識別と認証と検証 - 概念の比較
イントロダクション
識別、検証、認証という言葉はしばしば同じ意味で使われることがあります。しかし、Wallarmは、フレームワークや資産を身元詐称や情報漏洩から守るために、これらのプロセスがそれぞれ異なる役割を持つと考えています。本記事では、各概念と本人確認における役割について解説します。
デジタル革命は確かに企業活動に大きな恩恵をもたらしました。事業運営、資源管理、顧客接点、ユーザー体験などが向上した一方で、技術進化に伴いオンラインの安全性に対する懸念も増しています。その結果、オンライン上で信頼を築くのは以前にも増して難しくなっています。
識別とは何か
識別とは、特定の人物であると主張する行為です。例えば、メールアドレスに名前が含まれていたり、図書館カードに名前が印字されていたり、電話で「Robert」と自称するなどの例が挙げられます。
顧客はウェブフォームに名前やメールアドレス、電話番号などの情報を入力することでオンライン上で自分自身を識別します。また、オンラインで靴などの商品を購入する際、クレジットカード情報や請求先住所を入力する場合もあります。Visaなどのカード情報だけで識別できる場合もありますが、これは識別として扱われます。
組織が識別情報だけに頼るというのは、顧客が自発的に提供した情報でなくても、その正確性を疑わないことを意味します。まるで「誰だ」という問いに対し、その返答を無条件に信用するのと同様です。実際、映画のチケットや書籍の購入など、リスクが低い取引ではこれで十分な場合があります。
しかし、ほとんどのオンライン取引においては、識別情報だけでは不十分です。ユーザネームのみでは、パスワードがなければ安全性に欠けます。
そこで、ウェブ上で接続してくる相手が本当に名乗っている人物であるかを確認するため、検証が行われます。
検証とは何か
検証は単に「誰だ」と問うだけではなく、「本当にその通りか」を確認する意味も持ちます。これにより、提供された情報の信頼性が大いに向上します。
本人確認は、アカウント作成や初回登録時に、顧客の名乗る識別情報と実際の本人を結びつけるために実施されるべきです。
検証プロセスの最初の段階では、政府発行の身分証明書がチェックされることが多いです。書類の真正性や信頼性は、データ専門家、先進のツール、自動データ抽出、AIなどを活用して確認され、改ざんの有無も調査されます。
非常に高い確度で本人確認を行うには手間がかかりますが、いくつかの専門機関は、スムーズな初回登録体験を提供するために、不要な障壁を取り除いています。例えば、一般的なオンラインメディアのアカウントでは、名前、メール、ユーザネーム、パスワードの入力のみで済むことが多く、電話番号を付加して整合性を確かめる場合もあります。
もし厳しい基準が求められる場合、知識ベースの検証や信用調査など、より複雑な方法が採用されます。ただし、これらの情報はダークウェブで簡単に見つかるため、信頼性が低下する危険性もあります。結果として、組織は実際の顧客と詐欺師を区別できなくなる可能性があります。
一方、オンラインバンキングの利用時には、政府発行の社会保障番号、写真付きID(パスポートなど)、現住所の証明書の提示が求められます。銀行口座はTikTokアカウントよりもリスクが高いため、検証の基準も厳格になります。金融分野では、架空の口座作成や脱税などの詐欺行為を防ぐため、多くの規制が存在します。従来の検証方法ではこれらの規制に対応が困難なため、組織は顧客の識別情報と生体情報を結び付ける手法へと移行しています。
ガートナーが示す「本人確認と裏付け」とは、生体情報(顔認証、虹彩検査、指紋など)を使い、ビザなどで示される記録と結び付けるプロセスです。これにより、後々の管理が確実に行えるようになります。
認証とは何か
検証は基本的に一度実施されれば済みますが、その後システムや資産にアクセスするたびに、改めて本人確認が必要となります。
たとえば、知っている相手であれば見ただけで認証できる場合もあります。組織は、顧客が主張する通りの人物であり、詐欺師でないことを確認するためのシステムを導入しています。しかし、取引の大部分がオンラインやリモートで行われる現代では、確実な認証がより重要となります。
一般的な認証方法として、ログイン時に顧客がアカウント作成時に登録したパスワードなどの秘密情報を入力する方法が挙げられます。
また、通常のデジタル認証では、顧客は複数の認証要素を提示する必要があり、そのうちの一つは初回登録時にシステムへ登録されています。例えば、メール用の二段階認証はその一例です。
ほとんどのシステムでは、次の3種類の認証要素が利用されます:
- 顧客が知っている情報(例:セキュリティ質問、パスワード)
- 顧客が持っている物(例:IDバッジ、暗号鍵、運転免許証)
- 顧客自身の行動(例:顔認証、生体情報)
使用する要素の数や質によって、認証の堅牢性が決まります。例えば、カジュアルな組織アカウントではユーザネームとパスワードのみで済むのに対して、銀行では身分証明が必須となります。
知っている情報や持っている物といった初期の2つの認証方法は、データ流出により信頼性が低くなっているため、補完的な手法が必要です。
そのため、最も堅牢なシステムでは多要素認証が採用されています。場合によっては、初回登録時に専門機関が確認した本人情報と生体情報を、現在の本人が提供する手のスキャン(対面の場合)や高解像度セルフィー(リモートの場合)と突き合わせる方法がとられます。
識別と認証と検証 - 何が違うのか
アカウント作成時の最初のステップは識別で、顧客は自分に関する個人情報を提供します。詐欺師は盗んだ情報や偽の情報を使う可能性があり、実際の顧客は正確な情報を提供します。
検証は、提供された情報の正確性を確認する工程です。これにより、基本的な本人確認書類を持たない詐欺師が架空のアカウントを作成するのを防げます。顧客は指紋スキャン、顔認証、運転免許証のコピーなど、本人を証明する証拠の提示を求められる場合があります。
さらに、認証ではサインインのたびに本人確認が行われます。顔認証や指紋スキャンなど、検証と認証の両方で用いられる手法も存在します。動的な情報をもとに、ログイン時の時間、場所、その他の条件に応じて追加の確認が求められることもあります。
FAQ
参考資料
最新情報を購読
