PSD2 から明らかなのは、EBA では強力な顧客認証が必要であるということです。 さらに、アグリゲータとサードパーティ決済プロバイダー (TPP) に顧客のアカウントへのアクセスを許可する必要があります。 EBA は、コンプライアンスを達成するために必要なこと、つまり知識、所有、および固有性として分類される 2 つ以上の要素の使用に基づく認証を概説しています。 PSD2 では多要素認証や 2FA について明示的に言及していませんが、これらの慣行は、企業で使用されている最も一般的な 2 つの認証方法であるワンタイム パスワード (OTP) とショート メッセージ サービス (SMS) と同義になっています。 決済サービスプロバイダーは、認証のすべての段階で決済サービスユーザーが使用する個別のセキュリティ認証情報と認証コードの機密性と整合性を確保することが不可欠です。 ただし、クリア テキストで配信されるSMS メッセージには、固有の既知の脆弱性 (ユーザーのデバイスからテキスト メッセージを盗むように設計されたモバイル マルウェアなど)があります。 さらに、 Kr3ptoなどの高度なフィッシング キットにより、経験豊富な脅威アクターはワンタイム パスワードをリアルタイムで傍受できるようになります。 この証拠に基づくと、OTP と SMS のみに依存している企業は、事実上セキュリティ リスクを導入し、顧客のアカウントを公開する可能性があります。 分散クラウド サービスは、AI、機械学習、その他のテクノロジーを活用したリアルタイムのアプリケーション保護によって SCA 要件を強化します。 

F5 分散クラウド プラットフォームは、セキュリティ、不正行為、および ID 機能における厳密な部門横断的な分析を提供します。 知識、所有、継承という 3 つの安全な認証要素をすべて使用することで、より高い忠実度と柔軟性が実現します。 欧州銀行監督局は、「固有要素」を認証の最もエキサイティングで進歩的な分野として認識しています。 分散クラウド サービスは、運用が容易な包括的な Web、モバイル、API 保護を提供することで、金融サービス組織が PSD2 要件を満たすのに役立ちます。 分散クラウド プラットフォームは、あらゆるやり取りを観察して学習することで、進化する攻撃を自動的に軽減します。 以下のシナリオ例を見てみましょう。

F5 の徹底的な顧客認証の実践 (3 要素検証)

• ステップ1: ユーザーがオンライン プロパティまたはアプリケーションにアクセスします。
  
• ステップ2: ユーザー名は入力されるか、事前に入力されます (ユーザー名はそれ自体では知識要素ではないことに注意してください)
  
• ステップ3: ユーザーはパスワードまたはPINを入力します（準拠した知識要素）
  
• ステップ4: 分散クラウドボット防御は、デバイスIDテレメトリ収集などのパッシブバイオメトリクスを通じてランタイム所持要素検証を実行します。
  
• ステップ5: 分散クラウドボット防御は、行動バイオメトリクスを通じてランタイムの固有要素検証を実行します。
  
• ステップ6: ユーザーは認証され、ステップアップの煩わしさなく送金を完了します。

分散クラウド サービスは、OTP および SMS 2FA をリアルタイムの行動クロスファンクショナル分析で補完し、PSD2 の 3 つの強力な顧客認証要素すべてに準拠してユーザーを総合的に認証することで、コンプライアンスの達成、セキュリティの向上、ユーザーの摩擦の排除を実現します。

PSD2 は、金融機関に顧客データへのアクセスをサードパーティプロバイダー (TPP) に許可することを義務付けることで、イノベーションとオープンバンキングを促進します。 TPP アプリケーションは API を介して金融機関に接続し、データを集約して単一のペインで可視性を提供します。 たとえば、顧客の銀行残高、取引、プロファイルを複数の口座間で統合する場合があります。 アプリと API のセキュリティは、ユーザーの情報に対するリスクを軽減し、顧客の期待に応えながら詐欺行為を防止するために重要です。 以下は、リスク アグリゲータがもたらす脅威の例です。

アグリゲーターのなりすまし攻撃
情報源と協力関係にあるアグリゲータには、多くの場合、機関のサービスへのアクセスが許可されます。 攻撃者は、機関に対して直接ではなく、アグリゲータに対してクレデンシャルスタッフィングを使用してアカウントを検証することで、この関係を利用します。

アカウント乗っ取り
金融アグリゲータは、顧客の銀行認証情報（ユーザー名とパスワード）と最大 90 日間のアカウント データを保存するため、攻撃者にとって魅力的なターゲットとなります。 攻撃者は、ユーザーが有効にしたフィンテック アプリケーションを利用して、口座残高を盗み出したり、他のオンライン決済システムにアクセスしたりする可能性があります。

予測できないトラフィック負荷の急増
アグリゲータは金融機関の口座照会のかなりの部分を占めており、金融機関に対して消費者口座の更新情報を 1 日に最大数万回ポーリングしています。 これを何千人もの顧客に掛け合わせると、金融機関はアグリゲータのトラフィックを処理するためだけに容量を追加しなければならなくなります。

スクリーンスクレイピング
消費者はフィンテック アグリゲータに自らの認証情報を進んで提供し、フィンテック アグリゲータは自動化ツールを使用して、金融機関のアプリケーションから消費者のデータをクロールおよびスクレイピングします。 このデータの集約は消費者にすぐに何らかのメリットをもたらす可能性がありますが、一部の集約者がこのデータにアクセスする方法はデータコンプライアンス規制に違反する可能性があり、最終的には消費者のデータが詐欺の被害に遭う可能性があります。

F5 は、金融機関がアグリゲーターを管理し、攻撃を防御できるように可視性と制御を提供します。 お客様は、選択したアプリを通じて、いつでもどこでもデータに完全にアクセスできると同時に、クレデンシャル スタッフィングやアカウント乗っ取り (ATO) のリスクからも保護されます。

認証の可視性
Distributed Cloud Bot Defense は、すべてのログイン試行を検出し、トラフィックを人間、自動、またはアグリゲータとしてラベル付けします。 F5 は金融機関の Web およびモバイル プロパティでの攻撃をブロックし、攻撃者がアカウント検証用のアグリゲータを通じてクレデンシャル スタッフィングを行っている場合にも検出できます。

オンボーディング支援
分散クラウド アグリゲーター管理は、アグリゲーターがユーザーの金融認証情報を保存するのをやめ、情報源となる金融機関がサポートする API に切り替えることを推奨します。 F5 は金融機関およびアグリゲータと協力してこの移行を実現します。

最小権限アクセス
API を使用すると、分散クラウド サービスはアグリゲータに必要な権限のみを適用できるため、脅威の対象範囲が縮小されます。 たとえば、トランザクションを読み取り専用アクセス、または概要情報のみに適用できます。

異常検出
分散クラウド サービスは、金融機関とアグリゲータの両方の異常検出に役立ちます。 F5 は、ヘッドレス ブラウザや手動攻撃詐欺を含むすべての攻撃フレームワークをフィンガープリントし、アグリゲータと金融機関の両方をブロックまたは警告することができます。

F5で高度なサイバーセキュリティの脅威に立ち向かう
F5 分散クラウド サービスは、1 つの統合プラットフォーム上でクラス最高のアプリケーション セキュリティと不正防止ソリューションを提供します。 F5 は AI を活用した精度を活用して、攻撃トラフィックをリアルタイムで正確に検出し、不正行為を検出して排除します。