あなたのサイトにアクセスしている利用者は、本当に正しい利用者ですか?電話番号の価値を変えるオスティアリーズの「着信認証」

社会のデジタル化が進み、これまでオフラインのみで展開されていたサービスも、徐々にオンラインへとシフトしてきている。一方で、多くのWebサイトから個人情報が流出し、それを悪用したなりすましやハッキングによる不正アクセス事件も多発している。もはや、従来のようなIDとパスワードによる個人認証が安全とはいえないのは、読者の皆さんもご存知だろう。

その対抗策として、多くのインターネットサービスではセキュリティ強化を目的とした多要素認証の導入が進んでいる。その中の1つとして注目されているのが、誰もが所有する電話(番号)を利用して本人認証を実現する「着信認証」。サービス事業者が表示する特定の電話番号に発信するだけで本人確認が完了する技術だ。

オスティアリーズ 取締役 事業推進管掌の廣川聡敏氏
オスティアリーズ 事業推進管掌 取締役の廣川聡敏氏

 最近では国際的スポーツイベントのチケット予約サイトでもこの仕組みは採用され多くのサービス事業者で導入が進んでいる。後出にあるチケット販売業者や通信事業者、ポイント管理業者、他(生活インフラ企業、金融業、決済代行業、ECやゲーム配信業、人材関連業、不動産業)と多種多様な業態に採用されている着信認証サービスを展開するオスティアリーズの事業推進管掌取締役である廣川聡敏氏に、インターネットにおける個人認証の現状の課題そして着信認証ならではの利点について話を聞いた。

“誰でも簡単に使える”個人認証の仕組み

——個人認証には、文字列を使った単純なものから特定のツール、デバイスを使ったもの、生体認証まで様々な認証方式が存在しています。その中で、安全で使い勝手のよい個人認証技術が求められていますが、セキュリティを高めるとユーザビリティが下がったり認証コストアップにより事業収支へのインパクトがあり、なかなか決定的なものはないように思われます。それを踏まえたうえで、着信認証とはどのようなメリットがある技術なのか教えてください。

認証技術の特徴
認証技術の特徴

 着信認証は、グローバルでユニークな電話(番号)の発信者番号通知で認証できるという部分が最大の特長です。この技術は当社の独自技術で、日本に留まらず海外でも特許を保有しています。インターネット網に加えて電話網での「二要素認証」かつ「二経路認証」が実現できるので安全性が高く、電話をかけるだけなので誰でも簡単に操作できます。

 導入する企業側からみると専用アプリを開発し拡販したり特別なデバイスを配布することなくクラウドサービスとして導入が可能なので安価(完全従量制)かつ迅速(最短3日)にセキュリティを向上できます。

——どのように認証しているのでしょうか。詳しい仕組みを教えてください。

 例えばインターネットで物を購入したりサービスを受けたりする場合、事前に利用者が会員登録をするサービス事業者が大半です。

  1. 着信認証導入企業のWebサイトに利用者が本人情報を入力
  2. 入力情報の一部である電話番号のみを当社着信認証APIに送信し利用者の電話番号と着信認証専用電話番号帯(050番号)の一つと紐づけると同時に着信認証導入企業に紐づけた050番号をWebサイトに表示
  3. 利用者が登録した電話から発信者番号通知で架電
  4. 当社着信認証サーバで着信(認証)可否を行う
  5. 着信認証導入企業は着信認証可否に合った画面の表示
着信認証の流れ(スマートフォンからの会員登録時)
着信認証の流れ(スマートフォンからの会員登録時)

 これ以外にも、情報変更や金融商品や商品購入の決済をする際などの認証をするタイミングで着信認証APIを呼び出し本人認証を行います。

 金融サービスの特定時間のアクセス集中やECのタイムセールやプロモーション実施に因る秒間何百リクエストの急な利用アクセスにも耐えられる(着信認証サーバや認証用着電電話番号をオートスケールすることにより)ようにシステムを設計しているので、遅延やAPIが落ちるといった障害は過去に一度も起きていません。

SMS認証をはるかに凌ぐ着信認証のメリット

——スマートフォンを使うということでは、最近よく見かけるショートメールを使った「SMS認証」と似ているように感じますが。

 前提として着信認証は利用者が認証の必要な時に架電するアクティブな認証となりますがSMS認証は登録した情報(電話番号)を正としてサービス事業者からワンタイムコードを送付するパッシブな認証で全く異なるものです。SMS認証を導入している企業では、悪意の持った利用者が他人の電話番号を入力することにより第三者へのワンタイムコードの送付を行い、結果的に無駄なコストがかかると同時にSMS認証導入企業のブランドを損ねる事象が増えています。他にもSMS認証は携帯電話とスマートフォンしか対応できませんが、当社のサービスは固定、携帯、PHS、IP電話までと海外を含めた電話番号を持っている人のデバイスをすべてカバーできます。認証手順も、SMS認証の場合メールを開いて、コピーして貼り付けて……というように操作手順が多いですが、着信認証はスマートフォンやブラウザ機能の付いた電話であればタップするだけの1ステップで認証できます。

 悪用・詐称という面でも、SMSでは送信者名を詐称してフィッシングサイトへ誘導することが可能なチャネルでの認証の為、利用者目線で正規のサービス事業者からのSMSか不安になります。価格も当社のサービスは初期費用0円、従量課金制で月間の認証回数が増えるほど安くなる料金体系になっている為、大幅なコスト削減が実現します。

——サービス提供側から電話がかかってくる着信型の認証もありますよね。

 その仕組みはメジャークラウドのサービスにもあるのですが、前出のSMS認証との比較でもお話しましたが第三者が嫌がらせや間違いで他人の携帯番号を入力すると、電話がかかってきてしまうという問題を抱えています。結果的に企業名やサービス名での音声、メール、SMSが届くので多大なコストを掛けて企業ブランド、サービスブランドの棄損やカスタマサポートへのクレーム誘発させることになります。それを理由に当社へ切り替えたケースもあるほどです。このようにサービス事業者からの発信での本人認証だと第三者のいたずらが可能ですが、我々は利用者からの発信の仕組みなので、そのようなことは絶対に起きません。

——広く普及しているSMS認証などと比べて、メリットが多いように感じる着信認証ですが、あまりこの言葉自体を聞くことがないのはなぜでしょうか。

 着信認証という名前がなかなか出てこない理由は不正アクセス対策を外部に委託していることをオープンにしないサービス事業者が多いと考えています。ただ最近では、世界的スポーツイベントに採用されたことで評価され、お声がけいただくケースも増えています。

——では、着信認証は実際にどのような用途で活用されているのでしょうか。

 使い方は色々ありますがシチュエーションでいえば、

  1. 利用者が会員登録をする時
  2. 利用者がログインする時
  3. 利用者が登録情報を変更する時
  4. 利用者が決済やポイント交換をする時
  5. 利用者がID/パスワードやメールアドレスを忘れた時

この5つが主です。それぞれ説明していきます。

 まず、「会員登録をする時」は、ポイントサイトやチケットなど物品販売サービス、キャンペーンなどのプロモーション時での活用が多いですね。1人が大量にアカウント登録することにより、転売可能な物品の大量購入/転売やキャンペーンなどのプロモーションでの不正な友達紹介特典の搾取などに繋がっているため、1利用者1応募と会員登録を厳密化することにより無駄な費用を削減していこうというのが動機となっています。音声発信可能な端末(携帯電話)は契約時に本人確認書類が必要なので大量保有できないため、着信認証を導入することにより、利用者が大量にアカウント登録することを防止できます。

 「ログインする時」は、不正な第三者が不正に入手したID/パスワードなどの情報を元にログインを試みたとしても、着信認証を導入していれば正当な利用者以外が電話をかけることはできないので、不正なログインを防止することができます。また、パスワードリスト攻撃等の機械的な攻撃や特定IPアドレスで大量にログインを試みるアクセスの際など、着信認証を導入してれば利用者のアクセスをストップすることなく不正ログインを防止することができます。

 「登録情報を変更する時」は、登録されている電話番号で認証しないと登録情報が書き換えられないようにすることにより、アカウントの乗っ取り、個人情報の流出を防止できます。

 「決済/ポイント交換」は、不正ログインに起因する不正な決済やポイント交換を防止できると同時に、それにかかる対応コスト削減を安価な認証費用で実現できます。

 「ID/パスワードやメールアドレスを忘れた時」にも有効です。利用者が利用しているサービスサイト毎にID/パスワードに利用できる文字列(英数文字や大・小文字の利用)及び桁数(4桁~無限)は統一されて無い上に任意で決められないケースもあり、結果的に記憶違いや他サービスサイトと混在するケースで利用者に不便や負荷をかけています。現在はパスワードを忘れた際にパラメータ付きのURLを登録メールアドレスに飛ばすという形が多いようですが、メールアドレスの使い分けの管理まで出来ていないケースや、メールが届かないなどWebサイト上での再設定ができず利用を断念することにより機会損失に繋がったり、カスタマーセンターへ問い合わせがくることで対応コストも増加します。そこを電話番号で認証にすることで、自己解決率がメールの再設定手法と比べて5倍以上になり、年間1000万超以上カスタマーサポートのコスト削減に繋がった事例もあります。

チケットぴあやBIGLOBEで大きな成果

——実際にどのような業種で着信認証が採用されているか、公表できる導入事例はありますか。

 まず、社会問題になっているチケット転売問題に取り組まれたのがチケットぴあ様です。チケット購入者の一部会員が会員規約に違反し多重会員登録を行った上で、転売を目的とした不正なチケット購入が発生していました。チケットぴあ様は公正で安心なチケット取引を大切にされている企業様ですので、アーティスト・ファンファーストの公正なチケット販売をシステム面で強化する手法としてチケット不正転売禁止法の施行前に着信認証を導入され、特定の利用者による多重会員登録の防止が実現し結果的にチケットの大量購入の排除、不正転売防止に大きな効果を発揮しているという声をいただいております。

——他のジャンルではいかがでしょう。

 ビッグローブ様は、お客様個々のニーズに応える価値あるサービスの創造を大切にされており、その取り組みの一つとしてID/パスワードの問い合わせ対応で利用者の利便性向上とカスタマーサポートコストの削減を両立されました。従来ID/パスワードを忘れた利用者の多くはBIGLOBEのカスタマーセンターへ電話で問い合わせ、会員証を再発行するケースが多くあったそうです。IDを確認するために数日かかるうえ、対応がセンターの営業時間に限られるなど利用者の都合に沿えるものではなく、カスタマーセンターのリソース負荷や事務処理コストが掛かっていたということでした。

 そこで、すでにグループ会社で導入していた着信認証に着目され、Web上で24時間365日、わずかな時間でID/パスワードを確認することが可能となり、利用者の利便性が向上するとともに低コストかつセキュアに本人確認でき、問い合わせ数や事務処理コストを大幅に削減できたそうです。

——今後新たにアプローチしていきたい業種はありますか。

 現在インターネットを利用していない事業者を探す方が難しくなっています。事業者の人員確保から広告宣伝用のキャンペーン、利用者との商取引やお客様窓口、社員や特定メンバーとの情報の共有といろんな場面で本人確認をされるケースが増えています。その中でもECサイトは不正ログインや不正決済が多く発生しています。電話をかけるだけの簡単な認証により、利便性を担保したままセキュリティを向上できるので、ご導入いただきたい業種ではありますね。あとはフリマアプリなどの多様な商品を扱うCtoCサービスでは、個人間の評価を双方に行う事も含めたトラブルや規約に抵触しそうな商品/商材の出品が起こり得るため、マナー向上やトラブル防止の観点からも着信認証の効果が顕著な業種と捉えています。

多様な業種での着信認証の活用
多様な業種での着信認証の活用

——お話を通じて、LINEなどのチャットツールの登場によってコミュニケーションツールとしては利用頻度が落ちている電話番号が、セキュリティという全く異なる側面で再び価値を発揮するようになってきているのだと強く感じました。

 コミュニケーションルートはIP網などに変わっても、電話番号は残り続けています。やはり国ごとに普及しているサービスや商慣習も異なるため、グローバルに世界と繋がることができ、かつユニークなものは電話番号なのです。認証する際に特定のアプリケーションのダウンロードやデバイスの付与も必要ありません。

 実際、サービス事業者様からアプリケーションのアップデートやOS対応だけでお金がかかるのに、あまり色々なところに対応コストをかけたくないということでご評価いただいている部分もあります。電話は縮小傾向にあるように見えますが、実は誰もが所有している最強の認証基盤なのです。

提供:株式会社 オスティアリーズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年3月31日

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]