• Share via AddThis

ソリューション概要

PSD2に準拠したStrong Customer Authentication(強力な顧客認証)を実現するF5 Distributed Cloudセキュリティ ソリューション

Distributed Cloud Servicesは、サードパーティの決済サービス プロバイダのリスクを緩和するフリクションレスのStrong Customer Authentication(強力な顧客認証)とセキュリティを提供し、カスタマ エクスペリエンスを向上させ、EUの銀行取引を対象としたPSD2指令に準拠します。

ATM WIFIを使用した銀行取引

金融サービスにおけるデジタル トランスフォーメーションによって消費者保護の重要性が高まっている

どの業界も、収益の増大と運用コストと損失の削減を求める圧力が高まっています。金融サービス業界では、オープン バンキングの台頭や、アグリゲータが消費者に提供するメリットによって、デジタル トランスフォーメーションが推進されています。これらのイノベーションは、カスタマ エクスペリエンスを向上させる一方で、攻撃者の標的となり得る攻撃対象も大きくしています。この問題に対処するため、欧州銀行監督局(EBA)は銀行、アグリゲータ、その他の金融サービス プロバイダ間でStrong Customer Authentication(強力な顧客認証、SCA)を行い、消費者を保護することを目的とした決済サービス指令2(PSD2)を発行しました。具体的には、同指令の第4条30項において「Strong Customer Authentication(強力な顧客認証)」の必要性が言及されており、以下のように定義されています。

認証は、知識(パスワード、PIN、パスフレーズ、暗記したスワイプ パス、チャレンジへの応答など、利用者だけが知っているもの)、所有(ハードウェアまたはソフトウェアのトークン ジェネレータ、SMSテキスト、OTPなど、利用者だけが持っているもの)、固有性(生体認証、静脈認識、音声認識、キーストローク分析、心拍など、利用者自身の属性)に分類される2つ以上の要素の利用に基づく認証。これらの要素はある要素の違反が他の要素の信頼性を損なうことがないという意味で、互いから独立しており、認証データの機密性を保護するように設計されています。

サイバー犯罪者が規制に適応して先手を打とうとするなか、消費者によるアプリケーションやAPIへのアクセスや利用に支障をきたすことなく、消費者の安全を確保することが重要です。

多要素認証PSD2の神話:MFA/2FAで十分なのか?

PSD2から明らかなことは、EBAがStrong Customer Authentication(強力な顧客認証)を要求していることです。また、アグリゲータやサードパーティの決済サービス プロバイダ(TPP)は、顧客のアカウントへのアクセスを許可されなければなりません。EBAはコンプライアンスを達成するためにすべきこととして、知識、所有、固有性に分類される2つ以上の要素の利用に基づく認証を概説しています。PSD2では多要素認証や2FAについて明示的に言及していませんが、これらの慣行は企業に最も普及している2つの認証方法であるワンタイム パスワード(OTP)とショート メッセージ サービス(SMS)と同義語になっています。決済サービス プロバイダは認証のすべての段階において、決済サービスのユーザーが使用するパーソナライズされたセキュリティ認証情報と認証コードの機密性と完全性を確保することが不可欠です。しかし、クリア テキストで配信されるSMSメッセージには、既知の脆弱性(ユーザーのデバイスからテキスト メッセージを盗むことを目的としたモバイル マルウェアなど)が内在しています。さらに、Kr3ptoのような巧妙なフィッシング キットにより、経験豊富な脅威アクターはワンタイム パスワードをリアルタイムで傍受することができます。このような証拠から、OTPやSMSだけに頼っている企業は実質的にセキュリティ リスクを抱えており、顧客のアカウントをさらしてしまう可能性があります。Distributed Cloud Servicesは、AI、機械学習、その他の技術を活用したリアルタイムのアプリケーション保護によってSCA要件を補強します。



F5 Distributed CloudプラットフォームはPSD2に準拠したフリクションフリーの顧客認証をどのように実現するのか

F5 Distributed Cloudプラットフォームは、セキュリティ、不正行為対策、IDの各機能において厳密なクロスファンクショナル分析を提供します。セキュリティで保護された3つの認証要素(知識、所有、固有性)をすべて利用することで、より高い忠実性と柔軟性を実現します。欧州銀行監督局は、「固有性要素」を認証の最も注目すべき進歩的な分野として認めています。Distributed Cloud Servicesは、簡単に運用できるWeb、モバイル、APIの包括的な保護を提供することで金融サービス機関がPSD2要件を満たすことができるよう支援します。Distributed Cloudプラットフォームは、あらゆるやり取りを観察して学習することにより、進化する攻撃を自動的に緩和します。それでは次のシナリオの例を見てみましょう。

実際のF5の優れた顧客認証(3要素検証)

  • ステップ1:ユーザーがオンラインのプロパティやアプリケーションにアプローチする。
  • ステップ2:ユーザー名を入力するか、あらかじめ入力されている(ユーザー名はそれだけでは知識要素ではないことに注意してください)
  • ステップ3:ユーザーがパスワードまたはPINを入力する(準拠した知識要素
  • ステップ4:Distributed Cloud Bot DefenseがデバイスIDテレメトリの収集などのパッシブ バイオメトリクスによりランタイムの所有要素検証を実行する
  • ステップ5:Distributed Cloud Bot Defenseが行動バイオメトリクスによりランタイムの固有性要素検証を実行する
  • ステップ6:ユーザーが検証され、煩雑さを増すことなく送金が完了する。

Distributed Cloud Servicesは、OTPとSMS 2FAに加えて行動に関するクロスファンクショナル分析をリアルタイムで行い、PSD2のStrong Customer Authentication(強力な顧客認証)の3つの要素すべてに準拠してユーザーを一括認証し、コンプライアンスの達成、セキュリティの向上、ユーザーの煩雑さの撤廃を実現します。

PSD2に対応したセキュリティ ソリューション

サードパーティ プロバイダとアグリゲータについてセキュリティ チームが知っておくべきこと

PSD2ではイノベーションとオープン バンキングを奨励するため、顧客データへのアクセスをサードパーティ プロバイダ(TPP)に許可することを金融機関に義務付けています。TPPアプリケーションはAPIを介して金融機関に接続し、データを集約し、1つにまとめて可視性を提供します。例えば、口座間で顧客の銀行残高、取引、プロファイルを統合することができます。アプリケーションとAPIのセキュリティは、顧客の期待に応えながらユーザーの情報に対するリスクを緩和し、不正行為を防止するために不可欠です。以下に、アグリゲータがもたらす脅威リスクの例を示します。

アグリゲータへのなりすまし攻撃
ソースと協力関係にあるアグリゲータの多くは、金融機関のサービスへのアクセスを許可されています。攻撃者は、金融機関に対して直接ではなく、アグリゲータに対してクレデンシャル スタッフィングを使用してアカウントを検証することにより、この関係を利用します。

アカウント乗っ取り
ファイナンシャル アグリゲータは、顧客の銀行取引の認証情報(ユーザー名とパスワード)と最大90日分の口座データを保存しているため、攻撃者にとって格好の標的となります。攻撃者は、ユーザー向けのフィンテック アプリケーションを利用して、口座残高を盗んだり、他のオンライン決済システムにアクセスしたりすることができます。

トラフィック負荷の予想外の急増
アグリゲータは金融機関の口座照会のかなりの部分を占めており、1日に数万回も消費者の口座の最新情報を金融機関に問い合わせています。これに顧客数千人を掛けると、金融機関はアグリゲータのトラフィックに対応するためだけに容量を増やさねばならなくなります。

スクリーン スクレイピング
消費者は自らの認証情報をフィンテック アグリゲータに進んで提供し、一方、フィンテック アグリゲータは自動化ツールを使って金融機関のアプリケーションから消費者のデータをクローリングし、スクレイピングします。このようなデータの集約が消費者にとってすぐに認識できるメリットを提供する場合もありますが、一部のアグリゲータがこのデータにアクセスする方法は、データ コンプライアンス規制に違反する可能性があり、最終的には消費者のデータを不正行為にさらすことになる場合があります。

金融機関によるアグリゲータの管理をF5 Distributed Cloud Servicesがどのように支援できるか

F5は、金融機関がアグリゲータを管理し、攻撃を防御するのに役立つ可視性と制御性を提供します。顧客は好きな時に好きな場所で好きなアプリケーションを使って自分のデータに完全にアクセスすることができ、同時にクレデンシャル スタッフィングやアカウント乗っ取り(ATO)のリスクからも保護されます。

認証の可視化
Distributed Cloud Bot Defenseは、すべてのログイン試行を確認し、トラフィックに人間、自動、アグリゲータのラベルを付けます。F5は、金融機関のWebおよびモバイル プロパティでの攻撃をブロックし、さらに攻撃者がアカウント検証のためにアグリゲータを介してクレデンシャル スタッフィングを行うのを検出することもできます。

オンボーディング支援
Distributed Cloud Aggregator Managementでは、アグリゲータがユーザーの金融認証情報を保存せず、ソースとなる金融機関によってサポートされるAPIに切り替えることを推奨しています。F5は金融機関およびアグリゲータと連携してこの移行を行います。

最小権限アクセス
APIを使用すると、Distributed Cloud Servicesはアグリゲータに必要な権限のみに制限することができ、脅威対象を減らすことができます。例えば、トランザクションを読み取り専用アクセスに制限したり、サマリー情報のみに制限したりすることができます。

異常検出
Distributed Cloud Servicesは異常検出を行い金融機関とアグリゲータの両方を支援します。F5は、ヘッドレス ブラウザや手動による不正攻撃など、あらゆる攻撃者のフレームワークのフィンガープリントを取得し、アグリゲータと金融機関の両方をブロックすることも、これらに警告することもできます。

高度なサイバーセキュリティの脅威にF5で取り組む
F5 Distributed Cloud Servicesは、クラス最高レベルのアプリケーション セキュリティと不正防止ソリューションを1つの統合プラットフォームで提供します。F5は、AIによる精度を活用して攻撃トラフィックをリアルタイムで正確に検出するとともに、不正行為を検出して排除します。

詳細については、F5の担当者にお問い合わせいただくか、f5.comをご覧ください。

次のステップ

トライアル版をスタート

無料トライアルでDistributed Cloud Servicesがどのように機能するかをご確認ください。

お問い合わせ

F5の製品とソリューションが、お客様の目標達成をどのように実現するか、ぜひご覧ください。