リスクベース認証システムおよびリスクベース認証方法
【課題】ユーザ毎の属性やトランザクションの属性に応じてリスクレベルの評価結果を変化させて追加認証を実行する判断レベルを変化させることで、柔軟性のある認証方法を実現するリスクベース認証システムを提供する。
【解決手段】ルール分析や行動分析によりアクセスについてのリスクレベルを評価し、評価結果に基づいて認証レベルを変更するリスクベース認証システムであって、リスクベース認証部210と、ユーザ毎の属性に関する情報に基づいてリスクレベルを評価する属性判断部220と、リスクベース認証部210および属性判断部220を含む認証手段を有する多段認証サーバ200と、多段認証サーバ200の各認証手段に対してリスクレベルの評価を依頼してその評価結果を取得するパス判断部121と、取得したリスクレベルの評価結果に基づいて最終的なリスクレベルを評価し、評価結果に基づいて認証レベルを変更する合否判定部122とを有する。
【解決手段】ルール分析や行動分析によりアクセスについてのリスクレベルを評価し、評価結果に基づいて認証レベルを変更するリスクベース認証システムであって、リスクベース認証部210と、ユーザ毎の属性に関する情報に基づいてリスクレベルを評価する属性判断部220と、リスクベース認証部210および属性判断部220を含む認証手段を有する多段認証サーバ200と、多段認証サーバ200の各認証手段に対してリスクレベルの評価を依頼してその評価結果を取得するパス判断部121と、取得したリスクレベルの評価結果に基づいて最終的なリスクレベルを評価し、評価結果に基づいて認証レベルを変更する合否判定部122とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、オンラインシステムなどにおける認証技術に関し、特に、リスクベース認証を行う認証システムおよび認証方法に適用して有効な技術に関するものである。
【背景技術】
【0002】
昨今インターネットなどのネットワークを通じて金融取引や商品購入などの種々のトランザクションをオンラインで実行する機会が増えており、これに伴い、IDやパスワード等の身元情報の盗難やオンライン詐欺などの件数も増えてきている。これに対し、各システムではログイン時やトランザクション処理時におけるユーザの認証を強化するなどしてセキュリティを強化する対策がとられてきた。
【0003】
しかし、全てのユーザやトランザクションについて一律にセキュリティを強化する場合、セキュリティレベルが一部のユーザやトランザクションには不十分なものとなったり、逆に、全てのユーザやトランザクションに十分なセキュリティレベルを確保すると高価となり、また通常のユーザには使いにくいものになったりするなど、セキュリティレベルとユーザビリティに不均衡が生ずるものとなっていた。
【0004】
そこで、現在、ユーザビリティを損ねずに認証強度を上げてセキュリティを強化する手法として、リスクベース認証が注目されている。リスクベース認証とは、アクセスログなどの履歴情報やコンテキスト情報から、ユーザの行動やアクセス環境を解析し、ユーザやトランザクションについてのリスクレベルを評価して、リスクレベルに応じて認証レベルを動的に変更することで、ユーザビリティを維持しつつユーザ認証の確度を高める手法である。
【0005】
例えば、あるユーザが、通常は東京のオフィスから自分の銀行口座にアクセスしている場合に、同じユーザが大阪からこの銀行口座にアクセスしてきた場合は、通常の行動パターンと異なるためリスクレベルが高いと判断して追加の認証を要求したり、また、東京からアクセスがあった5分後にロシアからアクセスしてきたような場合は、通常あり得ないアクセスであり犯罪の可能性が高いとしてトランザクションを拒否したりすることが可能である。また、例えば、通常はWindows(登録商標)を使用しているユーザがMacintosh(登録商標)でアクセスしてきた場合は追加認証を要求するといったことも可能である。
【0006】
追加認証は、トランザクションが詐欺等ではないことを確認するために行う本人確認であり、例えば、オペレータからの電話による本人確認、本人だけが知る情報(生年月日や秘密の質問に対する回答など)の要求など、種々のものがある。
【0007】
追加認証を要求するか否かの判断は、リスクベース認証システムにおいて、ルール分析(詐欺等の疑いの高いアクセスパターンとの比較)、行動分析(ユーザの過去の行動パターンとの比較)などを行った後、ポリシーを適用(ルール分析と行動分析の結果を数値化)することにより行われる。通常のリスクベース認証システムでは、トランザクションのリスク(怪しさ)を、例えば、4段階のレベルや、1〜1000までの数値などによって評価している。
【0008】
上述したリスクベース認証の技術については、例えば、特表2007−514333号公報(特許文献1)などに記載されている。
【特許文献1】特表2007−514333号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかし、従来技術によるリスクベース認証システムでは、ルール分析や行動分析の結果を数値化する際に適用するポリシーは、リスクベース認証システムおよびこれを搭載したオンラインシステムで共通であり柔軟性に欠けている部分がある。すなわち、ユーザ毎の属性(例えば、口座残高など)や、トランザクションの属性(例えば、資金異動を伴うトランザクションであるか否かなど)によって、また、ユーザの希望(「ある条件では認証強度を上げて欲しい」など)によってリスクレベルの評価結果を変化させることはできず、追加認証を実行する判断レベルを変化させることはできない。
【0010】
例えば、口座残高が多いユーザは、口座残高が少ないユーザに比べてより高い認証強度が必要であると考えるであろうし、口座残高に関わらず、一律に高い認証強度を求めるユーザが存在する場合も考えられる。また、残高照会では追加認証はなくても良いが、資金異動の場合は少ない金額でも認証強度を高くしたいと希望する場合も考えられる。
【0011】
そこで本発明の目的は、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させて追加認証を実行する判断レベルを変化させることで、柔軟性のある認証方法を実現するリスクベース認証システムを提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0012】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
【0013】
本発明の代表的な実施の形態によるリスクベース認証システムは、ルール分析や行動分析を行ってユーザからのアクセスについてのリスクレベルを評価するリスクベース認証部と、前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断部と、前記リスクベース認証部および前記属性判断部を含む、前記アクセスについての前記リスクレベルを評価する複数の認証手段を有する多段認証部と、前記多段認証部の前記各認証手段に対して、前記リスクレベルの評価の要求を依頼してその評価結果を取得するパス判断部と、前記パス判断部が取得した前記各リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更する合否判定部とを有することを特徴とするものである。
【発明の効果】
【0014】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0015】
本発明の代表的な実施の形態によれば、リスクベース認証システムにおいて、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させて追加認証を実行する判断レベルを変化させることにより、柔軟性のある認証方法を実現することが可能となる。
【0016】
また、本発明の代表的な実施の形態によれば、ユーザが事前に自分が使用する環境や、環境によって使用可能なアプリケーションおよびその属性などを登録できるようにすることで、複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化することが可能となる。
【発明を実施するための最良の形態】
【0017】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。また、以下においては、本発明の特徴を分かり易くするために、従来の技術と比較して説明する。
【0018】
<概要>
図11は、従来技術によるリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。オンラインシステムは、Web AP(Webアプリケーション)サーバ100、APL(アプリケーション)サーバ300、DB(データベース)サーバ400、リスクベース認証サーバ800、ネットワーク500、クライアント端末600を有する構成となっている。
【0019】
クライアント端末600は、PCや携帯端末等のWebブラウザを有する端末機器であり、インターネット等のネットワーク500を経由してWeb APサーバ100に接続している。
【0020】
Web APサーバ100は、主要機能として認証部110、PL(Presentation Logic)基盤部130、画面制御部140を有するWebサーバである。Web APサーバ100は、クライアント端末600からのログインやトランザクションなどのアクセスに対して、認証部110によりユーザID、パスワードによる認証や、OTP(One Time Password)による認証、Cookie認証などを行い、PL基盤部130の制御によりAPLサーバ300およびDBサーバ400によって業務処理を行って、その結果に基づいて画面制御部140により表示画面を生成してクライアント端末600に応答することにより、トランザクションの処理を実行する。
【0021】
リスクベース認証システムでは、認証部110での認証に加えて、必要に応じてログインやトランザクション処理の際の認証強度を上げてセキュリティを強化するため、リスクベース認証サーバ800によって追加認証の要否の判断を行う。リスクベース認証サーバ800は、一般的に、アクセス元のIPアドレスとブラックリストとを比較してリスクレベルを判断する機能や、ルール分析・行動分析によりリスクレベルを判断する機能などを有しており、これらをそれぞれIPアドレス判定部810、およびルール・行動分析部820として表記している。
【0022】
ここで、IPアドレスのブラックリストとは、例えば、詐欺等の犯罪に利用されたり、コンピュータウィルスの拡散などのセキュリティ上の脅威を発生させたりなど、危険度の高いIPアドレスからなるリストであり、コンピュータやネットワークセキュリティのサービスベンダー等から提供されているものもある。ブラックリストはリスクDB831に格納されている。また、ルール・行動分析部820は、RBA(Risk-Based Authentication) DB832に格納されているユーザ毎のアクセスログなどの履歴情報に基づいて、ルール分析や行動分析を行う。
【0023】
リスクベース認証サーバ800は、IPアドレス判定部810およびルール・行動分析部820での判断結果に対してポリシーを適用して数値化し、トランザクションのリスクレベルを評価する。リスクレベルが所定の閾値よりも高い場合は、ユーザに対してオペレータからの電話による本人確認等の追加認証を要求する。
【0024】
なお、図11において、各サーバの各部は一般的にソフトウェアによって実装される。また、図11の例では、リスクベース認証サーバ800を含む各サーバを独立した機器として図示しているが、その全部または一部が同一の機器に実装されていてもよい。また、リスクベース認証サーバ800の機能は、サービスベンダー等からネットワークを介して提供される場合もある。
【0025】
従来技術によるリスクベース認証システムでは、上述したように、ルール分析や行動分析の結果を数値化する際に適用するポリシーは、リスクベース認証システムおよびこれを搭載したオンラインシステムで共通であり柔軟性に欠けている部分がある。すなわち、ユーザ毎の属性(例えば、口座残高など)や、トランザクションの属性(例えば、資金異動を伴うトランザクションであるか否かなど)によってリスクレベルの評価結果を変化させることはできず、追加認証を実行する判断レベルを変化させることはできない。
【0026】
そこで、本実施の形態のリスクベース認証システムでは、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させる機能を有し、これにより追加認証を実行する判断レベルを変化させることを可能として、柔軟性のある認証方法を実現する。また、ユーザが事前に自分の使用する環境や、環境によって使用可能なトランザクションおよびその属性などを登録できる機能を有し、これにより複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化する。
【0027】
<実施の形態>
以下、本実施の形態のリスクベース認証システムについて説明する。
【0028】
[システム構成]
図1は、本実施の形態のリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。図1に示すリスクベース認証システムでは、図11に示したものに加えて、Web APサーバ100において多段認証接続部120が追加されている。また、リスクベース認証サーバ800の代わりに多段認証部である多段認証サーバ200を有する構成となっている。
【0029】
多段認証サーバ200は、図11におけるリスクベース認証サーバ800が有する機能と同様の機能をリスクベース認証部210として有する。すなわち、図11におけるIPアドレス判定部810、ルール・行動分析部820と、図1におけるIPアドレス判定部211、ルール・行動分析部212は、同様の機能を有する。
【0030】
多段認証サーバ200は、さらに、ユーザ毎の属性やトランザクションの属性等に応じてリスクレベルの評価結果を変化させることを可能とするため、属性判断部220、アプリケーション判断部230の各認証手段を有する。Web APサーバ100の多段認証接続部120は、多段認証サーバ200における認証内容の制御と、リスクレベルの評価および追加認証の要否の判断を行うため、パス判断部121、合否判定部122を有する。
【0031】
多段認証接続部120のパス判断部121は、Web APサーバ100の認証部110での認証に加えてリスクベース認証を行うため、パス判断DB151を参照して、多段認証サーバ200における認証のパス、すなわち、多段認証サーバ200の各認証手段のうちいずれを実行するかを判断し、実行すべき各認証手段に対してリスクレベルの評価を依頼する。なお、このパスはユーザ毎に設定可能であり、パス判断DB151に格納される。
【0032】
多段認証サーバ200の属性判断部220は、ユーザ毎の属性(例えば、口座残高)やユーザの事前登録の内容に応じてリスクレベルを評価し、結果を数値化してパス判断部121に応答する。また、アプリケーション判断部230は、トランザクションの対象のアプリケーション名や、そのアプリケーションで使用するパラメータなど(例えば、資金異動を伴うトランザクションであるか否かや、異動金額など)に応じてリスクレベルを評価し、結果を数値化してパス判断部121に応答する。なお、属性判断部220やアプリケーション判断部230でリスクレベルを評価する条件はユーザ毎に設定可能であり、それぞれ属性判断DB250、APL判断DB260に格納される。
【0033】
本実施の形態の多段認証サーバ200では、IPアドレス判定部211、ルール・行動分析部212、属性判断部220、アプリケーション判断部230の4つの認証手段を有しているが、この4つである必要はなく、この一部を有さないものであってもよいし、さらに追加の認証手段を有していてもよい。
【0034】
多段認証接続部120の合否判定部122は、パス判断部121によって得られた各認証手段でのリスクレベルの評価結果の点数と、各認証手段について設定されている合算時の比率に基づいてリスクレベルの合計点を算出する。この合計点が所定の合格点以上か未満かを判定し、合格点以上であれば合格として、PL基盤部130および画面制御部140により通常の画面遷移を実行する。合格点未満であれば不合格として、追加認証もしくはアクセスの拒否を実行する。なお、各認証手段について設定されている合算時の比率や合格点はユーザ毎に設定可能であり、合否判定DB152に格納されている。
【0035】
このように、本実施の形態のリスクベース認証システムでは、まず、リスクベース認証を行う入口のパス判断の時点で、パス判断DB151により、どの認証手段を実行するか(もしくはどの認証手段の評価結果を全体のリスクレベルの評価の際に用いるか)をユーザ毎にカスタマイズすることができる。また、リスクベース認証についても、リスクベース認証部210による従来のリスクベース認証の手段に加えて、ユーザ属性やトランザクション属性によるリスクレベルの評価を行う属性判断部220、アプリケーション判断部230の認証手段を有し、さらに、属性判断DB250やAPL判断DB260によりリスクレベルを評価する条件をユーザ毎にカスタマイズすることができる。さらに、リスクベース認証の出口の合否判定の時点でも、合否判定DB152により、リスクレベルの合計点の算出方法や合格点をユーザ毎にカスタマイズすることができる。
【0036】
[データ構成]
以下では、図1において示された各DBのデータ構成について説明する。本実施の形態では、テーブル形式の構造で記載しているが、XML(eXtensible Markup Language)におけるようなツリー構造であってもよい。また、実際の格納手段も各種データベースシステムやファイルなど種々の手段をとることができる。
【0037】
図2は、パス判断DB151のデータ構成と具体的なデータの例を示した図である。パス判断DB151は、例えば、ユーザID、通過認証、認証点数のフィールドからなり、ユーザID毎に、リスクベース認証において通過させる認証手段のパス、すなわち、多段認証サーバ200における各認証手段のうちいずれを実行するかを設定しておくテーブルである。通過させる認証手段の種別は通過認証のフィールドに格納される。また、実際に各認証手段を実行し、各認証手段においてリスクレベルが評価された結果の数値が、対応する認証点数のフィールドに格納される。
【0038】
図2の例では、例えば、ユーザID“A10001”のユーザは、リスクベース認証に際して多段認証サーバ200のIPアドレス判定部211と、属性判断部220によるリスクレベルの評価のみを行うように設定されており、各認証の結果の評価点数がそれぞれ100点、30点であったことを示している。なお、初期状態では認証点数のフィールドには値は格納されていない。また、図2の例では通過認証のフィールドのデータを説明の便宜上“IPアドレス判定”等の文言で表記しているが、実装に際しては各認証手段に割り振られたIDなどが設定されていてもよい。
【0039】
図3は、合否判定DB152のデータ構成と具体的なデータの例を示した図である。合否判定DB152は、例えば、ユーザID、認証、合算時比率、合格点のフィールドからなり、ユーザID毎に、各認証手段によるリスクレベルの評価結果に基づいてリスクレベルの合計点を算出して合否判定を行う際のルールを設定しておくテーブルである。ユーザID毎および多段認証サーバ200における全ての認証手段毎に、各認証手段におけるリスクレベルの評価結果の数値を合算して合計点を算出する際に各認証手段の評価数値に乗じられる比率が合算時比率のフィールドに格納される。また、算出された合計点との比較の対象となる基準点、すなわち対象のアクセスに対して認証レベルを変更する基準となる点が合格点のフィールドに格納される。
【0040】
図3の例では、例えば、ユーザID“A10001”のユーザは、リスクレベルの評価数値の合計点を算出する際に、多段認証サーバ200のIPアドレス判定部211、ルール・行動分析部212、属性判断部220、およびアプリケーション判断部230によるリスクレベルの評価結果の数値に対して、それぞれ2、1、3、1を掛けてから合算するように設定されていることを示している。また、合算して得られた合計点が200点以上であれば合格であり、200点未満であれば不合格となるように設定されていることを示している。
【0041】
図4は、リスクDB241のデータ構成と具体的なデータの例を示した図である。リスクDB241は、例えば、IPアドレス、国などのフィールドを含んでおり、IPアドレスのブラックリストの情報などを保持しているテーブルである。リスクDB241は、従来技術のリスクベース認証システムにおいても用いられているものであり、他にも種々の項目のデータを有している場合もあり、本実施の形態のリスクベース認証システムにおいて特に構成を規定する必要があるものではない。
【0042】
図5は、RBA DB242のデータ構成と具体的なデータの例を示した図である。RBA DB242には、例えば、ユーザID、IPアドレス、UserAgent(トランザクションのリクエストメッセージに含まれ、Webブラウザなどの利用環境を識別することができる情報)、アクセス時間などのフィールドが含まれ、クライアント端末600からのアクセスの時間や環境についての履歴情報などを保持しているテーブルである。RBA DB242は、従来技術のリスクベース認証システムにおいても用いられているものであり、他にも種々の項目のデータを有している場合もあり、本実施の形態のリスクベース認証システムにおいて特に構成を規定する必要があるものではない。
【0043】
図6は、属性判断DB250のデータ構成と具体的なデータの例を示した図である。属性判断DB250は、例えば、ユーザID、認証強化申請、海外利用申請、利用国、利用可能APL(アプリケーション)、口座残高認証強化申請、基準口座残高などのフィールドからなり、ユーザID毎に、ユーザ属性(ユーザ自身の属性など)やパラメータ属性(口座残高などのパラメータ)毎に、それぞれの値に応じたリスクレベルの評価条件や認証強化の指定などを設定しておくテーブルである。
【0044】
認証強化申請のフィールドには、ユーザからの申請による事前登録により、属性判断部220でのユーザ毎の属性判断によるリスクレベルの評価結果に対してさらに厳しい評価をするか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、例えば、ユーザ属性による評価結果およびパラメータ属性による評価結果、もしくはその両方の評価結果の数値に対して、一律××点減算したり、××%に圧縮したりすることによって評価結果の数値を低くし、リスクレベルの評価結果を厳しくして認証強度を上げることが可能である。
【0045】
海外利用申請のフィールドには、ユーザからの申請による事前登録により、アプリケーションを海外で利用する可能性があるか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、さらに、利用国、利用可能APLのフィールドに対象の国およびその国で利用することができるアプリケーションの種別が設定される。これにより、例えば、よく出張する国においては一部のサービスのみ利用可能とし、その他の国からのアクセスに対しては拒否するということも可能である。
【0046】
口座残高認証強化申請のフィールドには、ユーザからの申請による事前登録により、口座残高に応じてリスクレベルの評価を行うか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、例えば、図1における顧客DB410に格納されている口座残高が参照され、口座残高に応じたリスクレベルの評価が行われる。このとき、基準口座残高のフィールドに設定された値よりも口座残高が多い場合は、例えば、評価結果の数値に対して××点減算したり、基準口座残高の値との差に応じて××%としたりすることによって評価結果の数値を低くし、リスクレベルの評価結果を厳しくして認証強度を上げることが可能である。
【0047】
図6の例では、例えば、ユーザID“A10001”のユーザは、属性判断部220による評価結果に対してさらに厳しく評価する認証強化申請をしており、また、口座残高1000万円以上の場合は評価結果を厳しくする認証強化申請をしていることを示している。また、ユーザID“A20001”のユーザは、認証強化申請に加えて、海外での利用環境についても申請しており、米国では株式売買および入出金、英国では株式売買のアプリケーションを利用可能としている。また、口座残高500万円以上の場合は評価結果を厳しくする認証強化申請もしていることを示している。なお、図6の例では利用可能APLのフィールドのデータを説明の便宜上“株式売買”等の文言で表記しているが、実装に際しては各アプリケーションに割り振られたIDなどが設定されていてもよい。
【0048】
図7は、APL判断DB260のデータ構成と具体的なデータの例を示した図である。APL判断DB260は、例えば、ユーザID、アプリケーション、パラメータ条件のフィールドからなり、ユーザID毎に、利用するアプリケーション毎のパラメータによるリスクレベルの評価条件を設定しておくテーブルである。
【0049】
アプリケーションのフィールドには、リスクレベルの評価を厳しくする対象のアプリケーション名が設定される。また、パラメータ条件には、対応するアプリケーションを利用する際にリスクレベルの評価を厳しくするパラメータの条件が設定される。図7の例では、例えば、ユーザID“A10001”は、株式売買のアプリケーションを行う際に、売買代金が100万円以上となる場合は評価結果の数値に対して××点減算したり、××%に圧縮したりすることによって評価結果の数値を低くし、リスクレベルの評価を厳しくして認証強度を上げることができる。なお、図7の例ではパラメータ条件フィールドのデータを説明の便宜上“売買代金100万円以上”等の文言で表記しているが、実装に際しては各パラメータに割り振られたIDや、IDを用いた条件式のテンプレートなどが設定されていてもよい。
【0050】
なお、顧客DB410は、APLサーバ300における業務処理において一般的に使用される顧客情報が格納されたDBである。本実施の形態では少なくともユーザIDで特定される顧客の口座残高を有しているものとし、その他のデータ構成についての説明は省略する。
【0051】
パス判断DB151、合否判定DB152、属性判断DB250、APL判断DB260は、ユーザIDをキー項目としており、上述したように、ユーザ毎、さらに属性毎、アプリケーションの種別毎に設定を変更して保持することが可能である。このとき、例えば、あらかじめ各設定について組み合わせを考慮した値を全ユーザに共通の既定値として保持しておき、初期値としてはこれらの値が設定されるようにし、その後、別途実装された専用のアプリケーションによるユーザからの登録・変更操作や、ユーザからの申請に基づくサーバからの登録などにより設定を変更可能としてもよい。また上記既定値についても、システム管理者等による登録・変更操作等により変更可能としてもよい。
【0052】
[処理の流れ]
以下では、本実施の形態のリスクベース認証システムにおける認証処理の流れについて説明する。図8は、図1に示したオンラインシステムのうちリスクベース認証システムに該当する多段認証接続部120および多段認証サーバ200に関する部分のみ抽出し、多段認証サーバ200における各認証手段を全て実行する場合について、その処理の流れの例を示した図である。図中で、各処理および処理の流れは括弧付き数字および実線の矢印で示されており、以下これら各処理について順に内容を説明する。
【0053】
(1)クライアント端末600によるユーザからのアクセス要求が発生すると、Web APサーバ100の認証部110での通常の認証処理が許可された場合は、多段認証接続部120にリスクベース認証が要求される。ユーザからのアクセスはログイン処理だけに限らず、アプリケーションを実行するトランザクション処理など、種々のアクセスについてリスクベース認証を適用することが可能である。
【0054】
(2)パス判断部121は、ユーザからのアクセス要求に含まれるユーザIDをキーとしてパス判断DB151を参照し、実行する(通過させる)認証手段を決定する。すなわち、パス判断DB151から、対象のユーザIDについて、認証点数のフィールドに値が設定されていない(認証をまだ行っていない)エントリに対応する通過認証のフィールドの値を取得する。ここでは、まず“IPアドレス判定”による認証を行うものと判断される。
【0055】
(3)パス判断部121は、多段認証サーバ200のIPアドレス判定部211に対して認証の要求、すなわちリスクレベルの評価の依頼を行う。
【0056】
(4)IPアドレス判定部211は、リスクDB241、RBA DB242を参照して、アクセス環境のIPアドレスおよび国についてのブラックリストによる判定などを行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。
【0057】
(5)パス判断部121は、(4)でIPアドレス判定部211から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当のエントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“ルール・行動分析”による認証を行うものと判断される。
【0058】
(6)パス判断部121は、多段認証サーバ200のルール・行動分析部212に対してリスクレベルの評価の依頼を行う。
【0059】
(7)ルール・行動分析部212は、RBA DB242を参照して、ルール分析および行動分析を行う。すなわち、RBA DB242に格納された当該ユーザのアクセス履歴に基づいて、詐欺等の疑いの高いアクセスパターンとの比較、およびユーザの過去の行動パターンとの比較を行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。
【0060】
(8)(5)の処理と同様に、パス判断部121は、(7)でルール・行動分析部212から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“属性判断”による認証を行うものと判断される。
【0061】
(9)パス判断部121は、多段認証サーバ200の属性判断部220に対してリスクレベルの評価の依頼を行う。
【0062】
(10)属性判断部220は、ユーザIDをキーとして属性判断DB250、顧客DB410などを参照して属性判断によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、属性判断DB250のユーザ毎の設定内容に従って、例えば、口座残高認証強化申請のフィールドが“Y”に設定されている場合は、顧客DB410における口座残高の値と、属性判断DB250の基準口座残高のフィールドの値とを比較し、口座残高が基準口座残高以上である場合は、そうでない場合の評価結果の点数に対して××点減算したり××%に圧縮したりするなどして点数を低くして評価を厳しくすることができる。
【0063】
また、属性判断DB250の海外利用申請のフィールドが“Y”に設定されている場合は、ユーザのアクセス環境の国および対象のアプリケーションが、属性判断DB250の利用国および利用可能APLのフィールドに設定されている国およびアプリケーションに該当する場合は評価結果の点数を高くし、該当しない場合は評価結果の点数を低くして評価を厳しくすることができる。
【0064】
また、属性判断DB250の認証強化申請のフィールドが“Y”に設定されている場合は、属性判断全体の評価結果の点数からさらに××点減算するなどして点数を低くして評価を厳しくすることが可能である。また、これらの条件だけに限らず、他の条件が追加されていてもよい。
【0065】
(11)(5)の処理と同様に、パス判断部121は、(10)で属性判断部220から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“アプリケーション判断”による認証を行うものと判断される。
【0066】
(12)パス判断部121は、多段認証サーバ200のアプリケーション判断部230に対してリスクレベルの評価の依頼を行う。
【0067】
(13)アプリケーション判断部230は、ユーザIDをキーとしてAPL判断DB260を参照して、アプリケーションの種別等によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、APL判断DB260のユーザ毎の設定内容に従って、例えば、当該トランザクションのアプリケーション名やパラメータが、APL判断DB260のアプリケーションやパラメータ条件のフィールドに設定されているもの該当する場合は、該当しない場合の評価結果の点数に対して××点減算したり××%に圧縮したりするなどして点数を低くして評価を厳しくすることができる。
【0068】
これにより、例えば、商品購入の際に実際に「購入」ボタンを押す場合と、商品選択時の画面遷移の場合とで認証強度を変えるなど、必要な場合にのみ認証強度を上げることも可能であり、セキュリティを維持しつつ不要な追加認証を避けることが可能である。
【0069】
(14)(5)の処理と同様に、パス判断部121は、(13)でアプリケーション判断部230から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、全ての認証が終了したものと判断されるため、パス判断DB151に格納された各認証手段についての認証点数を合否判定部122に送る。
【0070】
(15)合否判定部122は、ユーザIDをキーとして合否判定DB152を参照して、パス判断部121から送られた各認証手段についての認証点数に基づいて、リスクレベルの評価結果の合計点を算出し、最終的な合否判定を行う。リスクレベルの評価結果の合計点の算出は、例えば、各認証手段について、合否判定DB152からそれぞれ合算時比率のフィールドの値を取得し、各認証手段についての認証点数に対してそれぞれ対応する合算時比率の値を掛けたものを合算して合計点とすることができる。すなわち、
合計点=
(IPアドレス判定による認証点数×IPアドレス判定の合算時比率)
+(ルール・行動分析による認証点数×ルール・行動分析の合算時比率)
+(属性判断による認証点数×属性判断の合算時比率)
・・・
+(アプリケーション判断による認証点数×アプリケーション判断の合算時比率)
となる。さらに、合否判断DB152から、当該ユーザについての合格点のフィールドの値を取得し、算出した合計点と取得した合格点と比較し、合計点が合格点以上か未満かを判定する。合計点が合格点以上であれば合格とし、合格点未満であれば不合格とする。
【0071】
(16)(15)における合否判定の結果が合格である場合は、Web APサーバ100のPL基盤部130や画面制御部140により通常の画面遷移を行い、クライアント端末600に応答する。(15)における合否判定の結果が不合格である場合は、追加認証による本人確認の実行要求もしくはアクセスの拒否を実行する。
【0072】
[具体例]
以下では、図8における、上述した本実施の形態のリスクベース認証システムにおける認証処理の流れについて、具体的なデータの例を挙げて説明する。各DBの具体的な値は図2〜図7に示した例と同じであるものとし、ユーザID“A10001”のユーザがアクセスしてきたものとする。また、顧客DB410には当該ユーザの口座残高は1500万円として登録されているものとする。
【0073】
(1)多段認証接続部120のパス判断部121は、ユーザID“A10001”のユーザからのアクセスにより、リスクベース認証の要求を受ける。
【0074】
(2)パス判断部121は、ユーザID“A10001”をキーとしてパス判断DB151を参照し、実行する認証手段を決定する。ここでは、まず“IPアドレス判定”による認証を行うものと判断される。
【0075】
(3)パス判断部121は、多段認証サーバ200のIPアドレス判定部211に対してリスクレベルの評価の依頼を行う。
【0076】
(4)IPアドレス判定部211は、リスクDB241、RBA DB242を参照して、アクセス環境のIPアドレスおよび国についてのブラックリストによる判定などを行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。ここでは、リスクレベルの評価結果の数値が100点であったことを示している。
【0077】
(5)パス判断部121は、(4)でIPアドレス判定部211から応答されたリスクレベルの評価結果の数値(100点)をパス判断DB151の該当のエントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“属性判断”による認証を行うものと判断される。
【0078】
(9)パス判断部121は、多段認証サーバ200の属性判断部220に対してリスクレベルの評価の依頼を行う。
【0079】
(10)属性判断部220は、ユーザID“A10001”をキーとして属性判断DB250、顧客DB410などを参照して、属性判断によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、図6の属性判断DB250の例において、ユーザID“A10001”のユーザは口座残高認証強化申請のフィールドの値が“Y”に設定されているため、口座残高についての評価結果を算出して加算する。図6の属性判断DB250の例では、基準口座残高のフィールドが1000万円と設定されているため、口座残高(1500万円)が基準口座残高(1000万円)よりも多いことから、リスクレベルの評価を厳しくするため、通常加算される点数から所定の点数を減算した結果、例えば50点となったものとする。
【0080】
また、認証強化申請のフィールドが“Y”に設定されているため、属性判断全体の評価をさらに厳しくするため、属性判断全体の評価点数(この例では50点)からさらに所定の点数を減算した結果、リスクレベルの評価結果の数値が30点となったことを示している。
【0081】
(14)(5)の処理と同様に、パス判断部121は、(10)で属性判断部220から応答されたリスクレベルの評価結果の数値(30点)をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、全ての認証が終了したものと判断されるため、パス判断DB151に格納された各認証手段についての認証点数を合否判定部122に送る。
【0082】
(15)合否判定部122は、ユーザID“A10001”をキーとして合否判定DB152を参照して、パス判断部121から送られた各認証手段についての認証点数に基づいて、リスクレベルの評価結果の合計点を算出し、最終的な合否判定を行う。ここで、図3の合否判定DB152において、当該ユーザについては、“IPアドレス判定”の合算時比率が2であり、“属性判断”の合算時比率が3であるため、合計点は、
合計点=(100点×2)+(30点×3)=290点
となる。ここで、図3の合否判定DB152において、当該ユーザについては合格点が200点であるため、合格と判定される。
【0083】
(16)(15)における合否判定の結果が合格であるため、Web APサーバ100のPL基盤部130や画面制御部140により通常の画面遷移を行い、クライアント端末600に応答する。
【0084】
なお、本実施の形態のリスクベース認証システムでは、上述した例のように、パス判断DB151の通過認証のフィールドに設定されている認証手段のみを実行し、それ以外の認証手段は行わないように構成しているが、バス判断DB151の設定に関わらずに全ての認証手段について実行し、パス判断DB151の通過認証のフィールドに設定されている認証手段についてのみ、合否判定部122におけるリスクレベルの合計点の算出の際に認証点数の加算対象とする(他の認証手段については、リスクレベルの評価は行うが、合計点の算出には寄与しない)という構成にしてもよい。
【0085】
また、例えば、属性判断部220におけるリスクレベルの評価結果の数値化の際に、属性判断DB250における海外利用申請や口座残高認証強化申請のフィールドの値が“Y”となっている場合のみ、当該項目の評価結果を数値化して加算するように構成しているが、値が“N”となっていた場合は一律に当該項目の評価結果として満点もしくは所定の点数を加算するように構成してもよい。
【0086】
また、各認証手段におけるリスクレベルの評価結果や、合計点についての具体的な算出方法(各条件に対する配点や比率、評価を厳しくする際に減算する点数や圧縮比率、算出式など)は、上述したような例に限らず、種々の方法をとることができることは当然である。また、点数による評価に限らず、レベル等による評価であってもよい。
【0087】
[システム構成の変形例]
以下では、本実施の形態のリスクベース認証システムのシステム構成の変形例について説明する。図9は、図1に示した本実施の形態のリスクベース認証システムを有するオンラインシステムのシステム構成例について概略を示した図である。
【0088】
図9に示す構成では、リスクベース認証システムは多段認証接続部120と多段認証サーバ200から構成され、多段認証接続部120は、パス判断部121と合否判定部122を有し、Web APサーバ100上に配置されている。また、多段認証サーバ200は、リスクベース認証における各認証を行う認証手段を有する多段認証部であり、本実施の形態のリスクベース認証システムでは、リスクベース認証部210および属性判断部220、アプリケーション判断部230を有している。
【0089】
図9に示す構成では、図11に示す従来技術によるリスクベース認証システムに対して、Web APサーバ100とリスクベース認証サーバ800にソフトウェアを新たに配置することによって実現する構成となっている。ここで、多段認証サーバ200においては、例えば、従来技術によるリスクベース認証を行うリスクベース認証部210が製品等のパッケージとして実装されている場合、属性判断部220やアプリケーション判断部230を、リスクベース認証部210を構成するパッケージとは別のソフトウェアとして実装してもよいし、リスクベース認証部210を構成するパッケージ自体の機能拡張という形式で実装してもよい。
【0090】
一方、図10は、図9に示した本実施の形態のリスクベース認証システムを有するオンラインシステムの別のシステム構成例について概略を示した図である。図10に示す構成では、リスクベース認証システムは多段認証サーバ700とリスクベース認証サーバ800から構成され、多段認証サーバ700は、図9に示すパス判断部121、合否判定部122、属性判断部220、アプリケーション判断部230と同等の機能を有するパス判断部710、合否判定部720、属性判断部730、アプリケーション判断部740を有している。
【0091】
図10に示す構成では、リスクベース認証サーバ800は図11に示すものと同じであり、図11に示す従来技術によるリスクベース認証システムに対して、Web APサーバ100とリスクベース認証サーバ800との間に専用の多段認証サーバ700を新たに構築することによって実現する構成となっている。
【0092】
リスクベース認証システムの実装に際しては、図9の例で示したソフトウェアによる実装方式や、図10の例で示した専用サーバによる実装方式、その他の構成によるものなどをシステム環境等により適宜選択して適用することが可能である。
【0093】
以上に説明したように、本実施の形態のリスクベース認証システムによれば、従来技術によるリスクベース認証システムにおけるリスクベース認証に加えて、属性判断部220やアプリケーション判断部230などを有し、ユーザ毎の属性やトランザクションの属性に応じてリスクレベルの評価結果を変化させることが可能である。また、リスクレベルの評価の際の条件をユーザ毎に変更することが可能である。
【0094】
また、リスクベース認証を行う入口の時点で、パス判断DB151により、どの認証を行うかをユーザ毎にカスタマイズすることができ、リスクレベルを評価する認証手段を必要に応じて新たに追加することも容易である。また、リスクベース認証の出口の合否判定の時点で、合否判定の方法をユーザ毎にカスタマイズすることもできる。これらにより、リスクベース認証においてリスクレベルの評価結果をユーザ属性やトランザクション属性、ユーザからの指示などに応じて変化させることができ、柔軟性のあるリスクベース認証を実現することが可能となる。
【0095】
また、本実施の形態のリスクベース認証システムによれば、ユーザが事前に自分が使用する環境や、環境によって使用可能なトランザクションおよびその属性などを登録できるようにすることで、複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化することも可能となる。
【0096】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0097】
本発明は、オンラインシステムなどにおいてリスクベース認証を行う認証システムおよび認証方法に利用可能である。
【図面の簡単な説明】
【0098】
【図1】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。
【図2】本発明の一実施の形態におけるパス判断DBのデータ構成と具体的なデータの例を示した図である。
【図3】本発明の一実施の形態における合否判定DBのデータ構成と具体的なデータの例を示した図である。
【図4】本発明の一実施の形態におけるリスクDBのデータ構成と具体的なデータの例を示した図である。
【図5】本発明の一実施の形態におけるRBA DBのデータ構成と具体的なデータの例を示した図である。
【図6】本発明の一実施の形態における属性判断DBのデータ構成と具体的なデータの例を示した図である。
【図7】本発明の一実施の形態におけるAPL判断DBのデータ構成と具体的なデータの例を示した図である。
【図8】本発明の一実施の形態における処理の流れの例を示した図である。
【図9】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムのシステム構成例について概略を示した図である。
【図10】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムの別のシステム構成例について概略を示した図である。
【図11】従来技術によるリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。
【符号の説明】
【0099】
100…Web APサーバ、110…認証部、120…多段認証接続部、121…パス判断部、122…合否判定部、130…PL基盤部、140…画面制御部、151…パス判断DB、152…合否判定DB、200…多段認証サーバ、210…リスクベース認証部、211…IPアドレス判定部、212…ルール・行動分析部、220…属性判断部、230…アプリケーション判断部、241…リスクDB、242…RBA DB、250…属性判断DB、260…APL判断DB、300…APLサーバ、400…DBサーバ、410…顧客DB、500…ネットワーク、600…クライアント端末、
700…多段認証サーバ、710…パス判断部、720…合否判定部、730…属性判断部、740…アプリケーション判断部、800…リスクベース認証サーバ、810…IPアドレス判定部、820…ルール・行動分析部、
831…リスクDB、832…RBA DB。
【技術分野】
【0001】
本発明は、オンラインシステムなどにおける認証技術に関し、特に、リスクベース認証を行う認証システムおよび認証方法に適用して有効な技術に関するものである。
【背景技術】
【0002】
昨今インターネットなどのネットワークを通じて金融取引や商品購入などの種々のトランザクションをオンラインで実行する機会が増えており、これに伴い、IDやパスワード等の身元情報の盗難やオンライン詐欺などの件数も増えてきている。これに対し、各システムではログイン時やトランザクション処理時におけるユーザの認証を強化するなどしてセキュリティを強化する対策がとられてきた。
【0003】
しかし、全てのユーザやトランザクションについて一律にセキュリティを強化する場合、セキュリティレベルが一部のユーザやトランザクションには不十分なものとなったり、逆に、全てのユーザやトランザクションに十分なセキュリティレベルを確保すると高価となり、また通常のユーザには使いにくいものになったりするなど、セキュリティレベルとユーザビリティに不均衡が生ずるものとなっていた。
【0004】
そこで、現在、ユーザビリティを損ねずに認証強度を上げてセキュリティを強化する手法として、リスクベース認証が注目されている。リスクベース認証とは、アクセスログなどの履歴情報やコンテキスト情報から、ユーザの行動やアクセス環境を解析し、ユーザやトランザクションについてのリスクレベルを評価して、リスクレベルに応じて認証レベルを動的に変更することで、ユーザビリティを維持しつつユーザ認証の確度を高める手法である。
【0005】
例えば、あるユーザが、通常は東京のオフィスから自分の銀行口座にアクセスしている場合に、同じユーザが大阪からこの銀行口座にアクセスしてきた場合は、通常の行動パターンと異なるためリスクレベルが高いと判断して追加の認証を要求したり、また、東京からアクセスがあった5分後にロシアからアクセスしてきたような場合は、通常あり得ないアクセスであり犯罪の可能性が高いとしてトランザクションを拒否したりすることが可能である。また、例えば、通常はWindows(登録商標)を使用しているユーザがMacintosh(登録商標)でアクセスしてきた場合は追加認証を要求するといったことも可能である。
【0006】
追加認証は、トランザクションが詐欺等ではないことを確認するために行う本人確認であり、例えば、オペレータからの電話による本人確認、本人だけが知る情報(生年月日や秘密の質問に対する回答など)の要求など、種々のものがある。
【0007】
追加認証を要求するか否かの判断は、リスクベース認証システムにおいて、ルール分析(詐欺等の疑いの高いアクセスパターンとの比較)、行動分析(ユーザの過去の行動パターンとの比較)などを行った後、ポリシーを適用(ルール分析と行動分析の結果を数値化)することにより行われる。通常のリスクベース認証システムでは、トランザクションのリスク(怪しさ)を、例えば、4段階のレベルや、1〜1000までの数値などによって評価している。
【0008】
上述したリスクベース認証の技術については、例えば、特表2007−514333号公報(特許文献1)などに記載されている。
【特許文献1】特表2007−514333号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかし、従来技術によるリスクベース認証システムでは、ルール分析や行動分析の結果を数値化する際に適用するポリシーは、リスクベース認証システムおよびこれを搭載したオンラインシステムで共通であり柔軟性に欠けている部分がある。すなわち、ユーザ毎の属性(例えば、口座残高など)や、トランザクションの属性(例えば、資金異動を伴うトランザクションであるか否かなど)によって、また、ユーザの希望(「ある条件では認証強度を上げて欲しい」など)によってリスクレベルの評価結果を変化させることはできず、追加認証を実行する判断レベルを変化させることはできない。
【0010】
例えば、口座残高が多いユーザは、口座残高が少ないユーザに比べてより高い認証強度が必要であると考えるであろうし、口座残高に関わらず、一律に高い認証強度を求めるユーザが存在する場合も考えられる。また、残高照会では追加認証はなくても良いが、資金異動の場合は少ない金額でも認証強度を高くしたいと希望する場合も考えられる。
【0011】
そこで本発明の目的は、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させて追加認証を実行する判断レベルを変化させることで、柔軟性のある認証方法を実現するリスクベース認証システムを提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0012】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
【0013】
本発明の代表的な実施の形態によるリスクベース認証システムは、ルール分析や行動分析を行ってユーザからのアクセスについてのリスクレベルを評価するリスクベース認証部と、前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断部と、前記リスクベース認証部および前記属性判断部を含む、前記アクセスについての前記リスクレベルを評価する複数の認証手段を有する多段認証部と、前記多段認証部の前記各認証手段に対して、前記リスクレベルの評価の要求を依頼してその評価結果を取得するパス判断部と、前記パス判断部が取得した前記各リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更する合否判定部とを有することを特徴とするものである。
【発明の効果】
【0014】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0015】
本発明の代表的な実施の形態によれば、リスクベース認証システムにおいて、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させて追加認証を実行する判断レベルを変化させることにより、柔軟性のある認証方法を実現することが可能となる。
【0016】
また、本発明の代表的な実施の形態によれば、ユーザが事前に自分が使用する環境や、環境によって使用可能なアプリケーションおよびその属性などを登録できるようにすることで、複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化することが可能となる。
【発明を実施するための最良の形態】
【0017】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。また、以下においては、本発明の特徴を分かり易くするために、従来の技術と比較して説明する。
【0018】
<概要>
図11は、従来技術によるリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。オンラインシステムは、Web AP(Webアプリケーション)サーバ100、APL(アプリケーション)サーバ300、DB(データベース)サーバ400、リスクベース認証サーバ800、ネットワーク500、クライアント端末600を有する構成となっている。
【0019】
クライアント端末600は、PCや携帯端末等のWebブラウザを有する端末機器であり、インターネット等のネットワーク500を経由してWeb APサーバ100に接続している。
【0020】
Web APサーバ100は、主要機能として認証部110、PL(Presentation Logic)基盤部130、画面制御部140を有するWebサーバである。Web APサーバ100は、クライアント端末600からのログインやトランザクションなどのアクセスに対して、認証部110によりユーザID、パスワードによる認証や、OTP(One Time Password)による認証、Cookie認証などを行い、PL基盤部130の制御によりAPLサーバ300およびDBサーバ400によって業務処理を行って、その結果に基づいて画面制御部140により表示画面を生成してクライアント端末600に応答することにより、トランザクションの処理を実行する。
【0021】
リスクベース認証システムでは、認証部110での認証に加えて、必要に応じてログインやトランザクション処理の際の認証強度を上げてセキュリティを強化するため、リスクベース認証サーバ800によって追加認証の要否の判断を行う。リスクベース認証サーバ800は、一般的に、アクセス元のIPアドレスとブラックリストとを比較してリスクレベルを判断する機能や、ルール分析・行動分析によりリスクレベルを判断する機能などを有しており、これらをそれぞれIPアドレス判定部810、およびルール・行動分析部820として表記している。
【0022】
ここで、IPアドレスのブラックリストとは、例えば、詐欺等の犯罪に利用されたり、コンピュータウィルスの拡散などのセキュリティ上の脅威を発生させたりなど、危険度の高いIPアドレスからなるリストであり、コンピュータやネットワークセキュリティのサービスベンダー等から提供されているものもある。ブラックリストはリスクDB831に格納されている。また、ルール・行動分析部820は、RBA(Risk-Based Authentication) DB832に格納されているユーザ毎のアクセスログなどの履歴情報に基づいて、ルール分析や行動分析を行う。
【0023】
リスクベース認証サーバ800は、IPアドレス判定部810およびルール・行動分析部820での判断結果に対してポリシーを適用して数値化し、トランザクションのリスクレベルを評価する。リスクレベルが所定の閾値よりも高い場合は、ユーザに対してオペレータからの電話による本人確認等の追加認証を要求する。
【0024】
なお、図11において、各サーバの各部は一般的にソフトウェアによって実装される。また、図11の例では、リスクベース認証サーバ800を含む各サーバを独立した機器として図示しているが、その全部または一部が同一の機器に実装されていてもよい。また、リスクベース認証サーバ800の機能は、サービスベンダー等からネットワークを介して提供される場合もある。
【0025】
従来技術によるリスクベース認証システムでは、上述したように、ルール分析や行動分析の結果を数値化する際に適用するポリシーは、リスクベース認証システムおよびこれを搭載したオンラインシステムで共通であり柔軟性に欠けている部分がある。すなわち、ユーザ毎の属性(例えば、口座残高など)や、トランザクションの属性(例えば、資金異動を伴うトランザクションであるか否かなど)によってリスクレベルの評価結果を変化させることはできず、追加認証を実行する判断レベルを変化させることはできない。
【0026】
そこで、本実施の形態のリスクベース認証システムでは、ユーザ毎の属性やトランザクションの属性、ユーザからの指示などに応じてリスクレベルの評価結果を変化させる機能を有し、これにより追加認証を実行する判断レベルを変化させることを可能として、柔軟性のある認証方法を実現する。また、ユーザが事前に自分の使用する環境や、環境によって使用可能なトランザクションおよびその属性などを登録できる機能を有し、これにより複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化する。
【0027】
<実施の形態>
以下、本実施の形態のリスクベース認証システムについて説明する。
【0028】
[システム構成]
図1は、本実施の形態のリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。図1に示すリスクベース認証システムでは、図11に示したものに加えて、Web APサーバ100において多段認証接続部120が追加されている。また、リスクベース認証サーバ800の代わりに多段認証部である多段認証サーバ200を有する構成となっている。
【0029】
多段認証サーバ200は、図11におけるリスクベース認証サーバ800が有する機能と同様の機能をリスクベース認証部210として有する。すなわち、図11におけるIPアドレス判定部810、ルール・行動分析部820と、図1におけるIPアドレス判定部211、ルール・行動分析部212は、同様の機能を有する。
【0030】
多段認証サーバ200は、さらに、ユーザ毎の属性やトランザクションの属性等に応じてリスクレベルの評価結果を変化させることを可能とするため、属性判断部220、アプリケーション判断部230の各認証手段を有する。Web APサーバ100の多段認証接続部120は、多段認証サーバ200における認証内容の制御と、リスクレベルの評価および追加認証の要否の判断を行うため、パス判断部121、合否判定部122を有する。
【0031】
多段認証接続部120のパス判断部121は、Web APサーバ100の認証部110での認証に加えてリスクベース認証を行うため、パス判断DB151を参照して、多段認証サーバ200における認証のパス、すなわち、多段認証サーバ200の各認証手段のうちいずれを実行するかを判断し、実行すべき各認証手段に対してリスクレベルの評価を依頼する。なお、このパスはユーザ毎に設定可能であり、パス判断DB151に格納される。
【0032】
多段認証サーバ200の属性判断部220は、ユーザ毎の属性(例えば、口座残高)やユーザの事前登録の内容に応じてリスクレベルを評価し、結果を数値化してパス判断部121に応答する。また、アプリケーション判断部230は、トランザクションの対象のアプリケーション名や、そのアプリケーションで使用するパラメータなど(例えば、資金異動を伴うトランザクションであるか否かや、異動金額など)に応じてリスクレベルを評価し、結果を数値化してパス判断部121に応答する。なお、属性判断部220やアプリケーション判断部230でリスクレベルを評価する条件はユーザ毎に設定可能であり、それぞれ属性判断DB250、APL判断DB260に格納される。
【0033】
本実施の形態の多段認証サーバ200では、IPアドレス判定部211、ルール・行動分析部212、属性判断部220、アプリケーション判断部230の4つの認証手段を有しているが、この4つである必要はなく、この一部を有さないものであってもよいし、さらに追加の認証手段を有していてもよい。
【0034】
多段認証接続部120の合否判定部122は、パス判断部121によって得られた各認証手段でのリスクレベルの評価結果の点数と、各認証手段について設定されている合算時の比率に基づいてリスクレベルの合計点を算出する。この合計点が所定の合格点以上か未満かを判定し、合格点以上であれば合格として、PL基盤部130および画面制御部140により通常の画面遷移を実行する。合格点未満であれば不合格として、追加認証もしくはアクセスの拒否を実行する。なお、各認証手段について設定されている合算時の比率や合格点はユーザ毎に設定可能であり、合否判定DB152に格納されている。
【0035】
このように、本実施の形態のリスクベース認証システムでは、まず、リスクベース認証を行う入口のパス判断の時点で、パス判断DB151により、どの認証手段を実行するか(もしくはどの認証手段の評価結果を全体のリスクレベルの評価の際に用いるか)をユーザ毎にカスタマイズすることができる。また、リスクベース認証についても、リスクベース認証部210による従来のリスクベース認証の手段に加えて、ユーザ属性やトランザクション属性によるリスクレベルの評価を行う属性判断部220、アプリケーション判断部230の認証手段を有し、さらに、属性判断DB250やAPL判断DB260によりリスクレベルを評価する条件をユーザ毎にカスタマイズすることができる。さらに、リスクベース認証の出口の合否判定の時点でも、合否判定DB152により、リスクレベルの合計点の算出方法や合格点をユーザ毎にカスタマイズすることができる。
【0036】
[データ構成]
以下では、図1において示された各DBのデータ構成について説明する。本実施の形態では、テーブル形式の構造で記載しているが、XML(eXtensible Markup Language)におけるようなツリー構造であってもよい。また、実際の格納手段も各種データベースシステムやファイルなど種々の手段をとることができる。
【0037】
図2は、パス判断DB151のデータ構成と具体的なデータの例を示した図である。パス判断DB151は、例えば、ユーザID、通過認証、認証点数のフィールドからなり、ユーザID毎に、リスクベース認証において通過させる認証手段のパス、すなわち、多段認証サーバ200における各認証手段のうちいずれを実行するかを設定しておくテーブルである。通過させる認証手段の種別は通過認証のフィールドに格納される。また、実際に各認証手段を実行し、各認証手段においてリスクレベルが評価された結果の数値が、対応する認証点数のフィールドに格納される。
【0038】
図2の例では、例えば、ユーザID“A10001”のユーザは、リスクベース認証に際して多段認証サーバ200のIPアドレス判定部211と、属性判断部220によるリスクレベルの評価のみを行うように設定されており、各認証の結果の評価点数がそれぞれ100点、30点であったことを示している。なお、初期状態では認証点数のフィールドには値は格納されていない。また、図2の例では通過認証のフィールドのデータを説明の便宜上“IPアドレス判定”等の文言で表記しているが、実装に際しては各認証手段に割り振られたIDなどが設定されていてもよい。
【0039】
図3は、合否判定DB152のデータ構成と具体的なデータの例を示した図である。合否判定DB152は、例えば、ユーザID、認証、合算時比率、合格点のフィールドからなり、ユーザID毎に、各認証手段によるリスクレベルの評価結果に基づいてリスクレベルの合計点を算出して合否判定を行う際のルールを設定しておくテーブルである。ユーザID毎および多段認証サーバ200における全ての認証手段毎に、各認証手段におけるリスクレベルの評価結果の数値を合算して合計点を算出する際に各認証手段の評価数値に乗じられる比率が合算時比率のフィールドに格納される。また、算出された合計点との比較の対象となる基準点、すなわち対象のアクセスに対して認証レベルを変更する基準となる点が合格点のフィールドに格納される。
【0040】
図3の例では、例えば、ユーザID“A10001”のユーザは、リスクレベルの評価数値の合計点を算出する際に、多段認証サーバ200のIPアドレス判定部211、ルール・行動分析部212、属性判断部220、およびアプリケーション判断部230によるリスクレベルの評価結果の数値に対して、それぞれ2、1、3、1を掛けてから合算するように設定されていることを示している。また、合算して得られた合計点が200点以上であれば合格であり、200点未満であれば不合格となるように設定されていることを示している。
【0041】
図4は、リスクDB241のデータ構成と具体的なデータの例を示した図である。リスクDB241は、例えば、IPアドレス、国などのフィールドを含んでおり、IPアドレスのブラックリストの情報などを保持しているテーブルである。リスクDB241は、従来技術のリスクベース認証システムにおいても用いられているものであり、他にも種々の項目のデータを有している場合もあり、本実施の形態のリスクベース認証システムにおいて特に構成を規定する必要があるものではない。
【0042】
図5は、RBA DB242のデータ構成と具体的なデータの例を示した図である。RBA DB242には、例えば、ユーザID、IPアドレス、UserAgent(トランザクションのリクエストメッセージに含まれ、Webブラウザなどの利用環境を識別することができる情報)、アクセス時間などのフィールドが含まれ、クライアント端末600からのアクセスの時間や環境についての履歴情報などを保持しているテーブルである。RBA DB242は、従来技術のリスクベース認証システムにおいても用いられているものであり、他にも種々の項目のデータを有している場合もあり、本実施の形態のリスクベース認証システムにおいて特に構成を規定する必要があるものではない。
【0043】
図6は、属性判断DB250のデータ構成と具体的なデータの例を示した図である。属性判断DB250は、例えば、ユーザID、認証強化申請、海外利用申請、利用国、利用可能APL(アプリケーション)、口座残高認証強化申請、基準口座残高などのフィールドからなり、ユーザID毎に、ユーザ属性(ユーザ自身の属性など)やパラメータ属性(口座残高などのパラメータ)毎に、それぞれの値に応じたリスクレベルの評価条件や認証強化の指定などを設定しておくテーブルである。
【0044】
認証強化申請のフィールドには、ユーザからの申請による事前登録により、属性判断部220でのユーザ毎の属性判断によるリスクレベルの評価結果に対してさらに厳しい評価をするか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、例えば、ユーザ属性による評価結果およびパラメータ属性による評価結果、もしくはその両方の評価結果の数値に対して、一律××点減算したり、××%に圧縮したりすることによって評価結果の数値を低くし、リスクレベルの評価結果を厳しくして認証強度を上げることが可能である。
【0045】
海外利用申請のフィールドには、ユーザからの申請による事前登録により、アプリケーションを海外で利用する可能性があるか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、さらに、利用国、利用可能APLのフィールドに対象の国およびその国で利用することができるアプリケーションの種別が設定される。これにより、例えば、よく出張する国においては一部のサービスのみ利用可能とし、その他の国からのアクセスに対しては拒否するということも可能である。
【0046】
口座残高認証強化申請のフィールドには、ユーザからの申請による事前登録により、口座残高に応じてリスクレベルの評価を行うか否かを指定するフラグが設定される。このフラグが“Y”になっている場合は、例えば、図1における顧客DB410に格納されている口座残高が参照され、口座残高に応じたリスクレベルの評価が行われる。このとき、基準口座残高のフィールドに設定された値よりも口座残高が多い場合は、例えば、評価結果の数値に対して××点減算したり、基準口座残高の値との差に応じて××%としたりすることによって評価結果の数値を低くし、リスクレベルの評価結果を厳しくして認証強度を上げることが可能である。
【0047】
図6の例では、例えば、ユーザID“A10001”のユーザは、属性判断部220による評価結果に対してさらに厳しく評価する認証強化申請をしており、また、口座残高1000万円以上の場合は評価結果を厳しくする認証強化申請をしていることを示している。また、ユーザID“A20001”のユーザは、認証強化申請に加えて、海外での利用環境についても申請しており、米国では株式売買および入出金、英国では株式売買のアプリケーションを利用可能としている。また、口座残高500万円以上の場合は評価結果を厳しくする認証強化申請もしていることを示している。なお、図6の例では利用可能APLのフィールドのデータを説明の便宜上“株式売買”等の文言で表記しているが、実装に際しては各アプリケーションに割り振られたIDなどが設定されていてもよい。
【0048】
図7は、APL判断DB260のデータ構成と具体的なデータの例を示した図である。APL判断DB260は、例えば、ユーザID、アプリケーション、パラメータ条件のフィールドからなり、ユーザID毎に、利用するアプリケーション毎のパラメータによるリスクレベルの評価条件を設定しておくテーブルである。
【0049】
アプリケーションのフィールドには、リスクレベルの評価を厳しくする対象のアプリケーション名が設定される。また、パラメータ条件には、対応するアプリケーションを利用する際にリスクレベルの評価を厳しくするパラメータの条件が設定される。図7の例では、例えば、ユーザID“A10001”は、株式売買のアプリケーションを行う際に、売買代金が100万円以上となる場合は評価結果の数値に対して××点減算したり、××%に圧縮したりすることによって評価結果の数値を低くし、リスクレベルの評価を厳しくして認証強度を上げることができる。なお、図7の例ではパラメータ条件フィールドのデータを説明の便宜上“売買代金100万円以上”等の文言で表記しているが、実装に際しては各パラメータに割り振られたIDや、IDを用いた条件式のテンプレートなどが設定されていてもよい。
【0050】
なお、顧客DB410は、APLサーバ300における業務処理において一般的に使用される顧客情報が格納されたDBである。本実施の形態では少なくともユーザIDで特定される顧客の口座残高を有しているものとし、その他のデータ構成についての説明は省略する。
【0051】
パス判断DB151、合否判定DB152、属性判断DB250、APL判断DB260は、ユーザIDをキー項目としており、上述したように、ユーザ毎、さらに属性毎、アプリケーションの種別毎に設定を変更して保持することが可能である。このとき、例えば、あらかじめ各設定について組み合わせを考慮した値を全ユーザに共通の既定値として保持しておき、初期値としてはこれらの値が設定されるようにし、その後、別途実装された専用のアプリケーションによるユーザからの登録・変更操作や、ユーザからの申請に基づくサーバからの登録などにより設定を変更可能としてもよい。また上記既定値についても、システム管理者等による登録・変更操作等により変更可能としてもよい。
【0052】
[処理の流れ]
以下では、本実施の形態のリスクベース認証システムにおける認証処理の流れについて説明する。図8は、図1に示したオンラインシステムのうちリスクベース認証システムに該当する多段認証接続部120および多段認証サーバ200に関する部分のみ抽出し、多段認証サーバ200における各認証手段を全て実行する場合について、その処理の流れの例を示した図である。図中で、各処理および処理の流れは括弧付き数字および実線の矢印で示されており、以下これら各処理について順に内容を説明する。
【0053】
(1)クライアント端末600によるユーザからのアクセス要求が発生すると、Web APサーバ100の認証部110での通常の認証処理が許可された場合は、多段認証接続部120にリスクベース認証が要求される。ユーザからのアクセスはログイン処理だけに限らず、アプリケーションを実行するトランザクション処理など、種々のアクセスについてリスクベース認証を適用することが可能である。
【0054】
(2)パス判断部121は、ユーザからのアクセス要求に含まれるユーザIDをキーとしてパス判断DB151を参照し、実行する(通過させる)認証手段を決定する。すなわち、パス判断DB151から、対象のユーザIDについて、認証点数のフィールドに値が設定されていない(認証をまだ行っていない)エントリに対応する通過認証のフィールドの値を取得する。ここでは、まず“IPアドレス判定”による認証を行うものと判断される。
【0055】
(3)パス判断部121は、多段認証サーバ200のIPアドレス判定部211に対して認証の要求、すなわちリスクレベルの評価の依頼を行う。
【0056】
(4)IPアドレス判定部211は、リスクDB241、RBA DB242を参照して、アクセス環境のIPアドレスおよび国についてのブラックリストによる判定などを行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。
【0057】
(5)パス判断部121は、(4)でIPアドレス判定部211から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当のエントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“ルール・行動分析”による認証を行うものと判断される。
【0058】
(6)パス判断部121は、多段認証サーバ200のルール・行動分析部212に対してリスクレベルの評価の依頼を行う。
【0059】
(7)ルール・行動分析部212は、RBA DB242を参照して、ルール分析および行動分析を行う。すなわち、RBA DB242に格納された当該ユーザのアクセス履歴に基づいて、詐欺等の疑いの高いアクセスパターンとの比較、およびユーザの過去の行動パターンとの比較を行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。
【0060】
(8)(5)の処理と同様に、パス判断部121は、(7)でルール・行動分析部212から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“属性判断”による認証を行うものと判断される。
【0061】
(9)パス判断部121は、多段認証サーバ200の属性判断部220に対してリスクレベルの評価の依頼を行う。
【0062】
(10)属性判断部220は、ユーザIDをキーとして属性判断DB250、顧客DB410などを参照して属性判断によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、属性判断DB250のユーザ毎の設定内容に従って、例えば、口座残高認証強化申請のフィールドが“Y”に設定されている場合は、顧客DB410における口座残高の値と、属性判断DB250の基準口座残高のフィールドの値とを比較し、口座残高が基準口座残高以上である場合は、そうでない場合の評価結果の点数に対して××点減算したり××%に圧縮したりするなどして点数を低くして評価を厳しくすることができる。
【0063】
また、属性判断DB250の海外利用申請のフィールドが“Y”に設定されている場合は、ユーザのアクセス環境の国および対象のアプリケーションが、属性判断DB250の利用国および利用可能APLのフィールドに設定されている国およびアプリケーションに該当する場合は評価結果の点数を高くし、該当しない場合は評価結果の点数を低くして評価を厳しくすることができる。
【0064】
また、属性判断DB250の認証強化申請のフィールドが“Y”に設定されている場合は、属性判断全体の評価結果の点数からさらに××点減算するなどして点数を低くして評価を厳しくすることが可能である。また、これらの条件だけに限らず、他の条件が追加されていてもよい。
【0065】
(11)(5)の処理と同様に、パス判断部121は、(10)で属性判断部220から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“アプリケーション判断”による認証を行うものと判断される。
【0066】
(12)パス判断部121は、多段認証サーバ200のアプリケーション判断部230に対してリスクレベルの評価の依頼を行う。
【0067】
(13)アプリケーション判断部230は、ユーザIDをキーとしてAPL判断DB260を参照して、アプリケーションの種別等によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、APL判断DB260のユーザ毎の設定内容に従って、例えば、当該トランザクションのアプリケーション名やパラメータが、APL判断DB260のアプリケーションやパラメータ条件のフィールドに設定されているもの該当する場合は、該当しない場合の評価結果の点数に対して××点減算したり××%に圧縮したりするなどして点数を低くして評価を厳しくすることができる。
【0068】
これにより、例えば、商品購入の際に実際に「購入」ボタンを押す場合と、商品選択時の画面遷移の場合とで認証強度を変えるなど、必要な場合にのみ認証強度を上げることも可能であり、セキュリティを維持しつつ不要な追加認証を避けることが可能である。
【0069】
(14)(5)の処理と同様に、パス判断部121は、(13)でアプリケーション判断部230から応答されたリスクレベルの評価結果の数値をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、全ての認証が終了したものと判断されるため、パス判断DB151に格納された各認証手段についての認証点数を合否判定部122に送る。
【0070】
(15)合否判定部122は、ユーザIDをキーとして合否判定DB152を参照して、パス判断部121から送られた各認証手段についての認証点数に基づいて、リスクレベルの評価結果の合計点を算出し、最終的な合否判定を行う。リスクレベルの評価結果の合計点の算出は、例えば、各認証手段について、合否判定DB152からそれぞれ合算時比率のフィールドの値を取得し、各認証手段についての認証点数に対してそれぞれ対応する合算時比率の値を掛けたものを合算して合計点とすることができる。すなわち、
合計点=
(IPアドレス判定による認証点数×IPアドレス判定の合算時比率)
+(ルール・行動分析による認証点数×ルール・行動分析の合算時比率)
+(属性判断による認証点数×属性判断の合算時比率)
・・・
+(アプリケーション判断による認証点数×アプリケーション判断の合算時比率)
となる。さらに、合否判断DB152から、当該ユーザについての合格点のフィールドの値を取得し、算出した合計点と取得した合格点と比較し、合計点が合格点以上か未満かを判定する。合計点が合格点以上であれば合格とし、合格点未満であれば不合格とする。
【0071】
(16)(15)における合否判定の結果が合格である場合は、Web APサーバ100のPL基盤部130や画面制御部140により通常の画面遷移を行い、クライアント端末600に応答する。(15)における合否判定の結果が不合格である場合は、追加認証による本人確認の実行要求もしくはアクセスの拒否を実行する。
【0072】
[具体例]
以下では、図8における、上述した本実施の形態のリスクベース認証システムにおける認証処理の流れについて、具体的なデータの例を挙げて説明する。各DBの具体的な値は図2〜図7に示した例と同じであるものとし、ユーザID“A10001”のユーザがアクセスしてきたものとする。また、顧客DB410には当該ユーザの口座残高は1500万円として登録されているものとする。
【0073】
(1)多段認証接続部120のパス判断部121は、ユーザID“A10001”のユーザからのアクセスにより、リスクベース認証の要求を受ける。
【0074】
(2)パス判断部121は、ユーザID“A10001”をキーとしてパス判断DB151を参照し、実行する認証手段を決定する。ここでは、まず“IPアドレス判定”による認証を行うものと判断される。
【0075】
(3)パス判断部121は、多段認証サーバ200のIPアドレス判定部211に対してリスクレベルの評価の依頼を行う。
【0076】
(4)IPアドレス判定部211は、リスクDB241、RBA DB242を参照して、アクセス環境のIPアドレスおよび国についてのブラックリストによる判定などを行い、リスクレベルの評価結果の数値を算出してパス判断部121に応答する。ここでは、リスクレベルの評価結果の数値が100点であったことを示している。
【0077】
(5)パス判断部121は、(4)でIPアドレス判定部211から応答されたリスクレベルの評価結果の数値(100点)をパス判断DB151の該当のエントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、“属性判断”による認証を行うものと判断される。
【0078】
(9)パス判断部121は、多段認証サーバ200の属性判断部220に対してリスクレベルの評価の依頼を行う。
【0079】
(10)属性判断部220は、ユーザID“A10001”をキーとして属性判断DB250、顧客DB410などを参照して、属性判断によるリスクレベルの評価を行い、評価結果の数値を算出してパス判断部121に応答する。ここでは、図6の属性判断DB250の例において、ユーザID“A10001”のユーザは口座残高認証強化申請のフィールドの値が“Y”に設定されているため、口座残高についての評価結果を算出して加算する。図6の属性判断DB250の例では、基準口座残高のフィールドが1000万円と設定されているため、口座残高(1500万円)が基準口座残高(1000万円)よりも多いことから、リスクレベルの評価を厳しくするため、通常加算される点数から所定の点数を減算した結果、例えば50点となったものとする。
【0080】
また、認証強化申請のフィールドが“Y”に設定されているため、属性判断全体の評価をさらに厳しくするため、属性判断全体の評価点数(この例では50点)からさらに所定の点数を減算した結果、リスクレベルの評価結果の数値が30点となったことを示している。
【0081】
(14)(5)の処理と同様に、パス判断部121は、(10)で属性判断部220から応答されたリスクレベルの評価結果の数値(30点)をパス判断DB151の該当エントリの認証点数のフィールドに格納し、(2)と同様の処理を行う。ここでは、全ての認証が終了したものと判断されるため、パス判断DB151に格納された各認証手段についての認証点数を合否判定部122に送る。
【0082】
(15)合否判定部122は、ユーザID“A10001”をキーとして合否判定DB152を参照して、パス判断部121から送られた各認証手段についての認証点数に基づいて、リスクレベルの評価結果の合計点を算出し、最終的な合否判定を行う。ここで、図3の合否判定DB152において、当該ユーザについては、“IPアドレス判定”の合算時比率が2であり、“属性判断”の合算時比率が3であるため、合計点は、
合計点=(100点×2)+(30点×3)=290点
となる。ここで、図3の合否判定DB152において、当該ユーザについては合格点が200点であるため、合格と判定される。
【0083】
(16)(15)における合否判定の結果が合格であるため、Web APサーバ100のPL基盤部130や画面制御部140により通常の画面遷移を行い、クライアント端末600に応答する。
【0084】
なお、本実施の形態のリスクベース認証システムでは、上述した例のように、パス判断DB151の通過認証のフィールドに設定されている認証手段のみを実行し、それ以外の認証手段は行わないように構成しているが、バス判断DB151の設定に関わらずに全ての認証手段について実行し、パス判断DB151の通過認証のフィールドに設定されている認証手段についてのみ、合否判定部122におけるリスクレベルの合計点の算出の際に認証点数の加算対象とする(他の認証手段については、リスクレベルの評価は行うが、合計点の算出には寄与しない)という構成にしてもよい。
【0085】
また、例えば、属性判断部220におけるリスクレベルの評価結果の数値化の際に、属性判断DB250における海外利用申請や口座残高認証強化申請のフィールドの値が“Y”となっている場合のみ、当該項目の評価結果を数値化して加算するように構成しているが、値が“N”となっていた場合は一律に当該項目の評価結果として満点もしくは所定の点数を加算するように構成してもよい。
【0086】
また、各認証手段におけるリスクレベルの評価結果や、合計点についての具体的な算出方法(各条件に対する配点や比率、評価を厳しくする際に減算する点数や圧縮比率、算出式など)は、上述したような例に限らず、種々の方法をとることができることは当然である。また、点数による評価に限らず、レベル等による評価であってもよい。
【0087】
[システム構成の変形例]
以下では、本実施の形態のリスクベース認証システムのシステム構成の変形例について説明する。図9は、図1に示した本実施の形態のリスクベース認証システムを有するオンラインシステムのシステム構成例について概略を示した図である。
【0088】
図9に示す構成では、リスクベース認証システムは多段認証接続部120と多段認証サーバ200から構成され、多段認証接続部120は、パス判断部121と合否判定部122を有し、Web APサーバ100上に配置されている。また、多段認証サーバ200は、リスクベース認証における各認証を行う認証手段を有する多段認証部であり、本実施の形態のリスクベース認証システムでは、リスクベース認証部210および属性判断部220、アプリケーション判断部230を有している。
【0089】
図9に示す構成では、図11に示す従来技術によるリスクベース認証システムに対して、Web APサーバ100とリスクベース認証サーバ800にソフトウェアを新たに配置することによって実現する構成となっている。ここで、多段認証サーバ200においては、例えば、従来技術によるリスクベース認証を行うリスクベース認証部210が製品等のパッケージとして実装されている場合、属性判断部220やアプリケーション判断部230を、リスクベース認証部210を構成するパッケージとは別のソフトウェアとして実装してもよいし、リスクベース認証部210を構成するパッケージ自体の機能拡張という形式で実装してもよい。
【0090】
一方、図10は、図9に示した本実施の形態のリスクベース認証システムを有するオンラインシステムの別のシステム構成例について概略を示した図である。図10に示す構成では、リスクベース認証システムは多段認証サーバ700とリスクベース認証サーバ800から構成され、多段認証サーバ700は、図9に示すパス判断部121、合否判定部122、属性判断部220、アプリケーション判断部230と同等の機能を有するパス判断部710、合否判定部720、属性判断部730、アプリケーション判断部740を有している。
【0091】
図10に示す構成では、リスクベース認証サーバ800は図11に示すものと同じであり、図11に示す従来技術によるリスクベース認証システムに対して、Web APサーバ100とリスクベース認証サーバ800との間に専用の多段認証サーバ700を新たに構築することによって実現する構成となっている。
【0092】
リスクベース認証システムの実装に際しては、図9の例で示したソフトウェアによる実装方式や、図10の例で示した専用サーバによる実装方式、その他の構成によるものなどをシステム環境等により適宜選択して適用することが可能である。
【0093】
以上に説明したように、本実施の形態のリスクベース認証システムによれば、従来技術によるリスクベース認証システムにおけるリスクベース認証に加えて、属性判断部220やアプリケーション判断部230などを有し、ユーザ毎の属性やトランザクションの属性に応じてリスクレベルの評価結果を変化させることが可能である。また、リスクレベルの評価の際の条件をユーザ毎に変更することが可能である。
【0094】
また、リスクベース認証を行う入口の時点で、パス判断DB151により、どの認証を行うかをユーザ毎にカスタマイズすることができ、リスクレベルを評価する認証手段を必要に応じて新たに追加することも容易である。また、リスクベース認証の出口の合否判定の時点で、合否判定の方法をユーザ毎にカスタマイズすることもできる。これらにより、リスクベース認証においてリスクレベルの評価結果をユーザ属性やトランザクション属性、ユーザからの指示などに応じて変化させることができ、柔軟性のあるリスクベース認証を実現することが可能となる。
【0095】
また、本実施の形態のリスクベース認証システムによれば、ユーザが事前に自分が使用する環境や、環境によって使用可能なトランザクションおよびその属性などを登録できるようにすることで、複数の環境から使用するユーザの利便性を高めるとともに、自分が使用しない環境からのアクセスに対する認証を強化することも可能となる。
【0096】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0097】
本発明は、オンラインシステムなどにおいてリスクベース認証を行う認証システムおよび認証方法に利用可能である。
【図面の簡単な説明】
【0098】
【図1】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。
【図2】本発明の一実施の形態におけるパス判断DBのデータ構成と具体的なデータの例を示した図である。
【図3】本発明の一実施の形態における合否判定DBのデータ構成と具体的なデータの例を示した図である。
【図4】本発明の一実施の形態におけるリスクDBのデータ構成と具体的なデータの例を示した図である。
【図5】本発明の一実施の形態におけるRBA DBのデータ構成と具体的なデータの例を示した図である。
【図6】本発明の一実施の形態における属性判断DBのデータ構成と具体的なデータの例を示した図である。
【図7】本発明の一実施の形態におけるAPL判断DBのデータ構成と具体的なデータの例を示した図である。
【図8】本発明の一実施の形態における処理の流れの例を示した図である。
【図9】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムのシステム構成例について概略を示した図である。
【図10】本発明の一実施の形態のリスクベース認証システムを有するオンラインシステムの別のシステム構成例について概略を示した図である。
【図11】従来技術によるリスクベース認証システムを有するオンラインシステムの構成例の概要を示す図である。
【符号の説明】
【0099】
100…Web APサーバ、110…認証部、120…多段認証接続部、121…パス判断部、122…合否判定部、130…PL基盤部、140…画面制御部、151…パス判断DB、152…合否判定DB、200…多段認証サーバ、210…リスクベース認証部、211…IPアドレス判定部、212…ルール・行動分析部、220…属性判断部、230…アプリケーション判断部、241…リスクDB、242…RBA DB、250…属性判断DB、260…APL判断DB、300…APLサーバ、400…DBサーバ、410…顧客DB、500…ネットワーク、600…クライアント端末、
700…多段認証サーバ、710…パス判断部、720…合否判定部、730…属性判断部、740…アプリケーション判断部、800…リスクベース認証サーバ、810…IPアドレス判定部、820…ルール・行動分析部、
831…リスクDB、832…RBA DB。
【特許請求の範囲】
【請求項1】
コンピュータシステムにおいてユーザからのアクセスに対して認証を行う際に、前記ユーザからの過去のアクセスの履歴情報やアクセス元の環境に基づいて、ルール分析や行動分析により前記アクセスについてのリスクレベルを評価し、その評価結果に基づいて前記アクセスに対する認証レベルを変更するリスクベース認証システムであって、
前記ルール分析や前記行動分析を行って前記アクセスについての前記リスクレベルを評価するリスクベース認証部と、
前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断部と、
前記リスクベース認証部および前記属性判断部を含む、前記アクセスについての前記リスクレベルを評価する複数の認証手段を有する多段認証部と、
前記多段認証部の前記各認証手段に対して、前記リスクレベルの評価を依頼してその評価結果を取得するパス判断部と、
前記パス判断部が取得した前記各リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更する合否判定部とを有することを特徴とするリスクベース認証システム。
【請求項2】
請求項1に記載のリスクベース認証システムにおいて、
前記多段認証部は、前記認証手段として、さらに、前記アクセスの対象であるアプリケーションの種別および前記アプリケーションに対するパラメータの情報に基づいて前記アクセスについての前記リスクレベルを評価するアプリケーション判断部を有することを特徴とするリスクベース認証システム。
【請求項3】
請求項1に記載のリスクベース認証システムにおいて、
前記属性判断部における前記リスクレベルを評価する際の条件を、前記ユーザ毎および前記属性毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項4】
請求項2に記載のリスクベース認証システムにおいて、
前記アプリケーション判断部における前記リスクレベルを評価する際の条件を、前記ユーザ毎および前記アプリケーションの種別毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項5】
請求項3または4に記載のリスクベース認証システムにおいて、
前記属性判断部における前記リスクレベルを評価する際の条件、および前記アプリケーション判断部における前記リスクレベルを評価する際の条件の組み合わせについての既定値を事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項6】
請求項1または2に記載のリスクベース認証システムにおいて、
前記パス判断部における前記多段認証部に対して前記リスクレベルの評価の要求を依頼する際の対象となる前記認証手段の種類を、前記ユーザ毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項7】
請求項1または2に記載のリスクベース認証システムにおいて、
前記合否判定部における前記アクセスについての最終的な前記リスクレベルを評価する際の条件および前記アクセスに対する前記認証レベルを変更する基準を、前記ユーザ毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項8】
コンピュータシステムにおいてユーザからのアクセスに対して認証を行う際に、前記ユーザからの過去のアクセスの履歴情報やアクセス元の環境に基づいて、ルール分析や行動分析により前記アクセスについてのリスクレベルを評価し、その評価結果に基づいて前記アクセスに対する認証レベルを変更するリスクベース認証方法であって、
前記コンピュータシステムは、前記ユーザからの前記アクセスを受けた際に、
前記ルール分析や前記行動分析を行って前記アクセスについての前記リスクレベルを評価するリスクベース認証と、
前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断と、
前記アクセスの対象であるアプリケーションの種別および前記アプリケーションに対するパラメータの情報に基づいて前記アクセスについての前記リスクレベルを評価するアプリケーション判断とのうち、
前記ユーザにより事前に設定された条件に基づいて少なくとも1つ以上の認証手順を実行して、前記各認証手順による前記リスクレベルの評価結果を取得し、
前記各認証手順により取得した前記リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更することを特徴とするリスクベース認証方法。
【請求項1】
コンピュータシステムにおいてユーザからのアクセスに対して認証を行う際に、前記ユーザからの過去のアクセスの履歴情報やアクセス元の環境に基づいて、ルール分析や行動分析により前記アクセスについてのリスクレベルを評価し、その評価結果に基づいて前記アクセスに対する認証レベルを変更するリスクベース認証システムであって、
前記ルール分析や前記行動分析を行って前記アクセスについての前記リスクレベルを評価するリスクベース認証部と、
前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断部と、
前記リスクベース認証部および前記属性判断部を含む、前記アクセスについての前記リスクレベルを評価する複数の認証手段を有する多段認証部と、
前記多段認証部の前記各認証手段に対して、前記リスクレベルの評価を依頼してその評価結果を取得するパス判断部と、
前記パス判断部が取得した前記各リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更する合否判定部とを有することを特徴とするリスクベース認証システム。
【請求項2】
請求項1に記載のリスクベース認証システムにおいて、
前記多段認証部は、前記認証手段として、さらに、前記アクセスの対象であるアプリケーションの種別および前記アプリケーションに対するパラメータの情報に基づいて前記アクセスについての前記リスクレベルを評価するアプリケーション判断部を有することを特徴とするリスクベース認証システム。
【請求項3】
請求項1に記載のリスクベース認証システムにおいて、
前記属性判断部における前記リスクレベルを評価する際の条件を、前記ユーザ毎および前記属性毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項4】
請求項2に記載のリスクベース認証システムにおいて、
前記アプリケーション判断部における前記リスクレベルを評価する際の条件を、前記ユーザ毎および前記アプリケーションの種別毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項5】
請求項3または4に記載のリスクベース認証システムにおいて、
前記属性判断部における前記リスクレベルを評価する際の条件、および前記アプリケーション判断部における前記リスクレベルを評価する際の条件の組み合わせについての既定値を事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項6】
請求項1または2に記載のリスクベース認証システムにおいて、
前記パス判断部における前記多段認証部に対して前記リスクレベルの評価の要求を依頼する際の対象となる前記認証手段の種類を、前記ユーザ毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項7】
請求項1または2に記載のリスクベース認証システムにおいて、
前記合否判定部における前記アクセスについての最終的な前記リスクレベルを評価する際の条件および前記アクセスに対する前記認証レベルを変更する基準を、前記ユーザ毎に事前に設定可能であることを特徴とするリスクベース認証システム。
【請求項8】
コンピュータシステムにおいてユーザからのアクセスに対して認証を行う際に、前記ユーザからの過去のアクセスの履歴情報やアクセス元の環境に基づいて、ルール分析や行動分析により前記アクセスについてのリスクレベルを評価し、その評価結果に基づいて前記アクセスに対する認証レベルを変更するリスクベース認証方法であって、
前記コンピュータシステムは、前記ユーザからの前記アクセスを受けた際に、
前記ルール分析や前記行動分析を行って前記アクセスについての前記リスクレベルを評価するリスクベース認証と、
前記ユーザ毎の属性に関する情報に基づいて前記アクセスについての前記リスクレベルを評価する属性判断と、
前記アクセスの対象であるアプリケーションの種別および前記アプリケーションに対するパラメータの情報に基づいて前記アクセスについての前記リスクレベルを評価するアプリケーション判断とのうち、
前記ユーザにより事前に設定された条件に基づいて少なくとも1つ以上の認証手順を実行して、前記各認証手順による前記リスクレベルの評価結果を取得し、
前記各認証手順により取得した前記リスクレベルの評価結果に基づいて前記アクセスについての最終的な前記リスクレベルを評価し、その評価結果に基づいて前記アクセスに対する前記認証レベルを変更することを特徴とするリスクベース認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2010−97467(P2010−97467A)
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願番号】特願2008−268452(P2008−268452)
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]