プロフェッショナルが語る
電話発信認証サービスTELEO
多要素認証が不可欠な時代に「かけるだけ」の電話発信認証でより安全なインターネット利用を実現
インターネットを利用したサービスが様々な業種・業態で拡大を続けています。それに伴い、サービスの脆弱性をつくサイバー犯罪も増加の一途をたどっており、利用者の本人確認を行う認証技術の安全性に注目が集まっています。もはやパスワード認証だけで安全性を確保することは難しく、その解決策として複数の認証方式を組み合わせる多要素認証がありますが、安全性と利便性を両立させることが課題でした。三菱電機インフォメーションシステムズ株式会社(MDIS)が提供する「電話発信認証サービスTELEO(テレオ)」は、電話を「かけるだけ」で認証を行うことが可能で、簡単に本人確認ができる手段として、この課題に応えます。
登録済みの電話番号から「電話をかける」だけで本人認証
MDISが提供する「電話発信認証サービスTELEO」は、ユーザーがあらかじめ登録した電話番号から電話をかけるだけで本人認証が行えるサービスです。ユーザー情報として電話番号を保有している企業であれば、IDとパスワードによる認証にTELEOを追加することで、安全で使い勝手の良い二要素認証を実現できます。
TELEOによる認証は極めて簡単です。例えば、スマートフォンを使って本人認証する際は、スマートフォンの画面に表示された電話番号をタップして電話をかけるだけです。ユーザー情報としてあらかじめ登録されている電話番号と発信元の電話番号が一致すれば認証が完了します。
SMS認証のように送られてきたコードを手入力する必要はなく、最小限の操作で認証が完了します。また、スマートフォンだけでなく、パソコンと固定電話との組み合わせでも利用できます。
MDIS第一サービス事業推進室で、認証関連のプロジェクトを統括する大江哲浩氏は、電話番号による認証の有用性を次のように説明します。
「日本の携帯電話はすでに一人一台以上の普及率があります。携帯電話の通信キャリア変更後も同じ電話番号を使い続けられるMNP制度を利用して、多くの人が一度取得した電話番号を長く利用し続けています。また、日本国内で携帯電話に実装される音声対応SIMは法律で契約時の本人確認が義務付けられており、技術的にも国内の電話番号の偽装は極めて困難なため、電話番号を用いた電話発信認証は安全性の高い本人認証であると言えます。また、携帯電話は常時持ち歩いているので紛失した場合にもすぐに気付くことができ、盗用被害を最小限に抑えることが期待できます」
SMS認証や生体認証よりも手軽でユーザーの負担を軽減
二要素認証で用いられる他の方式と比較してもTELEOの使いやすさは大きな魅力です。
「二要素認証には様々な方式がありますが、他の方式は操作が煩雑であったり、専用アプリやデバイスの配布と管理が必要といった問題があります。生体認証は優れた方式であるものの、指紋や顔等の情報を登録する手間がかかることから、提供サービスの初回利用時における本人確認や、重要な手続きの時だけ認証方法を追加するといった用途には使いにくい欠点があります。一方、登録されている電話番号から電話をかけるだけで済むTELEOは、導入企業とエンドユーザー双方にとって、他の認証方式にはない使いやすさを備えています」(大江氏)
専門機関が安全性に警鐘を鳴らすSMS認証の代替手段に最適
TELEOはこれまでの二要素認証でよく使われてきたSMSに代わる二要素認証の手段として有効です。
TELEOプロジェクトのリーダである山口奈津子氏はTELEO開発の背景にはSMS認証の代替を求める顧客ニーズがあったと言います。
「SMSには様々なサイバー攻撃の手段が存在することが指摘されており、国内外のセキュリティー専門機関ではSMSによるユーザー認証は非推奨とされています。SMSに代わる認証手段を検討中の金融機関のお客さまからご相談を受けた際、TELEOのコアとなる電話発信認証の技術をご紹介したところ、高い評価をいただきました。TELEOは、このコア技術をベースに金融機関での利用にも耐えられるようにセキュリティーや使い勝手を強化してサービス化したものです」
金融機関が求める高度な安全性と運用しやすいコスト、性能を実現
マーケティングを担当する山田真紀子氏は、他の電話発信認証サービスに対するTELEOの優位性を次のように語ります。
「TELEOの優位性は、エンドユーザーにとっての利便性と、システムの性能面に配慮しつつ高度な安全性を実現している点にあります。利便性という点では、他の電話発信認証サービスの多くは認証時に着信し、通話成立後に認証を完了させるため、導入企業かエンドユーザーのどちらかに通話料が発生します。また、着信することで回線の負荷が大きくなり、一度に多くの認証リクエストが来ると回線がつながりにくくなることがあります。TELEOでは通話が成立する前に認証が終わるため通話料は発生しません。安全性という点では、認証する対象を国内キャリアの音声電話に限定することで安全性を高めています。海外の電話やIP電話には番号偽装の危険性があるため、認証対象外としています」
また、TELEOは導入企業との接続やシステム管理の面でもセキュリティーを重視しています。
「電話番号で認証を行うためには、導入企業のサーバーからユーザーの情報を受け取る必要があります。TELEOはこの時ハッシュ化された電話番号のみを受け取り、生の電話番号は一切やり取りをしません」(山田氏)
「金融機関からご利用いただくためには、金融情報システムセンター(FISC)の安全対策基準に則っている必要があります。これに対応するためにクラウドサービスセキュリティーの認証規格ISO27017を取得しています」(山口氏)
TELEOの特徴を活かし幅広い業種に広がる可能性
簡単な操作で本人認証ができるTELEOは、ログイン時の二要素認証以外にもビジネスの多様な場面で活用できます。
例えば、既存の銀行口座をインターネットバンキングに登録する際にTELEOで本人確認を行えば、なりすまし防止と連絡先の確認を同時に行うことができます。
また、コンサートやイベントチケット、人気商品の抽選販売における重複応募の防止にも最適です。実在の電話番号登録を義務付けることで、一人の顧客が大量に応募することを防げます。
「大規模イベントの重複応募防止策として他社の電話発信認証が使われたことがありますが、発売日にアクセスが殺到して電話がつながらないことがありました。TELEOは通話を行わないため回線への負荷が軽く、こうした問題は発生しにくいと言えます」(山口氏)
そのほか、チャットボット経由の問い合わせをオペレーターに引き継ぐ際、TELEOによる認証を挟むことで顧客情報をスムーズにオペレーターへ連携する、端末変更時の生体認証の再登録を行う前にTELEOで事前に認証を行うなどの応用が可能です。
豊富な経験と蓄積を活かし多様な認証手段用いた新たな価値を提供
TELEOを使って現在開発中のサービスに、「銀行の窓口業務のペーパーレス化」があります。これはTELEOによる認証と電子署名を組み合わせて紙の書類とハンコを代替するものです。
「書類にハンコを押す代わりにTELEOで認証します。そしてTELEOの認証ログを電子申込書に埋め込み、これに電子署名を行うことで、本人が記入したことと、その後に改ざんされていないことを証明できます」(山口氏)
MDISでは様々な認証技術を組み合わせて顧客に新たな価値を提供することを考えています。
今後の認証サービスの展開について、大江氏は次のように語ります。
「認証には『記憶』『所持』『生体情報』の3種類の要素があります。電話番号を使ったTELEOはこの中の『所持』に相当します。MDISにはさらに第4の要素として個人の行動パターンを使った『ライフスタイル認証』という技術もあります。将来的には、こうした幅広い認証技術をクラウドで提供し、利用者の状況に応じて適切な組み合わせを選択できる、統合認証サービスを提供していきます」
この記事について:
この記事は、情報誌「MELTOPIA」(No.255)に掲載されたものを転載しました。