有名企業でさえも不正アクセスによるサイバー攻撃を受けている今の時代、自分たちだけは安全だから関係ないと思う人はもはやいないだろう。それほど不正アクセスは増加の一途をたどっており、それに伴ってパスワード認証システムも複雑化する一方だ。そんな中、パスワードを使わずスマホ画面をタップするだけで本人確認が完了する「着信認証」と電話番号の与信「PSTN」の技術が注目されている。「着信認証」は操作が簡単でセキュリティ強度が高く、コストも低い。「PSTN」は企業間の要注意電話番号情報の連携を実現する新しい仕組みであり、各業界のトップ企業に続々採用されつつあるという。着信認証、PSTNサービスを提供する、株式会社オスティアリーズで取締役 事業推進管掌を務める、廣川聡敏氏に話を伺った。

原点にして最強の本人確認方法「着信認証」

「不正アクセスのない世の中をつくれたら……」。そんな壮大な夢を本気で実現させようとしているのがオスティアリーズだ。同社は電話回線を用いた着信認証システム、電話番号の与信サービスを提供するセキュリティ企業である。2014年設立のベンチャーながら、3年前、東京で開催された巨大スポーツイベントのチケット予約サイトに採用されたことで、広く認知されるようになった。

同社の着信認証システムは「現在、世界90以上の国と地域で認証実績があり、導入企業の総アカウント数は約4億人に達しています」と廣川氏は胸を張る。日本を代表する保険会社やクレジットカード会社、コンビニチェーンベースの銀行といった金融業、ガス会社、私鉄などの生活インフラ企業、チケット販売会社等々、業界の枠を超えて採用が広がっている。

廣川聡敏 株式会社オスティアリーズ 取締役
廣川聡敏(ひろかわ・あきとし)
株式会社オスティアリーズ
取締役 事業推進管掌
ネットワーク系IT企業に新卒入社後、セキュリティ系SIer企業等に勤務。2014年から現職。

ネット上の本人確認は長らくメールアドレスとパスワードによる認証が主流だったが、パスワードの設定条件が複雑化する一方で、パスワード漏洩による不正アクセスは後を絶たない。生体認証や所有物認証は安全度が高いが、導入コストも高い。

SMS認証はユーザーの携帯にショートメールでワンタイムパスワードを送って入力させる。しかし、操作が煩雑な上、携帯電話を持っていないと使えず、「パスワードが届かない」というトラブルも発生するケースがある。また、よく知らない宛先からSMSが届いた経験はないだろうか。SMS自体がフィッシング詐欺の温床になっており、ユーザーが警戒するという問題もあるのだ。

それに対し同じ電話認証の一種である「着信認証」は、画面に表示された認証用の電話番号に、ユーザーが自分の電話から1コールするだけで認証が完了する。スマートフォンであれば1タップするだけでよく、パスワードの登録や入力は不要。シンプルながらもインターネットと電話回線の2経路で認証を行っており、高いセキュリティ強度を持つ。携帯電話を持たない人も固定電話やIP電話で利用可能だ。

着信認証は従量課金制のクラウドサービスで安価なことが特徴だ。オスティアリーズの場合、即日導入可能で小規模なイベントなどにも気軽に利用できるASP版と、大規模な個人認証に対応するAPI版が用意されている。ASP版はクレジットカードの最低チャージ5000円ですぐに実装ができ、API版は認証回数が増えるほど単価が安くなる料金体系で、SMS認証に比べても大幅なコスト削減を実現できることも多い。

要注意ユーザーを事前に特定する「PSTN」

オスティアリーズでは上記に加え、電話番号を用いた与信システム「PSTN(Personal Security Telephonenumber Network)」も開発している。

「PSTNは各企業が把握している要注意ユーザーの電話番号情報を共有し、注意を喚起するシステムで、共有する電話番号を確認するために着信認証とセットで提供しています」と廣川氏は語る。

PSTN導入企業は自社のサービスで規約違反や債務不履行といった不正行為があれば、その電話番号と行為の概要をオスティアリーズが提供する専用の管理ツールに登録する。企業が各社のサイトで着信認証を行うと同時に、その電話番号がPSTNを介して各企業データに照会がかけられ、判定結果が瞬時に照会元に返されるという仕組みだ。

これまで企業は自社サービスの利用履歴のみに頼って不正利用者を排除していたが、自社情報をもとに要注意ユーザーを判定する際には目視チェックなどの工数がかかる。システム化するにも莫大なコストがかかるという課題があり、1社だけでの対策には限界がきていた。PSTNを導入すれば、自社の会員組織の規模に関係なく、各企業が持っている膨大なデータに基づき、各ユーザーの不正の可能性を判定できるようになり、目視チェック工数とシステム構築費用をかける必要もない。

今までは不正ユーザーかどうか分からないままサービスを利用させていたことで、資金流出、情報漏洩が発生し企業対応も後手に回っていたが、PSTNを利用することで事前に不正と疑わしいユーザーを判定することができるため、先手での対応が可能になる。また、国内外問わずPSTNを導入する企業が増加すれば与信精度も向上していくため、安価なコストでより精度の高い与信を行うことが可能となるのだ。

「世界中誰もが持っていて、個人と紐付いている文字列が電話番号です。今後は個人を特定するための認証キーとして活用の幅が広がっていくでしょう。当社は着信認証とPSTNを通じ、世界中の企業が情報を持ち寄り連携することで、『不正ユーザーが入ってこられない世界』の実現を目指しています」と廣川氏は展望を語ってくれた。

これらについて詳しく紹介するホワイトペーパー『電話1コールで本人確認ができる「着信認証」と電話番号で要注意ユーザーを判定する「PSTN」』が、期間限定でダウンロード可能となっている。ネット会員の認証やトラブルに頭を悩ませている企業の方には、ぜひご一読をお勧めしたい。

資料ダウンロードはこちら