強固なセキュリティ認証システムを Twilio Verifyで簡単に組み込み 安心して事業を運営
読む所要時間: 7 分
金融商品のダイレクト販売はセキュリティ対策が鍵
セゾン自動車火災保険・ システムサービス部の小川氏、倉本氏、古市氏に、 Twilio Verifyの導入までの経緯や効果、これから期待することについて、お話を伺いました。
「セゾン自動車火災保険は、インターネットと電話によるダイレクト販売を中心とした保険商品を取り扱う損害保険会社です。設立は1982年で、40年以上にわたり人々のリスク管理を支援し、お客さまの生活の中の『万が一』に寄り添っています。
2011年から販売している通販型の「おとなの自動車保険」は 、個人の実情に合わせて無駄なく掛けられる、ネットを通じたダイレクトな保険スタイルとして多くの人に提供されています。ネッ ト販売という特性に加えて、お客さま情報を取り扱う保険・金融業界は、セキュリティ対策を何重にも強化しておく必要がありま す。堅牢なシステムを構築し、常に細心の注意を払ってお客さま情報の安全を守り、安心してご利用していただくことが大前提です。 ところが、近年のサイバー 攻撃は驚異を増し、自社開発のみでセキュリティ対策アップデートし続けることが大きな負担となりつつありました。本人確認を中心としたお客さまとのやり取りの仕組みを整えたい。それも、お客さまやオペレーターの負担を増やさずに、セキュリティを強化できる 認証システムはないものかと考えていました。そこで出会ったのがTwilioでした。」
2要素認証で確実な本人確認を負担なく導入
「 お客さまが当社サイト内のマイページにログインする際の本人 確認に 、ワンタイムパスワードを使用する2要素認証を採用しま した。その認証機能としてTwilio Verifyを導入しています。認証のための通信手段はSMSとメールです。Twilio Verifyを利用することで、ワンタイムパスワードの生成から、SMSもしくはメールを使っての送信、さらにはユーザーが入力したパスワードとの突合をワンストップで実現することができます。Twilio Verifyでの認証機能には、SMSだけでなく、電話を用いた音声認証もありますが、導入時点ではSMSとメールの2パターンに絞りました。
利用割合としては、SMSが45.08%、メールが54.92%と、メールのほうがやや多い傾向にあります。また、Twilio Verifyのセキュリティ機能をさらに強化する認証システムとして、PKCV(Public Key Client Validation)※を採用し、なりすまし対策を充実させました。」
※PKCV:Twilioへのリクエストがなりすまされていないかを厳格にチェックするために、PKI (公開鍵認証基盤)の仕組みを組み合わせたセキュリティ対策オプション。
より強固なセキュリティ対策の必要性がTwilio導入のきっかけに
「Twilioを導入する以前の当社サイトへのログイン方法は、IDとパスワードによる個人認証と画像認証でした。Bot攻撃への対策をしてはいたものの、さらに強固な対策が必要になってきていると考えていました。サイバー攻撃は、重要な個人データを取り扱う金融関係の機関がターゲットになりがちです。金融庁からも、『 金融分野におけるサイバーセキュリティ強化に向けた取組方 針』の最新版となるバージョン3.0 ※ が2022年2月に出されており 、各企業におけるセキュリティ対策強化を迫られている状態になっていました。組織化・洗練化した攻撃など、サイバー攻撃は進化しています。さらに、キャッシュレス決済の普及、クラウドサービスをはじめとしたネットワークの多様化・複雑化があいま って、自力でセキュリティ対策システムを構築して最新状態を保 ち続けることに負担を感じていました。
近年では偽サイトへ誘導して個人情報を入力させようとする、なりすましの犯罪が増加しており、お客さまの間にも不安が広がっています。2要素認証を導入する企業も増えており、企業から届くSMSやメールへの不信感を払拭させたいという考えもありました。また、新しく2要素認証システムを導入するにあたって心配だったのが、お客さまの負担が増えることです。ログイン時の手続きが増え、操作にとまどったお客さまからの問い合わせや苦情、サイトの途中離脱が増えてしまわないかと心配だったため、操作性のよさは必要不可欠な要素でした。
もうひとつ、切り替えが円滑にできるかどうかも気がかりでした。切り替え時のトラブルや、操作の不具合などで問い合わせや苦情が増えると、評判も下がりますし、オペレーターも疲弊してしまいます。何よりも、保険業務に穴を開けるわけにはいきませ ん。既存のシステムとのなじみやすさも重要だと感じていました。」
※参考:金融庁|「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて(Ver. 3.0) (https://www.fsa.go.jp/news/r3/cyber/torikumi2022.html)
安心の実績、オプションも充実し、強固なセキュリティを維持
「システムには堅牢なセキュリティと安定した稼働を求めるけれども、導入は簡単に早く済ませたい。という要望を基準にして、SMSとメールを使った認証システムの刷新を考えていました。いろいろと調べた結果、欲しい機能を充実させようとすると、複数のサービ スを組み合わせて、一部は社内で開発しながら構築する必要がありました。そのような中Twilioは、APIで比較的簡単に2要素認証のシステム構築が可能であること、また、SendGridによるメール送信機能を組み合わせて一元管理できることがわかりました。本来であれば、認証システムの構築には相当な開発工数と 期間が必要になるところを、主要な機能をすべてAPIでまかなう ことにより、安心のセキュリティ対策を短期間で導入することに成功しました。
セキュリティ対策の実現方法を調べていく中で、Twilio Verifyによるワンタイムパスワードの送信システムや、なりすましを防止す るPKCV(Public Key Client Validation)の認証機能を勧めてもらいました。PKCVは、Twilioに対するAPIリクエストを秘密鍵で署名することによって、正しいユーザーからのアクセスであることを保証する仕組みです。それにより、本人認証の一連の流れがなり すましでないことを証明し、安心して入力を促すことができます。PKCVは、主にエンタープライズ企業向けに用意された有料のオプションですが、セキュリティ対策として導入する価値が十分にある機能です。このような機能が一元的なシステムのもとで組み込まれていることは魅力に感じました。当初は部分的に自社開発を行うことも検討していましたが、最新のセキュリティ対策に詳しい専門業者の技術を多く取り入れたいと考えるようになりました。 社内承認のためにも、当社で作成しているセキュリティチェックシートの項目がクリアできることを担当の方と密に連携して確認していきました。実際、前述のPKCV導入も社内のセキュリティチェックシートに記載されている必須要件でした。セキュリティ審査をクリアする厳しい基準、グローバルな導入実績、国内の大手通信事業者であるKDDIグループのサポートと、安心できる要素の多さ で採用に至りました。導入自体はとても早く、自社のシステムの状況と必要な機能をお伝えし、相談に乗ってもらってから、5か月後 には構築が済んでいました。APIを使っているため、導入しやすく使いやすい仕組みでした。
導入にあたっては、細々とした心配事にも担当の方がずっと付き添って相談に乗ってくれたのは助かりました。いざとなったらサポートしてもらえるという安心感が大きかったです。開発中は、やはり心細いので、レスポンスが早いのは本当に心強かったです。社内に はTwilioの資料が英語であることを不安に思う者もいましたが、日本語のサポートデスクから丁寧な回答をいただけたので、困ることはありませんでした。導入後、お客さまから2要素認証の手続きに関する問い合わせはありましたが、その件数は想定の範囲内に収まっており、大きな混乱はありませんでした。」
お客さまへ寄り添ったメッセージをシステムに乗せて
「現在、お客さまへ送信できるワンタイムパスワードのメッセージは定型文のみです。文面をカスタマイズできるようになれば、よりお客さまとの距離が縮まり、サービス向上につなげられるのではないかと考えています。カスタマイズ機能も開発されているようなので、ぜひ使ってみたいです。 そのほかにもTwilioは、LINEなどのアプリとの連携や、コールセンターのデータ集積など、一元化できる機能が充実していると聞いています。今はシンプルにワンタイムパスワードの認証システムとして活用していますが、今後も、お客さまのニーズに合わせたシステムの向上をいろいろと計画していくつもりです。Twilioをうまく活用しながら、ひとつ上のセキュリティを備えた機能の充実を図っていければと考えています。」
