Interview

ThreatMetrixは新世代の共同利用型リスクベース認証でフィンテックの発展を後押しする

ThreatMetrix 代表 JB デュメルク× Longine FinTech取材班

今回はThreatMetrix JB デュメルク 代表に、同社が展開する新世代のリスクベース認証サービスの特色と今後の事業展望をお伺いしました。

読者に伝えたい3つのポイント

ThreatMetrixの不正検知サービスは、認証のセキュリティ水準の柔軟なカスタマイズを実現すると同時に、ネットユーザーのフリクションを最小限に抑える非対面金融オンラインサービス用の新世代リスクベース認証サービスです。

同社の顧客が収集するデータを全ての顧客で相互化しクラウドで共同利用することで、費用負担の抑制だけでなく、識別率を向上できます。

同社のグローバルな不正使用情報に基づくリスク認証は、国際化を目指す日本のフィンテック、金融機関やECサイトなどから支持を得ることが期待されています。

シリコンバレー発、クラウド型リスクベース認証サービスとは

Longine FinTech取材班(以下、Longine):初めに創業の経緯を教えてください。

ThreatMetrix JB デュメルク代表(以下、デュメルク):当社は豪州に設立されましたが、シリコンバレーに拠点を移し、7年が経ちました。当初の事業はマルウエア対策事業でしたが、数年前にクラウド型のリスクベース認証サービスの提供を始め、金融業の顧客に広く受け入れられました。現在は、米、欧(特に英)、豪州などの金融機関に採用されています。弊社のネットワーク上では毎日8千万件の取引を監視しています。

Longine:リスクベース認証というのはどんな認証ですか。

デュメルク:リスクベース認証は、従来の一要素認証パスワードと強力な二要素認証の中間段階です。ユーザーはパスワードの使い方に精通していますが、十分に安全ではありません。二要素認証ははるかに強力ですが、使用するのが難しいためユーザーはそれを好まず、施設(設備)の費用ももちろんかかります。マルウェア対策ソフトウェアをダウンロードする必要もあります。ユーザーがサービスを利用するために必要とする手作業は、「フリクション」と呼ばれるものですが、フィンテック業界は「フリクションレス」であることを目指しています。

リスクベース認証を使用すると、従来のパスワードの使いやすさを維持しながらセキュリティを向上させることができます。主な目的は、トークンを入手すること・アプリケーションをインストールすること・またはソフトウェアをダウンロードすることの必要性を低減することです。既存のユーザーIDとパスワードに加えて、その人の属性データから本人らしさを検知する技術です。取引ひとつひとつの不正アクセスのリスクの大きさを測ることができ、リスクが大きいと考えられる時のみに安全性を確保するための次の手段を考えるという認証のアプローチです。これは真正な取引を行おうとするユーザーにとっては認証作業という負荷を最低限に抑制できるため、フリクションレス認証と言えるでしょう。

Longine:認証と言えば、ワンタイムパスワード認証や指紋認証のような仕組みが広がりつつあります。御社のようなリスクベース認証は、なぜ必要なのでしょうか。

デュメルク:現在は従来型のパスワード認証の危険性が十分に認識されていますので、マルウェア対策ソフトウェアのダウンロードと二要素認証が広まりつつあります。たとえば、ワンタイムパスワード、電子証明書、指紋などの生体認証などを追加する方法です。

しかし、このような複雑な仕組みをユーザー全体に浸透させることは不可能だと思われます。というのは、日本では現在のところ詐欺は少なく、大まかに言えば99.9%の取引は真正な取引です。にもかかわらず、全ての取引にこうしたソフトのダウンロードと二要素認証を要求し、ユーザーに負担、つまりフリクションを起こしているのです。

このフリクション、大手銀行がワンタイムパスワードを提供する場合はビジネス的にあまり大きな問題にはなりません。大手銀行はこうした無料ウィルス対策ソフトと二要素認証でも横並びの傾向があるので、ある銀行で取引のフリクションが面倒だからといって、そのユーザーが即座に他行に簡単に口座を移すということにはなりにくいからです。

しかし、フィンテック企業にとって、取引、送金、決済の際のフリクションの問題は大変重要です。どんなに魅力的なサービス内容でも、認証にともなうフリクションが大きければ、利便性の観点で見込み顧客に敬遠されてしまうかもしれません。

取引の安全性は大変重要ですので二要素認証が必要なことは理解できますが、全て一律に二要素認証を課すのはフィンテックなどのスタートアップには事業拡大の障害になりかねないのです。最新のリスクベース認証でパスワードを保護するだけで十分と思われます。

Longine:リスクベース認証は新しい技術なのですか。

デュメルク:いいえ、考え方としては既に金融機関で採用されています。たとえば、従来使っていたPCから新しいものに買い替えた後にインターネットバンキングをしようとすると、金融機関はそれを検知し、リスクがあると見て本人確認のために「秘密の質問」を提示し、ユーザーに事前に登録している「合言葉」の記入を求めます。これが旧来からあるリスクベース認証の一例です。

しかし、これもユーザー側にはフリクションが発生します。かなり前に登録した「秘密の質問」の答えを思い出すのが面倒ですし、家族の名前やペットの名前などはネットで誰かに見つけられてしまいます。また、マルウェア対策ソフトをダウンロードする必要が残ります。このやり方はユーザーにとって面倒な入力作業が増えるうえ、実はそれほど安全ではないのです。

新世代のリスクベース認証

Longine:では、御社のリスクベース認証はこのフリクションの問題を解決できるのでしょうか。

デュメルク:はい。我々は新世代のリスクベース認証を提供していると自負しています。

従来のリスクベース認証はPCのブラウザをベースにリスク分析をしました。この場合、新しいPCから認証がある時にリスクを検知し、「秘密の質問」が合っているかいないのか、リスクを0または1として認識します。

これに対して、我々の新世代リスクベース認証では、300の要素(属性)を監視します。先ほど述べたデバイスだけではなく、場所(日本にいるのか、海外からなのか)、行動(どのサイトを見ているか、どんなインターネットサービスを利用しているのか、人の振る舞いのデータ)、身元(匿名化される個人情報)、脅威(デバイスにマルウエア等があるのか)などを幅広く監視するのです。これを「プロファイリング」と呼びます。

こうすることで、不正のリスクを「0か1か」ではなく、より正確に測定し「-100から+100」のスコアで表現するのです。これを「スコアリング」と呼びます。

もちろん、これはブラウザまたはモバイルアプリケーションの両方に適用されます。

Longine:「-100から+100」というスコアリングシステムの利点は何ですか。

デュメルク:我々のサービスを使う顧客である金融機関やフィンテックの企業が、その認証によって行われる取引の重要性に応じて、どのスコアであればそのまま認証を通すのか、あるいは追加の認証を要求するのかを柔軟に決めることができるようになります。

たとえば、金額の大きい資金移動取引の場合には、追加認証を求めるハードルを高くすることができます。拒絶するという場合もありますし(その場合はコールセンターに電話をしてもらうなどのアクションを促します)、それほど重要ではない取引であればそのまま認証を通すこともできます。

こうすることで、従来型のリスクベース認証、マルウェア対策又は二要素認証につきものだったフリクションを合理的に減らすことができるはずです。そして、この分析のためにビジネスインテリジェンスとビッグデータという新しい技術をフル活用していくことになります。

Longine:単純な白黒ではなく、真っ白から真っ黒までのグレースケールの中でリスクの大きさを認識し、柔軟にセキュリティレベルを管理できるようになるのですね。それなら、何でもかんでも追加の認証をするより、はるかにユーザーエクスペリエンスは良くなりますね。

デュメルク:我々のリスクベース認証にはもう1つの特徴があります。弊社の世界中の顧客が収集するさまざまなデータを、全ての顧客が共同で利用しています。各顧客が弊社のサービスに参加することにより、他の顧客の参加によって蓄積された知見を相互に活用することができます。この結果、リスクベース認証のデータを常に最新のものにし、そのユーザーの識別の信頼性を担保しています。

Longine:わかりやすい例えで言うと、御社のクライアントであれば、常にグローバルベースで最新のブラックリストに当たるデータを利用できるということですね。 これは日本のクライアントにもメリットがあるのでしょうか。

デュメルク:もちろんです。弊社の調査によると、国境間での攻撃は自国内での攻撃に比べて2倍以上になっています。詐欺師はますます国境を越えて攻撃していますが、もはや日本の金融業界は海外のユーザーを単にブロックすることはできません。今後日本のさまざまなインターネットサービスに対して海外からの需要が高まると考えられます。旅行者も増えますし、日本のネットサービスやフィンテック企業が海外顧客の開拓を進めることでしょう。しかし、日本の企業はこれまで主に国内の顧客データは集めてきましたが、海外のデータは収集できませんでした。

したがって、グローバルのデータベースを活用することが合理的になりますし、これは他社では提供できません。フィンテックのようなスタートアップの場合は、そもそも顧客データが十分にありませんから、我々のデータベースを利用するのが最適な選択になるはずです。

最高のセキュリティを確保している大手金融機関であっても、個別に海外からの攻撃と戦うことには限界があります。犯罪組織は、世界中の金融機関を集合知で攻撃しますから、逆に我々もそのグローバル化する不正を集合知で迎え撃つことが必要だと思います。

Longine:そうすると、御社のリスクベース認証は、不正行為を減らしながらインターネットユーザーのフィリクションを最小化できること、微調整・分析でリスクスコアリングするため二要素認証の必要性を減らすこと、そしてグローバルのユーザー属性と行動のデータベースを利用できるという3つの特徴があるのですね。

デュメルク:そうですね。これは業歴の長い企業だけでなく、新興企業にも大変魅力的なサービスとして米・英・豪で人気になりました。

弊社の成功の主な理由は、認証をユーザーに透過的にすることです。弊社の調査によると、金融サービスにあたって信頼するべきリピート顧客率は93%です。日本なら、もっと高くなると思います。認証の主な目的は、これらの純正なユーザーをなりすましから保護することです。

一方、サイバー犯罪者は、ウェブロボットやビッグデータを活用してますます高度化し、プロのサプライチェーンのように組織されています:不正取得された純正なユーザーのID情報は、自動化された攻撃に利用される価値の高い情報として売買されています。

ロボットを使用する攻撃に対して純正なユーザーが手動で守るように求めることはできません。弊社は金融機関がその純正なユーザーへ負担をかけず、ボットやその他の自動化された攻撃に自動的に対抗できるようにしています。

Longine:現在の御社のクライアントはどのような構成ですか。

デュメルク:顧客の40%がECサイトや決済業者、40%が銀行(大手銀行・地銀)とフィンテック(クラウドファンディング、P2P送金など)となっています。具体的に言えばeBay、PayPal、AliPay、Kabbageや融資・クラウドファンディングの大手のほとんどが弊社のクライアントです。

最近のニュースとして、いくつかの海外の大手銀行が、既存のワンタイムパスワードの代替として弊社のサービスを使用することを決定しました。これは伝統的な銀行業界における大きな進歩です。

TMX02
TreatMetrix社 JB デュメルク 代表

クライアントの運営費用も節約

Longine:クライアントの費用負担についてはどうですか。

デュメルク:コスト効率が良く、顧客にはお得だと思います。クラウドですので顧客側でサーバーを構築するような費用はかかりません。ワンタイムパスワードトークンとウィルス対策ソフトのライセンスを1人1人のユーザーに提供する必要をなくすこともできます。また、数年間の長期契約も必要ありません。

また、顧客は弊社の300要素による分析結果を必要な都度使用するという形態になり、費用の発生はpay-as-you-goとなります。つまり費用は設備投資ではなく営業費用になるのです。このような理由から、顧客にとって弊社のサービスを利用することが最も経済合理性があると言えます。

類似の不正検知サービスはありますが、完全クラウドで共同利用型の低コストサービスはThreatMetrix以外に見当たらないのが事実です。競合比コストが約5分の1になる上に、サービス納期は即時になります。(競合比納期が 数か月程度になります)

15億件のペルソナ情報。個人情報が集められているのか?

Longine:お話をお伺いすると、なんだか本人が自覚していないのに、いつのまにか個人情報が収集されて、それがインターネットの世界で認証の判断に使われているのではないかと心配になります。

デュメルク:それは、よく聞かれる大事な質問です。回答は簡単で、そのような懸念は不要です。なぜなら、個人情報を収集しているわけではないからです。

では、どのようなデータを集めているかというと、ユーザーのオンライン活動に紐づく諸々の属性を見ています。「どのようなPCの設定を使い、どのサイトにアクセスする、どの言語を使用している、どの地区からアクセスしている、どのマルウェアに感染している」というようなデータを集めています。それでユーザーの本人らしさを識別できますが、一体誰なのか特定できる情報を集めているのではありません。 それは「ペルソナ」と呼んでいます。個人そのものを知らずにペルソナのデータだけで、ユーザーを識別できます。

仮にメールか電話番号のような個人情報を追加で知った場合は、必ず匿名化して管理をしています。いずれにしてもこれはオプションなので、顧客は個人情報を提供する必要がない場合、必要はありません。

ちなみに、弊社では毎日約8千万のトランザクションを認証しており、その中で今年は1.3億の攻撃を検知できました。これは対前年比で40%の増加です。また、弊社では世界中に35億デバイスと3万のサイトもしくはモバイルアプリ間の相互化に基づいて15億件のペルソナをデータベース化しました。そしてフィンテックユーザであれば、その95%以上は弊社が識別できると思います。

Longine:仮に、私がスマホを買い替えたとしましょう。新しいスマホで普段使っているモバイルバンキングサイトで認証をしようします。御社のシステムでは、それが私だとわかるのですか?

デュメルク:どのくらいの変更が行われたかによって異なります。電話番号の変更の有無、 移動通信事業者の変更の有無によります。仮にデバイスが変わっただけで、いつもの場所でいつもの事業者からそのモバイルバンキングサイトにアクセスしたとしましょう。すると我々は、デバイスは違うものの他の属性が類似するペルソナを我々のデータベースから探してくるのです。

もし、新しいスマホでそのモバイルバンキングサイトにアクセスする前に他のサイトで一度認証を済ませていたら、ほぼ間違いなく「これは新しいスマホを使っているいつものペルソナだ」と判別できるのです。万が一、リスクベース認証だけで識別できない場合は、従来通りパスワードか二要素認証を要求することになります。

国際化を進める日本でリスクベース認証が普及を始める

Longine:日本での事業展開はどうなりますか。

デュメルク:日本はインバウンドやクロスボーダー取引がますます重要になりますし、オリンピックも控えています。従来のように日本の国内にだけ目を向けているわけにはいきません。この2年くらいが大変重要な時期になります。

これまで日本での不正アクセスの損害額は北米に比べて桁が違うほど少なく済みました。個人情報漏洩の場合に1件あたり支払われる500円の賠償を除いて、日本の金融業界で直接発生する被害額は年間150億円の範囲にあると報告されています。これは多額に見えるかもしれませんが、海外よりもずっと低く、将来起こりうることの前提に過ぎないでしょう。日本のセキュリティレベル自体は高いと思いますが、これまで詐欺が比較的少なかった理由は、言語障壁のおかげかもしれません。

しかし、日本の銀行個人口座には海外と比較してより高い残高があるため、狙う価値があります。よって、今後はますます海外からの攻撃が増えていくと予想されます。ハッカーは最も攻撃しやすい箇所を見つけて攻撃を仕掛けてきますので、日本の言語障壁が不正防止の障壁よりも低くなると、犯罪組織は日本語能力の向上に投資し、日本は他の国と同じだけの詐欺を被るでしょう。様々な自動翻訳ツールは簡単に利用できますのでもうそれほど難しいことではありません。

ユーザーIDとパスワードに加えて、その人の属性データから本人らしさを検知する金融機関は、現状では主に銀行のみですが、近い将来、多くのフィンテックやECサイトでも採用すると思います。不正件数が増加するか、損害額が増えるか、あるいはそれと前後して行政が旗を振ることで、リスクベース認証が日本に浸透すると思います。実際、経済産業省は前向きです。

そこで重要なのは、海外のデータをどれだけ有効に使っているかであり、弊社はこの点で他社に先行しています。しかも、低コストのサービスを構築していますので、必ず多くの顧客に支持されると考えています。

Longine:日本のフィンテックの発展と両輪で御社が事業を展開するのですね。

デュメルク:その通りです。新規事業者が事業基盤を固めるには、取引の安全性と同時にユーザーの利便性を高め、ユーザーに新しい体験をしてもらう必要があります。その意味で、弊社の低コストで柔軟な認証システムはフィンテック企業をアシストできると確信しています。

Longine:本日はお忙しいところありがとうございました。

デュメルク:こちらこそありがとうございました。日本でもグローバル化する不正に世界と共に集合知で迎え撃ちましょう!