ブログ記事
ナレッジベース認証(KBA)とは
どれほど垂直統合型のビジネスモデルであっても、ユーザーのID(アイデンティティ)を確認することは機密データを守るために必要不可欠であり、特にフィンテック企業や金融サービス企業にとっては重要です。ナレッジベース認証(KBA)は、IDの盗難と最終損益への悪影響を防ぐ方法の一つです。どのKBAを使用するべきかを把握することは、機密データの取得や利用を目的とした不正アクセスを減らすために役立ちます。しかし、KBAはセキュリティを構成する一要素にすぎません。
KBAとは何か
KBAは、ユーザーがトランザクションを行ったり他のデータにアクセスしたりする前に基本情報(氏名、住所、電話番号など)を提示することを求めます。次に複数のパブリックデータベースでクエリを実行し、提示された情報をデータベース内の共通「ナレッジ(知識)」と照合します。データベースに保存されている情報と合致しない情報を提示した顧客は、セキュリティ上の脅威としてフラグ付けされます。KBAは、バーでお酒を購入する際に身分証明書を提示するのと同じような身元証明方法であると考えると分かりやすいです。タヒチ行きの飛行機に搭乗する際に空港のセキュリティでパスポートを提示するようなものと捉えることもできます。その際に識別子の役割を果たす運転免許証やパスポートの偽造は不可能ではありませんが、物理的な有形の物体であるため困難なことです。反対に、KBAデータはバーチャルであるため、多くの場合簡単にハッキングされる恐れがあります。
KBAだけでは不十分
KBAは、一部のアドオンセキュリティサービスでは効果的ですが、単独で使用しても安全を確保できません。米国商務省の一機関であるアメリカ国立標準技術研究所(NIST)は、性能基準を満たしていないという理由で、KBAを「strong(強固)」から「fair(平均的)」へ格下げしました。なぜでしょうか。
ハッカーは、情報侵害者とは異なり、通常実際のユーザーの認証に用いられる大量のナレッジベースの認証情報にアクセスすることができます。現在では、Google Mapでユーザーの自宅の前にある車の型式、色、メーカー、モデルを確認できます。また、Zillowでユーザーの家の市場価格の履歴、郵便番号、サインオンのための認証情報として使用され得るその他のたくさんの情報を確認できます。ユーザーはこれらの情報を秘密だと思っているにも関わらずです。
フィッシングによって、通常KBAの識別子として使用される以下のような個人識別子が大量にハッカーに流出する可能性もあります。
- 社会保障番号
- 子どもの名前
- 名字
- ペットの名前
- 使用している銀行
- クレジットカード
- 信用スコア
また、マルウェアによって無防備な人のコンピューターに好ましくないトラッキングソフトウェアを仕込まれ、標準的なKBAなどの機密情報が窃取されれば、ハッキングは些細なことでは済まなくなります。遠隔操作によるファイルインクルージョン、SQLインジェクション、その他のさまざまなハッキングの手口を利用し、通常であればデータのセキュリティを確保する役割を担うナレッジベースの識別子につながる情報を奪われる恐れがあります。NISTによると、動的KBAがもたらす新たな指標は、アイデンティティ・エコシステムの全体的な信頼性の向上だけです。
KBAに複数のセキュリティレイヤーを追加
便利な多要素認証をサポートするデバイスによってどのように認証IDの標準化とKBAのセキュリティ強化の両方を実現できるかについて、Fast Identity Online(FIDO)などの団体が説明しています。ナレッジベースのログインの安全性を高めるためには、以下の業界トップクラスのソリューションが役立ちます。
- 単一要素認証(SSO)とコード/PINまたは生体認証インジケーター(指紋、アイ・スキャン、顔認識)などの識別子を併用することにより、セキュリティと信頼性が向上します。それでもハッカーは生体認証情報を複製してデバイスに不正侵入することができますが、生体認証とKBAやSSOを併用すれば、そのタスクを達成するのは難しくなります。
- 多要素認証(2FA、3FA)は、KBAを強化するために役立ちます。ナレッジベースのデータを利用してユーザーに身元を証明させるだけでなく、複数のユーザー名とパスワードでのログインを要求することにより、ハッキングが難しくなります。また、SMSでのトークンリクエストなど、2つ目のログイン情報とパスワードの入力を求めるプッシュ通知を受信できるデバイスを使用することで、セキュリティ・レイヤーを追加することができます。強固な多要素認証システムでは、3つのログイン情報とパスワードを用い、最高レベルのデータセキュリティを確保する場合もあります。
- USBキーは、携帯電話やラップトップなどのデバイスに保存されているデータをハッカーから守るための物理的なバリアです。物理的なデバイスであるUSBサムドライブをセットアップしなければデバイスにアクセスできないようにすれば、SSOパスワードやKBAデータポイントを使用する場合よりもロックを解除するのが難しくなります。また、内蔵のスケジューラーによって、デバイス上のデータにアクセスするためにUSBキーを使用できる1日あたりの回数を制限することもできます。USBキーを紛失、破損、損傷した場合は、別の物理的なキーを確保するまでKBAとパスワード入力によってデータにアクセスできるようにすることができます。
- セキュリティモニタリングも効果的です。強固なKBAシステムを使用すると同時に、データアクセスの試行を24時間年中無休で監視することにより、データハッキングや不正ログインの可能性を把握することができます。セキュリティリスクを軽減するために、認証情報の安全性を確保することも必要不可欠です。
KBAに加えて上記のどの方法を使用しても、データへのアクセス権限を付与する必要のある人物になりすましたハッカーやID窃盗犯がいることに気付く可能性が高まります。そうすれば、セキュリティプロトコルを追加して潜在顧客に別の方法で認証を求めたり、アクセスリクエストを処理できないことを伝えるエラーメッセージを送信して別の方法(フリーダイヤルに問い合わせてデータにアクセスできるようにするなど)を提示したりすることができます。このようなデジタル認証でIDを確認することにより、社外からデータにアクセスする人にとっても社内でデータにアクセスする人にとっても安全なオンラインエクスペリエンスを実現することができます。
まとめ
KBAは適切なユーザーIDを正確に定義するために役立ちますが、他のセキュリティレイヤーと併用する必要があります。KBAにセキュリティツールを追加することでリスクを軽減できますが、ナレッジベース認証とあわせて使用する追加ツールを決めるのは難しい問題です。SailPointが適切な認証プロバイダーとどのように連携しているのかご確認ください。