――対策の一つとして、ワンタイムパスワードなどの追加認証を求める二要素認証を利用するインターネットサービスが増えています。

島津 二要素認証の導入と運用には多額の費用がかかるので、多くのユーザーを抱える事業者でないと採用に踏み切れないのが実情です。仮に二要素認証を用意しても、すぐに突破方法が編み出されて公開されてしまう。そもそも二要素認証を使わないユーザーが日本には多いため、IDとパスワードが漏れると簡単に攻撃を受けてしまいます。

「本人らしさ」を自動で判断

――FraudAlertは、それをどうやって防ぐのでしょう?

島津 FraudAlertは機械学習によって、ユーザーの「本人らしさ」をシステムが完全に自動で判断します。

 例えば、Webサイトのログイン時に使用した端末のOSやブラウザの種類、画面の解像度、ロケーションなどの情報を基に、ユーザーごとのログイン傾向をシステムが割り出す。そして、普段はMacでGoogle Chromeを使い新宿からアクセスするユーザーアカウントで、異なるロケーションやブラウザからログイン試行があると、怪しいと判断する。

――IDとパスワードが合致しても、環境の違いなどから不正を見抜いてログインを許さない。

島津 おっしゃる通りです。

 FraudAlertの判断結果を二要素認証と組み合わせれば、インターネットサービスの使い勝手を損なわずに、高い安全性を維持できるようになります。具体的には、怪しいと判断した時にだけ追加認証を求める。そうすることで、ユーザーはログインのたびに二要素認証する煩わしさから解放されます。

既存の認証技術(IDとパスワード、追加認証)と組み合わせてセキュリティを強化するFraudAlert

 時刻やロケーションを組み合わせて、本人らしさを判断することも可能です。午後2時に普段通り東京からログインを受け付けたユーザーアカウントに対し、午後2時15分に福岡からログインの試行があると、不正アクセスを疑うといった具合です。

――どれくらい情報が集まると、機械学習で本人らしさを見極められるようになるのでしょうか。

島津 各ユーザーのログイン回数が多ければ多いほどより精度の高い判定を実現できますが、通常は2~3回程度のログイン実績があれば十分です。