運営事業者が直面する課題は多岐にわたる。たとえば、複数アカウントによる商品の買占めや転売、不正な決済やポイント交換、不正ログインによる個人情報の漏洩、パスワード忘れによる問い合わせの増加などが挙げられる。これらの課題に対処するためにセキュリティを強化しようとすると、利便性が低下し、コストも増大するというジレンマに直面する。
しかし、一筋の光が見えてきている。それが、“電話番号”で認証と与信を行う新しい仕組みだ。このシンプルながら革新的なアプローチにより、利便性を担保しつつセキュリティを向上させることが可能になる。この新しい仕組みを提供するオスティアリーズの廣川聡敏氏に、その秘密と効果について詳しく探った。
認証と与信にまつわるジレンマ…。サービス運営事業者が抱える課題とは
──ユーザー情報を扱うサービスの運営事業者は、Webサービスの認証でどのような課題を抱えているのでしょうか。
不正アクセスに対する「安全性の高さ」と、ユーザーにとっての「利便性の高さ」はトレードオフの関係にあり、そもそも両立は難しいという問題があります。
たとえば、Webサービスを利用するうえで最も使われている認証方法は、ID・パスワード認証ですが、サービス運営側は不正アクセス対策を強化するため、なるべく複雑なパスワードにする、複数サイトで同じパスワードを使い回さない、といった対応を推奨しています。
しかしユーザー目線からすると、そのサービスはあくまでも数あるサービスの一つにすぎず、20、50、あるいは人によっては100にも及ぶサービスのすべてに異なるパスワードを設定するのは不可能に近いでしょう。ここには「安全性を求める企業側」と「利便性を求めるユーザー側」のミスマッチがあります。加えて、認証システムの維持にはコストもかかり、経営目線では大きな問題となります。
そのため、セキュリティが高く、ユーザーがシンプルに利用でき、しかもなるべく低コストで運用できる認証方法がいま求められています。
──とはいえ、「安全性」「利便性」「コスト」の3点を満たすのは、そう簡単ではないということですよね。
その通りです。現在は多様な認証方法が存在していますが、それぞれに長所と短所があり、決定的な解決策には至っていません。
まずID・パスワード認証は数字と文字列の組み合わせを使用することが多く、低コストなものの、安全性は必ずしも高くありません。また先ほど言ったように、異なるサービスごとに異なるパスワードを管理するのは至難の業です。
次に、登録したメールアドレスにワンタイムパスワードを送信する方法がありますが、SNSのメッセージングアプリやチャット機能の普及により、メールの使用頻度は減少しています。また、フリーメールアドレスを複数持つことができるため、サービスに登録したアドレスが分からず、認証作業が煩わしく感じられることがあります。これはサービスの利用をやめる原因にもなり得ます。さらに、メール、SMS(ショートメール)は送信元を偽ることが容易なため、企業の名前を騙ったフィッシング詐欺が多発しており、セキュリティリテラシーが高いユーザーでもフィッシングを見分けることが難しく、メールアドレス、SMSによる認証チャネルは縮小傾向にあります。
最後に、認証アプリを使用する方法がありますが、これはユーザーの事前設定に一定のリテラシーを要求されるため、業務用ツールでは有効かもしれませんが、一般消費者にとっては導入のハードルが高く、認証のために別途アプリを起動する手間もあるでしょう。
──これらはいわゆる「知識認証」の話ですが、認証方法には他にも、デバイスなどの物理的なものを利用する「所有物認証」や、指紋・静脈・虹彩などの生体情報を用いる「生体認証」が存在します。
「所有物認証」は、認証に使うハードウェアを持ち歩く必要があり、紛失や盗難によるセキュリティリスクがある点と、ハードウェアのコストが高額になる点が、普及の障壁となります。金融機関が提供するトークンも、電話番号の認証やスマートフォンのアプリで動作する形式へと変化しており、特殊な用途を除き、所有物認証の今後の広がりは限定的でしょう。
「生体認証」についても、スマートフォンでの利用はある程度普及していますが、ATMでの静脈認証などの高コストなシステムは、徐々に減少している傾向にあります。
「安全性」「利便性」「低コスト」を両立した認証は経営面でもメリットに
──筋縄ではいかない本人認証ですが、適切な認証が行われない場合、運営事業者は経営面でどのようなリスクに直面するのでしょうか。
まず、二要素認証などの適切なセキュリティ対策を行っていない場合、フィッシング詐欺などで漏洩したIDやパスワードを使った不正ログインやアカウントの乗っ取りが発生し、金銭や情報の搾取につながることがあり、経営に甚大な影響を与えます。一度このようなインシデントが発生すると、企業に対する信頼の回復は困難になり、ユーザーなどへの報告作業、強固なセキュリティ体制を構築するために莫大なコストが発生します。さらに、ユーザーがコミュニケーション可能なサービスでは、情報商材などの違法な勧誘や誹謗中傷のリスクもあり、これを防ぐためにも本人認証は不可欠です。
また、サービスの不備が原因で、ユーザーに不公平な状況が生じる可能性があります。たとえば、一人のユーザーが複数のアカウントを作成し、キャンペーンに不正に応募することで、特定のユーザーだけが利益を独占する事態が発生します。さらにECサイトでは、複数のアカウントを使用して購入した商品を転売する行為も見られ、ユーザーが初回割引価格に近い金額で不正に転売することにより、公式サイトで正規の価格で商品を購入するユーザーが減少し、売上・利益に影響を及ぼすでしょう。
──裏返しで見るなら、強固で使いやすく、コスト効率の良い認証システムを導入することで、企業は多くのメリットを享受できるわけですね。
その通りです。オスティアリーズが提供する「着信認証」は、これまでに挙げた認証に関する様々な課題を解決するサービスです。ユーザーが登録した電話番号から認証用番号に電話をかけることで、簡単かつ確実に本人認証を行い、不正アクセスやなりすましを防ぐことができます。
「着信認証」は、金融、エンタメ、保険、エネルギー業界をはじめとする、ユーザー情報を扱うサービスを提供する多様な業界でご利用いただいています。電話番号は、携帯電話、固定電話、IP電話を問わず、国内外から認証可能で、現在世界90の国と地域で認証実績があり、導入企業の総会員数は4億以上に上ります。(2024年3月時点)
「着信認証」独自のアドバンテージと、新サービス「PSTN」の役割
──着信認証」は、他の認証方法と比較してどのようなアドバンテージを持っているのでしょうか。
主に4つの利点があります。第一に、当然ながら運営事業者のセキュリティを強化できる点です。電話番号は全世界に1つしか存在しないユニークなものであり、確実な本人認証が可能です。EメールやSMSによる認証と異なり、ユーザーが能動的に認証のために電話をかけるため、認証コードを偽サイトに入力してしまうなどのフィッシング詐欺やなりすましのリスクがありません。
第二に、他の認証方法と比較して低コストで導入・運用が可能な点です。初期費用は0円で、組込み型のAPI版は月額2万円から、jsタグを貼るだけで「着信認証」が導入できるASP版は1認証リクエストあたり10円からご利用可能です。
第三は、ユーザーの利便性です。既に所有している電話を使用し、自分の番号から電話をかけるだけなので、新たなアイテムを準備する必要がなく、パスワードを忘れる心配もありません。
第四に、電話番号を持つほぼ全てのユーザーをカバーできる広範な対応範囲です。アプリ認証などに比べて、特別なリテラシーを要求されることはありません。これらのポイントを総合的に見ていただくと、他の認証方法よりアドバンテージがあることを理解いただけるのではないでしょうか。
──「着信認証」を経営層に説明する機会もあると思いますが、反応はいかがですか。
以前に比べて、電話発信型の認証方式である「着信認証」の認知は上がってきていると思いますが、初めて「着信認証」を知っていただく方々は、スマートフォンから画面に出た認証用番号をワンタップするだけで発信され、認証が完了するため、SMS認証のようにコードを受け取る必要がなく、非常に簡単だと感じていただいています。また世界的な大規模イベントでの導入実績もあるため、その信頼性も高く評価されています。
──加えて、新たに電話番号与信サービス「PSTN」のサービス提供も開始しました。
「PSTN」は、企業が把握している要注意ユーザーの電話番号を企業間で連携し、注意喚起するシステムです。認証を行う電話番号が実在するか、過去に未払いが発生していないかなどをチェックし、要注意電話番号に紐づいた与信データを個人情報の共有なしに不正行為の排除のために活用できます。また、海外、国内のエリアや固定、IP、携帯電話などの通信種別から自社のサイトに登録する電話番号を限定することも可能です。これまで企業ごとに行ってきたセキュリティ対策を企業間で協力体制を築くことで、最小限のコストで大きな不正対策効果を生み出します。
大手企業であれば、要注意ユーザーの管理を独自に行うことも可能ですが、スタートアップや中小企業、異業種からビジネスを展開する企業にとっては、ユーザーをゼロから判別するのは現実的ではありません。そこで「PSTN」が介在し、ある企業で発生した問題のある番号をキーとして要注意ユーザー情報を他の企業とも共有できるようにすることが、このサービスの重要なポイントです。
多様な業界で活用の広がりを見せている「着信認証」
──導入事例を教えて下さい。
最初に、会員数が1億5,000万人に及ぶポイント事業者があります。この企業は、ポイントというユーザーの資産を守るために高いセキュリティが必要でしたが、利便性を低下させてしまうという課題に直面していました。「着信認証」はワンコールで認証が可能であり、利便性を落とさずにセキュリティを強化できるだけでなく、パスワードを忘れた際の再設定にも導入することで、ユーザーの利便性を向上させ、認証にかかるオペレーションコストの削減という副次効果も生みだしました。
次に、ユーザーのIDとパスワード忘れにより、カスタマーセンターの対応工数が増加するという課題を抱えていた保険会社があります。保険会社のマイページはログイン頻度が少なく、年末調整や確定申告時期にアクセスが集中します。また、書面による告知のための郵送コストが高いという課題もありました。そこで、ユーザーが忘れやすいログイン時のIDとパスワードを廃止し、利用率を維持しながら利用ハードルを下げるために「着信認証」によるログインへの切り替えを決定しました。ユーザーはワンコールでログインできるため、利便性が向上し、IDとパスワードの郵送費や問合せコストも大幅に削減しました。
さらに、地域通貨プラットフォームを運営する企業では、同一ユーザーが複数のアカウントを作成し、地域振興券や地域還元ポイントを不正に受け取ることを防ぐため、「着信認証」を選択しました。電話番号による登録制限により、地域の大切な資産を守り、適切なユーザーへの還元を実現しています。
──本人認証にまつわる難題を解決するものとして、電話番号の可能性を感じました。最後に、今後の展望を教えてください。
私たちは、インターネットをより安全に利用できる未来を目指しています。この大きな目標に向け、「着信認証」は単一企業のサービス内での認証に関するさまざまな課題を解決し、安全性と利便性の向上、対応コストの削減に寄与してきました。そして新たに「PSTN」のサービスを開始し、電話番号をキーとして企業間で不正情報を連携することで、企業規模を問わず精度の高いセキュリティ対策が可能になります。私たちはこの分野のハブとなり、業界全体で力を合わせてセキュリティを向上させていきたいと考えています。
これからも、文字列でしかない電話番号に価値を加えて、次のフェーズへと進んでいきたいと思っています。インターネットをより良い場所にするために、ぜひ私たちのサービスを検討してみてください。
──ありがとうございました。
関連リンク
-
株式会社オスティアリーズ
https://ostiaries.co.jp/ -
動画:着信認証、PSTN
https://www.youtube.com/watch?v=oaoyMeBIF6E&t=24s
[PR]提供:オスティアリーズ