クラウド型顔認証は、ID/パスワード、乱数表やワンタイムパスワード(OTP)に比べて操作が容易というだけではない。セキュリティ対策という意味でも、顔認証が果たす役割は大きい。
例えば、昨今急増しているフィッシング詐欺は、ユーザーをフィッシングサイトに誘導し、パスワードや乱数表、OTPを入力させ、その情報を使ってユーザーになりすましてログインするというものだ。
このとき、LIQUID Authの顔認証が追加されるとどうなるか。パスワードやOTPがフィッシングによって抜かれても、振り込みなどの操作の際に顔認証が必要になるため、本人以外は不正操作が行えない。
ドコモ口座事件で話題になった不正銀行口座の問題への対処にもなる。金融機関はマネーロンダリング対策から継続的な顧客確認を求められているが、これは現在のところ厳格に機能していない。罰則がないことに加え、ユーザー側、銀行側ともに手続きがあまりに煩雑になるからだ。しかし、顔認証を顧客確認に利用できれば、銀行口座が不正に他人の手に渡っていないかを「顔」データで容易に確認できる。
さらに昨今増加しているスマホ端末認証のセキュリティ向上にも活用できる。
乱数表やOTPに代わり、徐々に金融機関で増加しているのが端末認証だ。これは、ユーザーのスマホに専用アプリをインストールしてもらい、ログインや取引の際にスマホにプッシュ通知が送られるというもの。ユーザーは、その通知に対して確認ボタンを押すことで、本人による取引であることを確認している。プッシュ通知の際に、端末の指紋認証や顔認証などを加え、認証強度を上げたものはFIDO認証と呼ばれ、注目が高まっている技術だ。
ただしここにも問題はあって、ユーザーのスマホとアカウントを最初にひも付けるときに、不正が起きるリスクが指摘されている。不正犯が手元のスマホとユーザーのアカウントを最初にひも付けてしまったら、その後がいくらセキュアでも不正が起きてしまう。これをひも付け(Bind)問題というが、このときにeKYC時の顔データを使った顔認証を使えば、確かに正しいユーザーのスマホだということが分かるわけだ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング