DIME MAGAZINE
パスロジはWebサービス向けの認証サービス「4Login(フォーログイン)」を、3月30日にスタートさせた。フィッシング詐欺を根本的に防止する新たな仕組み「ログインプロテクト」採用した無料のAPIをWebサービス事業者に提供。新たな認証の仕組みを広げていく。
パスワードを入力できない? 詐欺にだまされない認証システム
フィッシング詐欺はインターネットユーザーから、クレジットカード情報や銀行口座情報をだまし取る犯罪。
例えばEメールやSMSで有名企業を語り、本物と同じようなサイトに誘導してID・パスワードを入力させる手口がある。「不正アクセスが検出されたので、ログインしてパスワードを変更してください」といったメッセージを読み、慌てて入力してしまうケースが多い。
コロナ禍でオンラインショッピングの機会が増えるとともに、フィッシング詐欺も増加し、手口は巧妙になっている。
同社が開発したログインプロテクトの下では、Webサービスのログインフォームに、正しいID、パスワードを入力しても受け付けられない。
ログインするためには、まずユーザーが専用のスマートフォンアプリでボタンを押すなど、「これからログインする」という合図をWebサービスに送る。
合図を受け取ってはじめて、Webサービスは1分間だけログインを待ち受ける。ユーザーはいつもどおり正しいパスワードを入力すると、ログインできる仕組みだ。
この場合、Webサービスとユーザーのやりとりは、「金庫で言えばカギを開けるためのカギ穴がない状態からはじまる(パスロジ鈴木祐介氏)」。
これにより、はじめからカギ穴がある状態(第三者がログイン試行できる仕組み)が信用されなくなる。偽のログインURLを送りつけるフィッシング詐欺の手口自体を、無効にする仕組みだ。
今回リリースする4Loginでは、ログインプロテクトの基本的な仕組みに加え、5×5マスのグリッドによるパスワード管理、覚えやすいひらがなパスワードの生成など、便利な機能で、ログインのストレスを解消している。
個人向けWebサービスは無償、企業のセキュリティ強化に課金
ログインプロテクトのベースとなっているのが、同社が提唱する「アクティブセキュリティ」という考え方。最初に「Webサービス側からログインするよう求める」という現状の仕組みをひっくり返し、「ユーザー側からログインできるよう求める」ことから認証のプロセスをはじめる。
重要なのは、アクティブセキュリティが当たり前の状態になっていること。「パスワードを変更してください」と求めるフィッシング詐欺のメッセージ自体が、ユーザーの目には奇妙なものに映り、だまされる可能性も減る。
そのために、同社が構想するビジネスモデルは大変興味深い。
「個人がWebサイトを安全に利用できる仕組みの提供は、社会的な意義から無料にする」と鈴木氏。個人向けのWebサービスには、ログインプロテクトの仕組み(4LoginのAPI)を無償で提供する。
代わりに、ビジネスのセキュリティを強化したい企業に課金する。現状での具体的な収益源は、Windowsのリモートデスクトップ接続で安全性を強化する「4Login for Windows」の使用料(1ユーザー月額680円)だ。
従業員が外部から企業のパソコンにログインする際の利用が想定され、リモートワークが普及する現代で市場は大きい。個人向けにログインプロテクトが広く採用され、そのメリットが理解されれば、企業向けにもよく売れるはずだ。
まずは自らコストを支払い、広く社会にアイデアを浸透させる一方で、企業から収益を得る別の仕組みを用意する。あらゆるビジネスのヒントになる考え方ではないだろうか。
●プレスリリース
ユーザーのログイン体験を変える認証サービス 「4Login」を提供開始 ~アクティブセキュリティの理念を基に 100%セキュリティを実現~
取材・文/ソルバ!
人や企業の課題解決ストーリーを図解、インフォグラフィックで、わかりやすく伝えるプロジェクト。ビジネスの大小に関わらず、仕事脳を刺激するビジネスアイデアをお届けします。
https://solver-story.com/
最新号
