かっこ株式会社が行った「O-motion Securitydays」レポート。当サイトでは3記事わたり、その様子をまとめています。
#003にあたるこの記事では、かっこ株式会社O-motion事業部に所属する川口から
- どうすれば不正アクセスを防止できるのか
- 具体的な対策手段
- 対策手段それぞれのメリット・デメリット
といった実用的な内容が語られました。
目次
どうすれば不正アクセスを防止できるのか
川口:では、どうすれば不正アクセスを防止できるのか。
すでにみなさんお聞きになった対策もあるかもしれません。そういったものも含めてご紹介させて頂きます。
1.異常なアクセス数に対する遮断
川口:1つ目は「異常なアクセス数を遮断する」という対策です。リスト型攻撃やブルートフォースへの対策として効果が見込めます。
例えば、この図のように本来のパスワードは「aabbcc」であるとします。これに対し不正者がいくつかのパスワードを試してきた場合、1つのアカウントで5回失敗すると以降のアクセスを遮断するといった形をとります。
異常なアクセス数というのは、アカウントに対するアクセス数という考え方もあれば、同一のIPアドレスからのアクセス数とする場合もあります。
2.認証サービスの導入
川口:2つ目は「認証サービスの導入」です。
SNS認証、合言葉認証、画像認証といった手段で、ID・パスワード入力以外の本人確認手段を用意します。それをもって、アクセスを許可を判断するという対策です。こういった対策および製品は多く提供されているので、導入されている方も多数いらっしゃると思います。
対策手段によってメリット・デメリットが
川口:しかし、どうしてもメリット、デメリットというものが発生します。
先ほどご紹介した「異常アクセス数に対する遮断」は、ユーザーのUI/UX――いわゆる使い勝手を損なうことなく、対策が可能です。
ですが、不正アクセス、IPアドレス、アカウントを変えてアクセスされてしまうと、異常アクセスを捕まえられずに対策ができないというデメリットがあります。
一方で「認証サービス」、「SNS認証」、「合言葉認証」といった手段は、セキュリティ対策としては非常に強固なものと言えます。ですが、アクセスのたびにユーザーに認証してもらう形になると、ユーザーの使い勝手が低下し、サービスからの離脱につながってしまうデメリットがございます。
画像認証――「reCAPTCHA(リキャプチャー)」はみなさんもご覧になったことがあるかと思います。
これらは不正アクセスの中でも機械的なリスト型攻撃や、ブルートフォースなどには有効な対策です。しかしID・パスワードを特定し、人の手で不正アクセスをされてしまうと、対策はできません。
また、アクセスのたびに認証してもらうため、ユーザーの使い勝手というUI/UX面のデメリットもございます。
川口:このUI/UXとセキュリティのトレードオフの関係は、不正アクセス防止のキーポイントです。
セキュリティを上げれば上げるほど、ユーザーは面倒に。対策を強化すればするほど、ユーザーのUI/UXの低下に繋がるというところです。
セキュリティを強化し続け、ユーザーに使い勝手が悪いと思われるWebサイト・サービスになってしまいますと、売り上げそのものに大きな影響を与える場合があります。
売り上げを犠牲にせず不正アクセスを防止する方法は
川口:セキュリティのために売り上げを犠牲にするというのは、皆様、許容できないかと思います。
そこで不正アクセスの防止には、ユーザーに負担をかけずにセキュリティを強化する「不正検知システムの導入」が有効と言えます。
その不正検知の仕組みとして紹介させて頂くのが、弊社の不正アクセス検知サービス「O-motion」という製品です。
不正アクセス検知サービスO-motionとは
川口:O-motionとは、ユーザーの端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定できる製品です。
導入に関しては、Javascriptのタグを挿入するだけで簡単に導入頂けます。不正傾向の判定は、アクセスごとにリアルタイムで実施。つまり、リアルタイムで不正アクセスを検知することが可能になります。
O-motionの特徴1.独自の端末特定技術でなりすましのアクセスを識別
川口:O-motionの特徴として挙げられるのが、独自の端末特定技術です。
例としてユーザーが計4回アクセスしてきたケースを考えてみましょう。
Webで広く使われているcookieという技術だけで端末を特定・管理した場合、2回目と3回目でcookieの値が異なってしまうと、この要素だけでは同じ端末だと判断できません。
ですが、弊社O-motionの場合、cookieも使いながら独自の端末特定技術で、2回目や3回目も同じ端末からアクセスされたと判断できます。
当然この端末特定技術で値が変わってしまうこともあります。ですが、cookieも使っていますので、3回目や4回目も同じ端末でアクセスされていると特定できます。
この端末特定の技術によって、不正アクセス・不正ログインをされる際に、普段からユーザーが使用している端末以外からアクセスだと判断ができます。
また、不正者が悪意を持ってアクセスした時に、同じ端末から複数のアカウント、複数の箇所にアクセスしようとしていると判別できます。
そのため、端末を特定管理することで、なりすましのアクセスが見抜けるようになるのです。
O-motionの特徴2.操作情報を活用しての不正検知が可能
川口:操作情報を活用しての不正検知もO-motionの特徴です。
操作情報とは、キーボードを押す動きやマウスを動かし方を活用して、不正アクセスを見抜くという技術です。
あくまで不正アクセスを見抜くための一例ですが、こちらの図はキーボードを押して離すまでの時間というものを、人が押している場合と、プログラムがアクセスされている場合で比較したものです。左側の「人がキーを押す場合」を見ていただきますと、どれだけ早く操作していても、タッチタイミング――つまりキーボードを押してから離すまでいくらかの秒数が発生しています。
例えばリスト型攻撃のようにプログラムを予め組んで操作されている場合、こういったキーの入力時間は限りなく0に近いとわかっています。
このようにキーボードを押す動きを見ることで、機械的なアクセスか人によるアクセスかを明確に見分けられます。
O-motionであればUI/UXとセキュリティのバランスをとった対策が可能
川口:こういった2つの特徴から、O-motionはアクセス毎に不正を検知でき、正常なユーザーはそのまま不正なアクセスを遮断。そして不正の疑いがある、限りなく黒に近いグレーというアクセスだけに、強力なセキュリティ手段である認証サービスを使うといった仕組みがとれます。
これにより、UI/UXとセキュリティのバランスをとった対策が可能です。
O-motionはインターネットバンキングや大手会員サイトの不正対策に導入実績が
川口:これまで実際に活用頂いている、O-motionの事例をご紹介させて頂きます。
ある銀行様でのインターネットバンキングでの不正ログイン対策にご利用頂いていたり、大手会員サイト様で不正ログインフローに組み込んで頂いて対策をして頂いたり、大手ECサイト様の不正会員登録の対策でご利用頂いたりという実績がございます。このように、大手の企業様を中心に様々な業者様でご活用頂いております。
O-motionのご利用方法と導入までの流れ
川口:またO-motionは非常に導入ハードルの低い製品です。
導入時は弊社から提供するJavascriptのタグを、対策したいページに挿入頂くだけで準備が完了します。以降、Webサイトにエンドユーザーがアクセスをすると、そのアクセス毎に自動で審査を実施します。
その審査の結果に関しては、システム連携で1つ1つ結果を取得することも可能です。また、より簡単なものだと怪しいアクセスが発生した場合にのみ、メール通知等でお知らせをさせて頂く形もとれます。
管理画面も提供しておりますので、そこからどのような理由で不正アクセスと判断されたかもご確認頂けます。
川口:こちらの図が O-motionの導入までの流れです。
ポイントは、「トライアル」という形で自分たちのサイトがどのようなアクセス状況になっているのかをご確認頂ける点です。
昨今のニュースで不正アクセス対策をしなければいけないというところで、皆様情報収集をされていると思います。ですが「どこまで対策をすればいいかわからない」、「自分たちがどれだけ被害にあっているかもわからない」というところもあるかと思います。
そういった部分をトライアルでデータ取得させて頂き、弊社からレポーティングをすることで状況を可視化。それをもとに、どのような不正アクセス対策をとればいいかをご提案させて頂いております。
ぜひ、トライアルでの不正アクセス確認を、お気軽にお問い合わせ頂ければと思います。
以上が、かっこ株式会社「O-motion Securitydays」のセッション内容です。
今回のセッションで「不正アクセスは4年間で11倍と非常に増加している」とありましたが、ご存じでしたか? その要因として、不正アクセス手段の入手および不正で得たものの現金化がのハードルが下がっていることも解説していただきました。
自社が不正アクセスの被害にあうことで、エンドユーザーに対し加害者になってしまうケースもあります。そのため、事業者はユーザーの情報が流出しているということを前提とし、ユーザーのUI/UXの低下とバランスをとって対策をとる必要があります。
それに対する有効的な手段としてO-motionのご紹介もいただきました。詳細はかっこ株式会社の公式サイトをご覧ください。
参考:O-motion | 不正検知サービス | かっこ株式会社 – Cacco Inc.
また、今回のセッションは3記事にわけてレポートしました。
#001、#002もぜひ併せてご覧ください。
