増え続けるネット上の不正。二要素認証と電話番号検証で、ビジネスを守る

◆ネットの不正犯罪増加。二要素認証はデジタル社会のスタンダードへ

多くのサイトやアプリでは、IDやメールアドレス、パスワードなどの情報を入力することで、ログインできるようになっている。ところが、これらの情報が悪意のある他者に知られ、大きな被害に繋がる事件が国内外でいくつも起きている。

第三者の不正利用を防ぐために有効なのが、電話番号による二要素認証（2FA）で、近年導入が進んでいる。これはIDやパスワードなど、「本人が知っていること」という「知識」の要素に、「本人が持っているもの」、つまり電話機という「所有」の要素を加えて認証する方法だ。顧客のスマートフォンにSMSで認証コードを送り、それをサイトやアプリで入力してログインしてもらうやり方が一般的だ。

電話番号、特に携帯番号による認証が取り入れられる理由として、①ほとんどの人がスマートフォンを持っていること、②携帯番号はキャリアの審査を経て割り当てられた番号であり、原則同じ番号がないため身元確認の究極の方法であること、③認証コードなしで、本人以外が企業の手続きを「なりすまし」で行うことができないこと、などが上げられる。電話機そのものが盗まれない限り、安全性は高い。

◆自社開発不要。認証APIでセキュリティを高める

電話番号による認証は、新規ユーザーがアプリに登録する場合、ユーザーが未知または代替のデバイスからアプリにログインしてパスワードのリセットを要求した場合、しばらくログインのなかったユーザーが再ログインする場合、決済や電子商取引などにおいてトランザクションを認証する場合、などでも活用される。こういったユーザー管理が、企業が顧客を守りその信頼を勝ち取るためのベストプラクティスとして推奨されている。

とは言え通信やセキュリティの経験が浅い企業には、2FAシステム導入のハードルは高く感じられるかもしれない。しかし、APIを使えば簡単だ。APIは、ウェブサービスやソフトウェアの機能を、別のウェブサービスやソフトウェアから呼び出せるようにしたものだ。例えば多くの企業ではグーグルマップのAPIを利用し、自社のウェブに地図を表示している。同じ考え方で、2FAテクノロジーを持つVonageのVerify APIを利用すれば、自社で開発しなくても、電話番号を利用した2FAシステムが簡単に導入できる。

◆電話番号検証で不正を探知。セキュリティが企業の未来を左右

さらにVonageの認証システムは、不正の探知とステップアップ認証でビジネスを保護してくれる。仕組みは以下のようになっている。

企業側のアプリは、アカウント作成時、または高額取引の際に、顧客に電話番号の入力を求める。アプリがその番号をNumber Insights APIに送信すると分析・検証が行われ、リスクの高い番号を探知する。高リスクと判断された場合、Verify APIを使ってSMSや音声による認証コードが顧客に送られ入力を求める。入力されたコードがマッチすれば登録完了、しなければ顧客をブロックすることができる。不正の疑いのある顧客にだけステップアップ認証を行うため、顧客との摩擦が起きにくくなるシステムだ。

Number Insights API利用で、顧客から提供された電話番号を名前と紐づけたり、実際に有効かどうかを確認したりすることもできる。こういった情報のアップデートを常に必要としている企業には非常に有益だ。特に金融機関、コールセンター、Eコマース、フィンテックなどに適していると言える。

ネット上の不正や迷惑行為の手口は日々巧妙になっており、企業がこういった事件に巻き込まれれば、顧客体験の低下を招き、顧客維持率の低下につながる可能性もある。さらに悪いことには、ブランドや企業そのもののイメージを傷つけ、後々まで法的、経済的な影響を受けることにもなりかねない。デジタル社会におけるセキュリティ強化は企業にとっては喫緊の課題であり、適切なソリューションの選択ができるかどうかで明暗が分かれるだろう。