EndowusがTwilio Verifyを使用してセキュリティを強化し、クライアントの信頼を構築

課題  

顧客の信頼を維持するためには、機密データの保護が欠かせません。特に、ボットのサインアップや不正な活動に関連して増加するリスクを管理できるように、高度な検証ソリューションが必要でした。

解決策 

EndowusはTwilio Verifyを使用してデジタルエコシステムを保護しました。ログイン時およびトランザクション中のユーザー認証にはSMSワンタイムパスワード（OTP）を使用し、海外でプラットフォームを使用しているクライアント向けにはWhatsAppを使用しました。 

Endowusは、シンガポールを拠点とするデジタル資産管理プラットフォームです。このプラットフォームでは、個人の顧客に低料金で機関投資家向けの商品や助言を提供し、個人による将来の資産管理を支援することを目指しています。テクノロジーを活用して投資プロセスを合理化、強化し、透明性、費用対効果、アクセスのしやすさを重視している点が評価されています。

顧客の信頼を維持するためには、機密データの保護が欠かせません。特に、ボットのサインアップや不正な活動に関連して増加するリスクを管理する必要がありました。Endowusは、セキュリティを強化し、顧客の信頼を構築するために高度な検証ソリューションが必要だと認識しました。

また、EndowusはInfocomm Media Development AuthorityのSMS Sender IDフレームワークなどの、シンガポールの堅牢な規制要件へのコンプライアンスを保証する必要がありました。このフレームワークでは、企業がSMS送信者IDを登録し、確実に認証済みの送信元からメッセージを送信することが義務付けられています。これにより、消費者をフィッシング詐欺から保護し、通信の全体的な信頼性を向上させることができます。

OTP保護を利用したユーザーのデジタル資産の保護

Endowusは、デジタルエコシステムを保護し、規制コンプライアンスを確保するために、Twilioと協力しながらさまざまなセキュリティ対策を実施しました。このような対策には、Twilio Verifyの導入も含まれています。たとえば、ログイン時、トランザクション中、パスワード更新などの機密性の高い操作中に、SMSワンタイムパスワード（OTP）を使用してユーザーを認証します。

Lim氏は次のように述べています。「毎日、8,000人のユーザーがEndowusプラットフォームにログインし、トランザクションを実行していますが、当社は認証エンドポイント側で強力な入力サニタイズとレート制限を維持し、不正アクセスを防止しています。また、Twilio Verifyを使用することで保護を強化できます。たとえば、ログインや取り消しなどの重要度の高いユーザー操作中にOTP検証を適用し、正規のユーザーだけが弊社のプラットフォームを利用できることを保証しています。」 

国外でSMS OTPを受信できないという問題に対処するため、EndowusはTwilio Verifyを使用し、一部のクライアントの代替チャネルとしてWhatsApp OTPを追加しました。これにより、クライアントは安全かつ信頼性の高い方法でアカウントにアクセスし、世界中のどこからでもトランザクションを実行できます。さらに、国際SMS配信の問題が発生した場合、複数の通信プロバイダー間で多数の障害点が発生する可能性があるため、トラブルシューティング作業が非常に複雑化すると予想されますが、このような問題に対処する必要性も軽減されます。 

「WhatsApp OTPの導入は、過去数か月間で検証コンバージョン率98%という画期的な変化をもたらしました。信頼性の高いインターネットアクセスはSMSよりも広く利用される傾向があるからです」とLim氏は述べています。 

コンバージョン率が高いことは、Endowusの検証フローが効率的に機能し、大きな問題もなくユーザーがプロセスを完了できることを示しています。この結果を受けて、当社は、WhatsApp OTPをすべてのクライアントに提供することを検討しています。

不正な攻撃を能動的に防止

Endowusでは、さまざまな主要業績指標を使用し、セキュリティプロトコルの効果を測定しています。認証チャネルでは、配信の信頼性、変換（または検証）率、セキュリティの高い慣行を施行するように設計された防御策を追跡します。 

たとえば、配信されたOTPがクライアントによって正常に検証された回数を追跡します。検証率の低下は認証情報の侵害などの問題の兆候を示している可能性があり、企業はそれに対して即座に対処できます。また、このような分析により、トリガーされたイベントの品質を監視し、ユーザーインターフェイスや全体的なユーザー環境の設計を改善できます。

Twilio Verifyを導入して以来、Endowusは一貫して全体で96%の検証コンバージョン率を達成しています。 

Lim氏は次のように述べています。「Twilio Verify Fraud Guardは、当社にとって標準のツールです。確認済みの不正なSMSスキームや行動の異常と一致するパターンを特定し、予防的に遮断します。これにより、コストを削減できるだけでなく、セキュリティ体制も強化されます。保護レベルを設定できるため効果的です。導入以来、誤検出率は1%未満でした。これは驚くべきことです。」

また、Endowusのセキュリティチームは、Twilioの高品質でタイムリーなアラートを高く評価しています。このアラートは状況に合わせた、実用的な機能を備えています。

将来を見据えた代替手段による継続的なセキュリティ戦略の強化

一部のシンガポールの銀行は、フィッシング攻撃で悪用される可能性があるという懸念から、SMS OTPを取り止める傾向があります。そのような中、Endowusは、Twilio Verify Pushなどのアプリベースの代替手段を模索しています。このソリューションでは、ユーザーのスマートフォンやタブレットにプッシュ認証を送信し、簡単なタップ操作で安全に本人確認ができます。Twilio Verify Pushをモバイルアプリに統合することで、Endowusは認証セキュリティを強化し、SMS利用の比重を下げ、シームレスなユーザー環境を提供できます。

Lim氏は次のように述べています。「Twilio Verify Pushの導入により、当社のセキュリティ戦略が大幅に強化される可能性があります。「第一に、ユーザーがモバイルアプリを使用し、さまざまな操作を実行できるようになります。これは、当社のビジネス目標と合致しています。さらに重要な点は、SMS OTP配信に伴う固有のセキュリティリスクに対処することです。」 

Endowusは、このような取り組みとTwilioとのパートナーシップを通じて、顧客を保護する方法や顧客と対話する方法を継続的に強化するという戦略の継続を目指しています。