1. はじめに

昨今、不正アクセスによる犯罪が増加する中、不正アクセス対策として認証基盤強化が必須となっています。IceWall MFAでは、プラグインを開発しテクノロジーパートナー各社が提供するソリューションと連携することで、よりセキュアな認証の実現が可能です。本レポートでは、かっこ株式会社が提供する不正アクセス検知ソリューションであるO-motionとIceWall MFAの連携についてご紹介します。

2. O-motionとは

WEBサイトにアクセスしたユーザーの操作情報やデバイス情報等をリアルタイムに分析し、他人のなりすましを識別することによって不正アクセスから生じる不正行為(個人情報漏洩、不正購入等)を防止するサービスです。既存の不正対策手段では防げない、ID/パスワード盗用によるなりすましログインを防ぐことができます。

画像をタップして拡大する

O-motionは下記2つの独自技術により、不正アクセス/ログインを高精度で識別します。

  • 端末の情報を解析・特定し、なりすましアクセスを補足
  • アクセスした際の操作情報(キーボードの動き/マウスの動き等)を用いて機械的なアクセスを検知

 

O-motionによる識別を活用することで、不正な疑いのあるアクセス/ログインにのみ多要素認証を行うことが可能になり、UI/UXとセキュリティの両立を図ることができます。

画像をタップして拡大する

3. O-motionとIceWall MFAの連携

3.1.処理概要

 

O-motionと連携することにより、なりすましやBOTによる不正アクセスを検知することができ、不正アクセスが疑われる場合は、IceWall MFAが提供する各種認証方式による追加認証を要求することが可能です。

画像をタップして拡大する

O-motionとの連携では、ブラウザとO-motionの通信が必要になりますが、O-motionのURLをIceWallのサブドメインとすることでエンドユーザーに対してIceWallの一部として見せることができます。

3.2.システム構成

 

O-motion連携のシステム構成及び処理フローを以下に記載します。

画像をタップして拡大する

処理フロー

①ユーザーはID/PWを入力し、システムにログインを行います。
この時、ログイン画面のバックグラウンドでは、埋め込んだJavaScriptが自動でユーザー審査に必要なデータの収集と、ユーザー審査を一意に識別する審査IDを発行しブラウザのCookieにセットします。

 

②ID/PW認証が完了後、O-motion連携プラグインはO-motionのAPIに対してユーザー審査結果の取得を行います。
※審査結果の取得には、ハッシュ化したユーザーIDやCookieから取得した審査ID等を使用します。

 

③O-motionのAPIからユーザー審査結果がJSON形式のレスポンスで返却され、O-motion連携プラグインはレスポンスを解析し、審査結果(OK、NG、REVIEW)を判定します。
今回の検証では審査結果がOKの場合は認証完了、NGの場合は認証失敗、REVIEWの場合は追加認証となるように判定しています。

なおO-motionとの連携には以下の事前準備が必要です。

  1. JavaScriptダウンロード用のサブドメイン決定
    O-motionのURLを認証基盤の一部として見せるために使用します。

  2. JavaScriptを埋め込むID認証画面の用意
    JavaScript埋め込み箇所の決定や、JavaScript作成に必要な情報を確認します。

  3. ACM証明書の承認処理、CNAME登録
    サブドメインでのサーバー証明書を取得し、O-motionとの連携はSSL通信で行います。

  4. 認証画面へのJavaScriptタグの埋込
    O-motionとの連携が可能になります。

3.3. 動作イメージ

 

以下はO-motion連携プラグインを使用して不正アクセスを検知した際の動作イメージです。

 

① ユーザーIDとパスワードを入力してログインします。

画像をタップして拡大する

② ID/PW認証が完了後、O-motion連携プラグインがユーザー審査結果を判定します。

  • ユーザー審査結果がOKの場合、認証完了となり④アプリケーションの画面が表示されます。
  • ユーザー審査結果がREVIEW(なりすましによるログインの疑いあり)の場合、③追加認証画面が表示されます。
  • ユーザー審査結果がNG(BOTによるログイン・NG端末からのログイン等)の場合、⑤不正アクセスと判断されユーザーはアプリケーションへアクセスするこができません。

 

③ ユーザー審査結果がREVIEW(なりすましによるログインの疑いあり)だった場合は、
IceWall側で設定した追加認証処理が呼び出され、追加認証に成功するとユーザーはすべての認証が完了し④アプリケーションの画面へアクセスすることが出来ます。

画像をタップして拡大する

④ ログインが完了し、アプリケーションの画面が表示されます。

画像をタップして拡大する

⑤ ユーザー審査結果がNG(BOTによるログイン・NG端末からのログイン等)だった場合、
エラー画面が表示され、ユーザーはアプリケーションの画面にアクセスすることは出来ません。

画像をタップして拡大する

ユーザー審査の内容は、システム管理者がO-motion管理画面で確認することができます。

画像をタップして拡大する

4. まとめ

不正アクセス検知ソリューションのO-motionとMFAを連携することにより、BOTによる不正アクセスの検知が可能となり、なりすましによるログインが疑われる場合は追加認証により認証を強化することが可能となりました。追加認証には、複数の認証方式からユーザーが認証方法を選択するなど、条件によって様々な認証方式を組み合わせることも可能です。

ユーザー審査処理はすべてバックグラウンドで実行され、必要な場合のみ追加認証を要求することができるため、エンドユーザーへのUI/UXの低下は最小限に抑えることが出来ます。

プラグインは個別のご要件によってカスタマイズすることができ、柔軟に認証基盤の強化が可能です。O-motion連携プラグインの詳細について情報が必要な場合はお問い合わせください。

参考URL:不正アクセス検知ソリューションO-motion(オーモーション) | かっこ株式会社 - Cacco Inc.

https://frauddetection.cacco.co.jp/o-motion/

2020/8/28

執筆者:

・かっこ株式会社

 

・日本ヒューレット・パッカード株式会社

 Pointnext事業統括認証コンサルティング部

 鶴田 裕之