JP2007514333A - リスクベース認証のためのシステムおよび方法 - Google Patents

Abstract

たとえば、トランザクションおよび／またはトランザクションに対するユーザまたは当事者のリスク査定に基づき、柔軟なトランザクション処理を可能にし得るシステムおよび方法。たとえばリスクレベルに基づき、当該トランザクションに対する認証レベルが設定または変更され得る。

Description

発明の分野
この発明は認証に関し、この発明は、より特定的に、たとえばトランザクション中の認証当事者において使用され得る。

背景
種々のサービスにアクセスして種々のトランザクションを実行するためのオンラインチャネルの使用が増大するのに伴い、身元情報の盗難が多発するようになり、オンライン口座の乗っ取りおよびトランザクション詐欺が著しい速度で増加している。詐欺師は、新しい技術を意のままに使用する。たとえば、疑うことを知らない顧客のコンピュータに「トロイの木馬（Trojan horses）」およびキーロガーがインストールされて個人情報が詐欺師に送り返され、フィッシングは、消費者を騙して個人情報および金融情報（たとえば以下のものに限定されないが、「ユーザの身分証明」または「身分証明」等と呼ばれ得る、社会保障番号（「ＳＳＮ」）、口座番号、銀行取引の情報、種々のサービスに対するユーザ名およびパスワード、個人識別番号（「ＰＩＮ」）、およびクレジットカード番号）を渡すように仕向ける。

実際に、最近の詐欺事件は、巧妙かつ大胆であって類を見ない、高度に組織化されたオンライン犯罪の急増を示す。詐欺師は以前にも増して適応性を有し、その犯罪手口および技術を直ちに変更して新たな脆弱性に付け込む。詐欺師は特定の部門に自らを限定しないが、その主な対象は、銀行口座および金融口座の部門である（詐欺行為に遭いやすい他の部門は、行政サービス、ＩＳＰ、電気通信企業、健康管理、および他の多くの部門である）。

１つの問題が認証であり、すなわち、サービスまたはトランザクションのプロバイダが、サービスにアクセスして或るサイトで動作を実行する或るユーザが本当に、当人が主張する人物であるか否かを実際にどのように認識するか、である。今日の環境で、ログインおよびパスワード（今なお最も普及している認証方法である）のみの組合せを使用することが不十分であり得るのは明らかである。

認証の問題に対して多くの解決策が提案されてきたが、それらの多くは、使い易さとセキュリティとの間で不均衡を生じる。すなわち、当該解決策の多くは、十分に安全ではないか、または、納得のできるレベルまでセキュリティが高められた場合に導入および操作が煩雑で高価になるか、のいずれかである。

種々のトランザクションは、当該トランザクションへのアクセスもしくは当該トランザクションの使用、または或る動作の実行を望むユーザに対し、異なる種類およびレベルの認証を要求する。このようなトランザクションのプロバイダは、異なる種類のトランザクションに対しては異なる種類およびレベルの認証を要求するが、所定の種類のトランザクションに対しては異なるレベルの認証を要求しない。したがってユーザは、所定の種類のトランザクションに対し、特定の認証発生のリスクレベルに関係なく、同じ量およびレベルの認証情報を提供することが求められる。たとえば、以下のものに限定されないが、オンラインバンキングサービスへのアクセスを試みるユーザは、各トランザクションにまつわるリスクレベルが異なり得るにも関わらず、認証用に同じ情報要素を提供することが常に求められ得る。

トランザクションの外部の因子（これらは、ユーザ／潜在的ユーザのプロファイルに関連する因子であり得、たとえば、ユーザがログインするＩＰアドレス、またはトランザクションのタイミング）に加え、実際のトランザクションに関連する因子（これらは、トランザクションの特性に主に関連する要因であり、たとえばアドレスの変更および資金の振込は、単なる収支の視認よりも大きな詐欺行為のリスクを生じるものとして扱われ得る）により、リスクレベルはトランザクション間で変化し得る。

高レベルのトランザクションセキュリティを維持することにより、詐欺行為の防止または著しい低減が可能であるが、費用がかからないわけではなく、費用対効果が大きくないことが考えられる。高レベルのセキュリティの維持は、トランザクション認証の一部として、より大量でより複雑な量の情報の要求を必要とする。その結果、このことは、認証の試みが失敗することにより、より高いレベルのトランザクションの失敗を伴う。このような失敗の理由は、より多くの情報が要求されるのに伴い、ユーザが認証を試みる際に、通常は認証データの損失または忘却によって失敗する傾向が高まるためであり、このことは、言い換えると、要求される認証データの複雑さおよび／または量によるものである。

ユーザは、自らの認証に成功しない場合、トランザクションを放棄するか、または、認証を完了するために何らかの形態の顧客サービスの補助を求め得る。当然ながら、このような顧客サービスの補助は、極めて費用がかかる。

トランザクションを放棄するユーザは、サービス全体をも放棄し得る。逆もまた考えることができる。サービスへのアクセスが極めて簡単であるが故に十分に安全ではないことがあり得、極端な方策はいずれも、この二者択一路線の２つの目的において、セキュリティの点で、または市場占有率において犠牲が大きい。今日存在する静的な認証方法の主な欠陥は、欠陥のある２つの立場のうちの１つ、すなわち、より多数のトランザクションにまつわるセキュリティの低さか、または、より少ないトランザクションを伴うセキュリティの高さのいずれかを組織に選択させる、この特有の二者択一状態である。

この発明と考えられる主題は、明細書の結論部分において特に指摘され、かつ、明確に主張される。しかしながら、この発明は、構成および操作の方法に加えてこの発明の目的、特徴、および利点の両方に関し、添付の図面とともに読まれると、以下の詳細な説明を参照することによって最も良く理解され得る。

参照番号は、図面間で繰返され、対応する要素または類似の要素を示し得る。

詳細な説明
以下の詳細な説明では、この発明の完全な理解を図るために、多数の特定の詳細を明示する。しかしながら、これらの特定の詳細を用いずにこの発明を実施し得ることが、当業者に理解されるであろう。また、場合によっては、この発明を分かりにくくしないように、周知の方法、手順、構成要素、および回路を詳細に記載していない。記載する実施例に対する種々の変更例が当業者には明らかになるであろう。また、ここに規定する一般原理を他の実施例に適用することができる。この発明は、図示および記載する特定の実施例への限定が意図されない。

具体的に明記されない限り、以下の議論から明らかなように、明細書の全体にわたって「処理」、「演算」、「計算」、「判断」等の用語を用いる議論は、プロセッサ、コンピュータもしくは演算システム、または同様の電子演算装置の動作および／または処理の全部または一部を指し得る。このようなプロセッサ、コンピュータもしくは演算システム、または同様の電子演算装置は、システムのレジスタおよび／またはメモリ内の物理量、た
とえば電子量として表わされるデータを、システムのメモリ、レジスタ、またはこのような他の情報記憶装置、伝送装置、または表示装置内の物理量として同様に表わされる他のデータへと、操作および／または変換する。

ここに提示する処理は、任意の特定のコンピュータ、処理装置、物品、または他の機器に本質的に関連しない。さまざまなこれらのシステムのための構造の一例が、以下の説明から明らかになるであろう。加えて、この発明の実施例は、任意の特定のプロセッサ、プログラミング言語、機械コード等を参照して説明されていない。ここに記載するこの発明の教示内容を実現するために、さまざまなプログラミング言語、機械コード等の使用が可能であることが認識されるであろう。

この発明の実施例の中には、トランザクションのリスク査定またはリスクレベル、および／またはトランザクションに対するユーザまたは当事者に基づいて、柔軟なトランザクション処理を提供し得るシステムおよび／または方法を含み得るものがある。たとえば、リスクレベルに基づき、トランザクションの認証レベルまたは他の局面を設定または変更することができる。

図１は、この発明の一実施例に従った認証システムを示す。図１を参照すると、端末、たとえばパーソナルコンピュータ、現金自動預払機、電話、セルラー機器、または他の演算装置を使用するユーザ１０は、機関１００とのトランザクション（たとえば、サービスへのログイン、購入、金融口座の開設等）の実行を望み得る。ユーザ１０および機関１００は、たとえば、１つ以上の通信ネットワーク５０、たとえば、インターネット（Internet）、セルラーシステム、イントラネット、データライン、ネットワークの組合せ等を介して通信し得る。一実施例において、機関１００は、ユーザのコンピュータシステム上に表示されるウェブページを提供する。このような場合、この発明の一実施例に従った方法の一部を実行するプロセッサまたはコントローラは、ユーザ１０に位置付けられ得る。実施例によっては、機関に接触するためにユーザが使用する端末またはインターフェイスが、機関自体に配置され得、通信ネットワークが全く必要とされないか、または可能性としてほとんど必要とされ得ないことがある。機関１００は、１つ以上の演算システム１１０を含み得、演算システム１１０は次いで、プロセッサまたはコントローラ１１２およびリスクベース認証ローカルモジュール１２０を含み得る。リスクベース認証ローカルモジュール１２０の機能は、リスクベース認証ローカルモジュール１２０内に実質的に含まれ得（たとえば、自立型のソフトウェアモジュール）、または、その一部または全部が別の場所に含まれ得る。たとえば、リスクベース認証ローカルモジュール１２０は、たとえばプロセッサまたはコントローラ１３２を含み得る外部のリスクベース認証サーバ１５０と（たとえば通信ネットワーク５０または他の方法を介して）通信することのできるプラグインまたはシェルであり得る。リスクベース認証サーバ１５０は、リスクベース認証機能の全部または一部を含み得、リスクベース認証ローカルモジュール１２０を介して機関１００と通信し得る。リスクベース認証ローカルモジュール１２０は、機関１００（または機関１００が提供するウェブサイト）と認証サーバ１５０との間の通信を可能にする別の適切なモジュールであり得る。

一実施例において、認証サーバ１５０等のシステムまたは別の適切なシステムは、トランザクションを開始するユーザ要求か、または、トランザクションおよび／または当該トランザクションへの参加を望むユーザについての情報（たとえば金融トランザクション、口座の開設等）を受信し、トランザクションのリスクレベルを査定し、このリスクレベルに基づいて、当該トランザクションに関する認証のレベルを設定することができる。トランザクションに対する認証のレベルが設定された後に、ユーザの認証を実行することができる。実施例または態様によっては、要求を受取る前に、ユーザ認証の詳細をユーザから受取ることができる。トランザクションのリスクレベルの査定は、たとえば、トランザク
ションの評価、トランザクションのサイズの査定、トランザクションに関連するデータの査定、ユーザの評価、ユーザの身元もしくはユーザが自らを何と名乗っているかの評価、特定の基準に関する当事者の評価、ユーザのリスクレベルの査定、一般的もしくは一時的なリスクレベルの査定等であり得るか、または、これらを含み得る。認証は、たとえば、ユーザに何かを行なうか、もしくは情報を提供するように求める任意の活動、または、何らかの態様でユーザの身元を証明することが意図される情報をユーザから抽出する任意の活動を含み得る。ユーザ要求またはユーザデータは、認証サーバ１５０から機関１００に送信され得、認証サーバ１５０および機関１００は、たとえばリスクベース認証ローカルモジュール１２０を介して通信し得る。リスクベース認証ローカルモジュール１２０は、一実施例において、機関１００がユーザに提示するウェブページと通信し得るが、異なる形態を取ってよい。たとえば、金融機関による口座の開設を望むユーザは、当該ユーザまたはトランザクションについての情報（たとえばトランザクションのサイズもしくは量、または他の情報）を評価してもらうことができ、この評価に基づき、当該トランザクションで必要とされるセキュリティまたは認証の詳細が変更され得る。トランザクションの完了を望むユーザは、たとえば、ユーザの過去のトランザクション履歴が評価され得る場合、リスクに関しても評価され得る。結果的に得られる認証レベルは、トランザクションに影響を及ぼし得る。たとえば、この認証レベルを用いて、ユーザに求められる１組の認証の詳細、たとえば、パスワード、追加情報、たとえば社会保障番号またはセキュリティの質問に対する回答等を決定することができる。認証レベルを用いて、そのトランザクションについてのログインセキュリティの１組のレベルの中から、リスクレベルに基づいて選択を行うことができる。認証レベルのこの設定は、トランザクションが既に開始した後に行なわれ得る。さらに、ユーザは、これまでにまたは既に認証されていることが考えられる。

実施例によっては、ユーザに求められる認証の種類は、認証もしくはセキュリティの詳細のさまざまな組の中からの１組等のリスク査定に基づいて選択され得、または、或る認証モードもしくはセキュリティモードが選択され得る。現在のリスク査定方法は一般に、トランザクションを却下するか否かのみを決定する。

たとえば、或るリスクレベルが決定されたことに基づき、追加の認証またはさらなる認証が必要とされ得る。たとえば、一実施例はまず、第１の認証ステップに従ってユーザを認証し、次に、追加の認証ステップ（たとえば最近のトランザクション番号、秘密の質問についての回答）を必要とし得る。或るリスクレベルが決定されたことに応答して、一実施例は、一般には使用されないか、または任意の或る認証ステップ（たとえばパスワード、トランザクション番号の入力）を義務付けるか、または要求することができる。

この発明の実施例において、リスク査定、セキュリティレベル、または認証レベルは、特定のトランザクションまたはユーザに関連しない因子、たとえば、今日のサイバーアタックの急増、行政団体または貿易団体の警告等の「環境リスク」によって引き上げられ得る。

より強力な認証を実行し得るため、たとえば「実行中」またはトランザクション中に、リスク査定および／またはユーザの認証用に後で使用され得る高品質のユーザデータまたはトランザクションデータを収集することが望ましいことがあり得る。リスクレベルが十分に低いか、または或るしきい値未満であると判断された場合、ユーザおよび／またはトランザクションデータは、たとえば後の使用に備えて収集され得る。このことは、たとえば、ユーザに個人的な質問を提示すること、このようなユーザへの潜在的な通信チャネルに関する情報を収集すること等によって行なわれ得る。収集したデータに基づいて後に使用され得る、より強力な認証は、たとえば、収集したデータに基づいて追加の質問を与えてユーザを誰何すること、ユーザにより供給された通信チャネルの詳細を介してユーザと
通信すること（たとえば、ＳＭＳを介して携帯電話に新規のパスワードを送信することであり、この場合、電話の詳細が、トランザクション中に収集される）を伴い得る。

実施例によっては、ユーザが、或るユーザであるか、ユーザの或るリスト上に記載されているか、または、ユーザの好ましい組もしくは予め定められた組、たとえばＶＩＰリストに記載されている場合、および／または、トランザクションが或る基準を満たす場合に、リスクレベルが変更され得るか、リスクレベルの決定が無効にされ得るか、あるいは、追加の詳細、任意のセキュリティの詳細、もしくは任意の認証の詳細を提供する要求、または認証レベルの設定が無効にされ得る。たとえば、或る顧客（たとえば、ＶＩＰ顧客、好ましい顧客、または予め定められた顧客等）は、認証のない状態か、または認証を減じた状態で、トランザクションおよび機能の実行が許可され得る。実施例によっては、たとえばリスクレベルが低いと判断された場合に、このことが行なわれ得る。ユーザが本質的に一段とリスクの高い動作を実行する場合、認証または高度な認証が必要とされ得る。たとえば、或る１組の銀行取引の顧客は、リスクが低い場合（たとえばユーザが、自分自身の常用しているコンピュータから、当該サービスに通常アクセスするいつもの時刻にログインしていると判断された場合等）、認証を受けずにオンラインバンキングのサイトに進入して基本的な機能を実行することが許可され得、認証は、ユーザがより高リスクの動作（たとえば、異なる口座に高額の振込を行なう等）を実行する時点まで延期される。最初のリスクレベルが高い場合、認証がまず義務付けられ得る。たとえばログインが、盗難されたコンピュータからのものであるか、外国からのものであるか、または、ＶＩＰユーザがこれまで使用していなかったコンピュータからのものであると判断された場合、その顧客に対する特例は許可され得ない。このようなデータ収集は、さまざまなモジュール、たとえば「フロントエンドの」プロキシサーバによるか、または他のモジュールを介して行なわれ得る。

この発明の実施例は、個人の身元に関する高度な保証を提供することができ、金融口座を不正に開設してこれらの口座へのアクセスを得て、これらの口座から資金を引出すか、またはこれらの口座を使用するための、盗まれた身元、盗まれた身元情報、または虚偽の身元情報の使用を減らすことができる。

一実施例において、リスクのレベルがしきい値を上回ると判断された場合、ユーザは、トランザクションを開始するために提供したものに加え、セキュリティまたは認証の詳細、たとえば情報か、または他の情報を提供することを求められ得る。セキュリティまたは認証の詳細の最初の１組（たとえばユーザの身元、パスワード、課金情報、または他の情報）が入力された後に、ユーザまたはトランザクションのリスクレベルが評価され得る。

図２は、この発明の一実施例に従った高レベルのデータフローの図である。このようなデータフローは、たとえば図１もしくは図３に示したものと同様のシステムか、または他の適切なシステムとともに使用され得る。ユーザ１０は、オンライントランザクションのログインページに移動し得る（操作２０１）。操作２０２において、ユーザ１０は、たとえばリスクベースのシステムを使用せずにユーザが認証するのと同様に、認証することができる（たとえば、ログイン、身元およびパスワード情報の入力等）。機関１００（たとえばオンラインサービスプロバイダ）が、その標準的な方法を用いて最初の認証を実行することができる。一実施例において、リスクベース認証ローカルモジュール１２０および／またはリスクベース認証サーバ１５０は、ユーザの身分証明、ログオン情報、もしくは他の情報を認識する必要はなく、または、最初の認証自体を処理する必要はなく、すなわち、機関１００からログインの結果を単に受取ることができる。操作２０３において、機関は、（たとえばオンラインサービスアプリケーションを介して）リスクベース認証ローカルモジュール１２０に要求を送信することができ、リスクベース認証ローカルモジュール１２０は、たとえばユーザのウェブブラウザまたは別の方法を介して、リスクベース認
証サーバ１５０に情報を転送することができる。

操作２０４では、活動（ログイン等）が評価されて、この活動がさらなる認証を必要とするか否かを確認することができる。リスクベース認証サーバ１５０はまた、追加情報の収集も決定することができる。操作２０５では、さらなる認証が必要とされない場合、リスクベース認証サーバ１５０は、たとえばブラウザの宛先変更を介してリスクベース認証ローカルモジュール１２０（これは、たとえばプラグインであり得る）と通信することができ、標準的な移動が続く。操作２０６では、追加の認証が必要とされる場合、リスクベース認証サーバ１５０は、リスクレベルに応じて選択された方法で、ユーザ１０に認証の実行を求めることができる。操作２０７では、データが確認され得る。操作２０８では、データが合致した場合、リスクベース認証サーバ１５０は、（たとえばブラウザの宛先変更を介して）リスクベース認証ローカルモジュール１２０と通信することができ、ユーザ１０は、先に進むことが許可され得る。

実施例によっては、現時点で評価されているトランザクションは、記憶されたデータ（たとえばトランザクションデータ、ユーザデータ、規則）に影響を及ぼし得る。現時点で評価されている当該トランザクションに対するリスク評価は、この記憶されたデータに基づく。このようなデータを記憶するデータベースは、現在のユーザまたはトランザクションに基づいて変更され得、したがって、システムは、認証−リスクエンジンのフィードバックを含み得る。リスクエンジンまたはリスク判断の処理は、認証の質問が提示された後に、認証結果に基づいてリアルタイムで変更され得る。たとえば、詐欺行為が疑われる場合、セキュリティの要件が引き上げられることが考えられ、ユーザは追加の認証を求められ得る。追加の認証の要件の結果に基づき、リスクエンジンまたは適切なデータベースは更新または微調整され得る。

図３は、この発明の一実施例に従ったリスクベース認証システムを示す。特定のモジュールを備えた特定の構造が示されているが、異なる機能を有する他の適切な構造を使用してよい。たとえば、リスクベースの分析を要求する機関とは別個のリスクベースのシステムを使用する必要はなく、すなわち、このような機能は、機関において、または可能性として作業員によって実行され得る。

図３を参照すると、リスクベース認証システム１４０の全体は、リスクベース認証ローカルモジュール１２０（これは、たとえばプラグインであり得る）およびリスクベース認証サーバ１５０を含み得る。リスクベース認証ローカルモジュール１２０は、たとえば、暗号の妥当性を検査する能力と、プロキシセッション情報にセッション情報をマッピングする能力とを含み得る。リスクベース認証ローカルモジュール１２０は、機関のトランザクションシステムのインターフェイスとなり得、トランザクションシステムと別個の認証システムまたは遠隔の認証システムとが通信することを可能にし得る。ユーザ情報データベース１６０は、たとえば、ユーザ情報（たとえば名前、電話番号等）を含み得る。トランザクションのプロバイダまたは機関は、ユーザ情報データベース１６０にこのような情報を提供することができ、および／または、データは他のソースを介して獲得され得る。

決定エンジン１５７は、たとえば、リスクスコアを受取り、どの認証のオプションが利用可能であるかを調査し、どの動作を取るべきかを決定することができる。機関またはサービスプロバイダは、決定エンジン１５７を設定し、その決定しきい値を変更し得ることが考えられる。決定エンジン１５７が関与し得る他の制御の局面には、たとえば、任意の認証ステップを義務付けること、もしくはその逆か、たとえばユーザがＶＩＰリストもしくは他のリストに記載されている等の何らかのオーバーライド因子に基づき、可能性としてリスクレベルに関わらず、既に実行されたものに対して認証を全く行わないという追加の認証ステップを追加すること、より以降の時刻まで認証を延期すること、セルフサービ
スによるプロファイル変更活動、たとえばパスワードの回復、アドレスの変更等を認めないこと等が含まれ得る。たとえば、ユーザが「リスクの高い」場所から検索している場合、セルフサービスによるパスワードの回復は認められ得ない。たとえば、時間外または昼間以外にリスクの高い操作が実行されるか、または認証が実行される場合にのみ、ＶＩＰユーザまたは特別なユーザは、認証を求められ得る。

決定エンジン１５７または他のモジュールの機能は、たとえば、プロセッサまたはコントローラ１１２または１３２等のプロセッサ上で実行されるソフトウェアを用いることにより、異なる適切な態様で実行され得る。

リスクベース認証サーバ１５０およびリスクベース認証ローカルモジュール１２０は、たとえば、暗号署名モジュールに関連付けられ得るアクセス制御サーバ１５２を介して通信することができる。リスクスコアリングモジュール１５４は、たとえば、ユーザ−コンピュータ間のマッピング、不正なフィンガープリンティング、速度チェック、特定のユーザの活動プロファイルおよび履歴、ＩＰの地理的位置およびＩＰの盗難検出、または、追加のもしくは他のソース等のさまざまな情報源に基づき、活動のリスクを点数化することができる。リスクスコアリングモジュール１５４は、たとえば一般的なインターネットアクセスと、活動に固有の用途との両方に関し、さらなるリスク点数化のために、ユーザプロファイルを追跡および更新することができる。

リスクスコアリングモジュール１５４は、１つ以上のＥリスクモジュール１７０と、（たとえば臨時の、静的な等の）１組の規則１７２を含むデータベースと、１組の外部データベースおよび検出エンジン１７４と、プロファイラ１７６と、１組のユーザ活動プロファイル１７８を含むデータベースと、１組の詐欺行為プロファイル１７９を含むデータベースと、詐欺行為発見器（fraud miner）１８０とを含み得るか、またはそれらに関連付けられ得る。他の構成要素または構成要素の組を使用してよい。ユーザ活動データベース１７８は、たとえば、システム内の各ユーザについての蓄積された情報を含み得る。プロファイラ１７６は、たとえば、ユーザ活動データベース１７８を更新することができる。ユーザ活動データベース１７８内のプロファイルは、たとえば、一般的なデータおよび／または動作に固有のデータを含み得る。さまざまなデータベースは、公知の態様で実現され得、１つ以上のデータベース間に広がり得る。他のデータベースを使用してよく、他の情報を記憶してよい。

Ｅリスクモジュール１７０は、たとえば一般モデルまたは動作に固有のモデルを含み得、これらのモデルは、（たとえば認証ローカルモジュール１２０を介して）オンライントランザクションからの情報を入力として受信することができ、たとえば決定エンジン１５７に出力を提供し得る。１組の規則１７２は、たとえば、特定の詐欺行為の事例が発覚するか、または疑われる場合に使用され得る。活動ログ１８２は、システム全体のすべての活動の詳細なログを含み得、統計的分析のためのデータベースとして働き得る。外部データベースおよび検出エンジン１７４は、たとえばＩＰの地理的位置のデータベースおよび盗難されたＩＰアドレスの検出機能等の、追加のデータベースまたはモジュールであり得る。

詐欺行為発見器１８０または別の適切なユニットは、特定の詐欺師についての情報を収集することができ、このような情報で詐欺行為プロファイルデータベース１７９を更新することができる。詐欺行為発見器１８０は、活動ログ１８２からの情報を使用することができ、たとえば、過去の活動および決定に加え、実際に詐欺行為に遭った銀行等の機関からの入力に基づき、詐欺行為プロファイルを検出することができる。実施例によっては、機関またはトランザクションプロバイダは、過去の活動情報（たとえば、リスクベース認証サーバ１５０の設置前に生じた情報）、詐欺行為を届出るユーザに関する情報等の情報
を、ユーザ活動データベース１７８等のデータベースに直接送信することができる。このような態様で、偽のユーザプロファイルを削除することができ、詐欺的な活動に留意して、たとえば新規の規則を作成することができる。

１つ以上の認証モジュール、サーバ、またはエンジン１５６は、たとえば、ユーザのブラウザまたは他の端末ソフトウェア、インスタントメッセージ通信ソフトウェア、セルラー機器または電話等と通信するためのインフラストラクチャまたは機能を用いてユーザと通信する機能を含み、リスクスコアに応じて決定されたさまざまなレベルの認証をサポートすることができる。適応型認証モジュール１５６は、さらなる認証に必要とされ得る追加情報の提供を、ユーザに事前対応で求めることができる。決定エンジン１５７は、たとえば、リスクスコアを受信し、どの認証のオプションが利用可能であるかを調査し、どの動作を取るべきかを決定することができる。機関またはサービスプロバイダは、決定エンジン１５７を設定して、その決定しきい値を変更することができると考えられる。管理ユーティリティ１５８は、たとえば管理、設定、報告、および事例研究を可能にし得るバックオフィスアプリケーションであり得る。管理ユーティリティ１５８は、たとえば１人以上のオペレータ１５９と通信し得る。データベース１６０は、たとえばユーザ情報、規則等を含み得る。

さまざまな構成要素、たとえばリスクベース認証システム１４０、リスクベース認証サーバ１５０、アクセス制御サーバ１５２、リスクスコアリングモジュール１５４、適応型認証モジュール１５６、決定エンジン１５７および／または管理ユーティリティ１５８の機能は、プロセッサまたはコントローラ１３２等の適切な演算装置によって実行され得、または、演算がより分散している場合は、プロセッサまたはコントローラ１１２および／またはプロセッサまたはコントローラ１３２の組合せ、または他のモジュールによって実行され得る。この発明の実施例に従った方法のさまざまなステップは、記載する施設または機関の１つにおいて作業員によっても実行され得る。

他の実施例において、リスクベース認証システムの機能は、他のコンピュータ間で分割され得る。たとえば、リスクベース認証ローカルモジュール１２０が必要とされず、リスクベース認証システムのほとんどの機能またはすべての機能は、顧客または機関に位置付けられ得る。

本発明のこの説明において示される、「１つのトランザクション」または「複数のトランザクション」という用語は、オンラインもしくは他のトランザクション、対話、サービスへの登録、何らかの種類の認証／質問を用いる再登録およびパスワードの回復、またはさまざまなサービスの使用という、以下の非限定的な例のうちの任意のものを指し得る。トランザクションという用語が、「金融」トランザクションだけでなく、認証を含むどのようなトランザクションにも適用可能であることに注目されるべきである。たとえば、トランザクションは、以下のものに限定されないが、オンラインバンキングのログイン等のトランザクションだけでなく、企業のエキストラネットのログインも指す。トランザクションという用語は、認証の目的に関わらず、ユーザが何らかの手段によって認証されている任意のトランザクションに適用可能であるべきである。上述の内容を限定することなく、以下のリストは、トランザクションという用語が適用され得る或る種のトランザクションを示す。（１）オンライン登録、たとえば、金融口座の開設、すなわち、銀行取引、証券、保険や、たとえばＩＳＰ、データおよび情報のコンテンツの配信の登録や、顧客サービスの登録や、プログラム（共同事業、ＭＬＭ、ベータ等）への登録や、他の同様の種類の任意のトランザクション。（２）オンライントランザクション、たとえば、オンライン購入、Ｂ２Ｂ、Ｂ２ｃ、およびＣ２Ｃトランザクションや、電子請求支払いや、インターネットＡＣＨプロバイダや、口座間での振込や、オンライン株取引や、オンライン保険支払いや、或るオンラインバンキングのトランザクションや、納税申告または他の同様の任
意の種類のトランザクション。（３）オンライン申込み、たとえば、クレジットカードや、融資や、会員に関するものや、特許出願または情報や、行政機関に関する出願または他の同様の種類のトランザクション。（４）再認証／再登録によるか、秘密の質問を含む機構を組み合わせるか、または上述のものの組合せによる、オンラインでのパスワードの再設定に加え、個人データへのオンライン変更または更新。（５）制限されたサービスへの任意のログイン、またはリスクの要素を含む他の操作。他の適切なトランザクションも同様に含まれ得る。

この発明の実施例は、サービスまたはトランザクションのプロバイダ（これは、この明細書において、たとえば機関またはトランザクションプロバイダと呼ばれ得る）が、たとえば特定のトランザクションのリスクレベルを評価すること、および、必要とされる認証のレベルをトランザクションのリスクレベルに適合させることにより、このようなトランザクションの実行またはこのようなサービスへのアクセスを試みる個人または企業（これは、この明細書において、たとえば出願人、トランザクション実行者、またはユーザと呼ばれ得る）の身元をより良好にかつ確実に認証することを可能にし得る。このような評価、またはこのような認証のガイダンスまたは制御は、たとえば、リスクベース認証サーバ１５０および／またはリスクベース認証ローカルモジュール１２０によって実行され得る。

査定の後に、或るトランザクションによって提示されたリスクレベルを査定することが可能であるにも関わらず、現在、プロバイダは依然として、固定されたレベルのセキュリティを主張する。この発明の一実施例に従い、トランザクションプロバイダは、たとえば、所定のトランザクションの推定リスクレベルに基づき、認証のレベルおよび品質を調節することができる。その推定リスクが低いトランザクションについては、認証のセキュリティレベルを下げることができ、その推定リスクが高いトランザクションについては、認証のセキュリティレベルを上げることができる。認証のセキュリティレベルは、「実行中に」（たとえばトランザクションが発生している間に）調節され得る。この発明の一実施例において、トランザクションプロバイダは、全トランザクションに適用される或るレベルの認証を実施し、その後、そのリスクが或るしきい値またはリスクレベルとは相違すると判断されたトランザクションに対してのみ、異なるレベルの認証を要求することができる。上述の内容を限定しない、このような実施例に対する一例が、オンラインバンキングサービスであり、このオンラインバンキングサービスは、サービスへのアクセスまたはサービスの使用を行なうために、全ユーザにユーザ名およびパスワードの提出を求めるものの、そのサービスへのアクセスまたはサービスの使用がより大きなリスクを伴うと判断されると、このようなトランザクションを実行するユーザは、追加の認証ステップを実行することが求められる。

したがって、いくつかの実施例に従った処理は、所定の各トランザクションのリスクを査定し、それに従って適切なレベルの認証を要求することができる。

この発明の或る実施例において、トランザクションのリスク評価は、以下の基準のうちの任意のもの、または同様の基準に基づく。他の適切な基準を使用してよい。当業者は、トランザクションの種類および特性に加え、トランザクションに関する情報の利用可能性に依存して、以下のリストを調整および拡張し得ることを理解されるべきである。（１）「マイナスの」および「プラスの」リストの使用。これらのリストは、或る種のトランザクションに関連する任意の情報に基づいて規定され得る。このような情報は、以下のものに限定されないが、ＩＰアドレスおよびそこから得られる情報（位置、構成等）、ソース、アドレス、ユーザ、課金情報、製品の型、トランザクションの量、時刻、曜日、課金の種類、生年月日、トランザクションの速度、課金番号、装置のＩＤ／指紋や、盗難されたコンピュータ／トロイに感染したコンピュータの表示子、または他の適切な情報に加え、
このような基準の任意の組合せを含み得る。「マイナスのリスト」は、「リスクがより高い」要素のリストであり得、すなわち、所定のデータ要素がマイナスのリストに合致することにより、そのトランザクションのリスクがおそらくより高いことが示される。「プラスのリスト」は、「より安全な」要素のリストであり得、すなわち、所定のデータ要素がプラスのリストに合致することにより、そのトランザクションがおそらくより安全であることが示される。「マイナスの」および「プラスの」リストは、基準と、情報の集合の範囲と、高い／低いセキュリティへの統計的な相関関係を有する母集団とを認識する他の何らかの処理によって手動で構築されるか、または自動的に値が入力され得る。トランザクションプロバイダは、たとえば自社開発の（proprietary）リストを維持することができ、または、このようなリストを共有することができる。（２）ユーザベースのトランザクションプロファイルまたは課金ベースのトランザクションプロファイルの作成。この作成は、特定のトランザクションとこのプロファイルとを比較するためのものである（ここで、このようなプロファイルは、たとえば以下のものに限定されないが、ＩＰアドレス、ソース、アドレス、ユーザ、トランザクションの一般的なタイミング（時間および／または日）についての情報を含み得る）。特定のトランザクションのプロファイルが、このプロファイルと相違することにより、より高いリスクレベルが示され得る。（３）販売者またはサービスプロバイダのトランザクションプロファイルの作成、および特定のトランザクションとそのプロファイルとの比較。「販売者またはサービスプロバイダのプロファイル」は、たとえば、特定の販売者またはサービスプロバイダ（サービスプロバイダは、たとえば発行者を意味し得る）の全ユーザの総合プロファイルであり得る。たとえば、特定の販売者のユーザの９９．９％が米国に居住している場合、フランス（France）からのトランザクションは、たとえフランスが高リスクであるとは一般に考えられていない場合でも、より高リスクであると考えられ得る。（４）特定のアカウントにより実行されるか、または或るＩＰアドレス、ユーザ、もしくはソースから生じるか、または、或る販売者またはサービスプロバイダにおいて行なわれるトランザクションの速度の測定。速度が或るしきい値を上回る場合、その速度は、より高いリスクレベルを示し得る。（５）或るＩＰアドレス、ソース、アドレス、ユーザ、販売者、またはサービスプロバイダから生じるトランザクションを実行するアカウントの数および／または速度の測定。速度が或るしきい値を上回る場合、その速度は、より高いリスクレベルを示す。（６）さまざまなリスクスコアリングサービスプロバイダによって開発されたアルゴリズムの使用、またはこのようなサービスから、リスクスコアを実際に獲得すること。（７）統計的プロファイリング、たとえば、特定のトランザクションのリスクを求めるために用いられ得る統計的プロファイルを確立すること（たとえば、ＩＰの地理的位置と郵便番号等の地理的データとを突き合わせて統計的プロファイリングを示す。たとえば、その郵便番号が領域Ａ内に存在する顧客が、領域Ｂ内に位置するＩＰからオンラインバンキングのサイトにアクセスする場合、これは、領域Ａ内のユーザの統計的プロファイルと相違する）。トランザクションおよび／またはユーザのリスクレベルを査定するための他の適切な方法を使用してよい。

この発明の一実施例に従うと、所定のトランザクションのリスクを査定するために、以下の非限定的な１組の原理を使用することができる。（１）たとえば、通信データの分析（ＩＰレベルのデータ、地理的位置、およびＩＳＰの特定、すなわちデータソース）、事前対応による装置のマッピング（暗号化されたクッキー、コンピュータのタグ付け）、ならびに顧客／ユーザの認証挙動のプロファイリングに考慮するプロファイリング技術に基づき、サービスの顧客／ユーザを認識すること。（２）盗難されたコンピュータのフィンガープリンティング、ＩＰのメタデータのブラックリストの作成、認証段階における典型的な詐欺師の挙動の追跡、および他の同等の技術等の機構を導入することにより、詐欺師を認識し、当該詐欺師に特有の特性に基づき、その位置を正確に指摘すること。（３）活動の疑わしいパターン、および、通常の挙動プロファイルからの疑わしい相違の検出を意図した統計的分析。他の適切な技術を用いてよい。

この発明の或る実施例によると、一般的なインターネットアクセスおよび活動に固有のプロファイリングを使用して、トランザクションリスクを査定することができる。この一般モデルは、任意の所定のサービスのすべてのオンライン動作に対して当てはまるパターンを含み、アクセスおよび通信レベルのデータを追跡することを主に伴う。活動に固有のモデルは、所定のオンラインサービス内の特定の領域の保護用に使用されるときにのみ、導入される。このような場合、オンライン活動の各種類に固有のパターンが標的となり得る。たとえば、オンラインバンキングのサービスの認証を改良するためのこの発明の一実施例を使用する場合、一般的なプロファイリングは、そのサービスに対する全ログインに適用され、活動に固有のモデルは、たとえば振込、プロファイルの変更、支払等の特定の活動に適用される。

トランザクションのリスク評価は、たとえば、最初の認証を実行する前か、トランザクションの実行中か、または、トランザクションの完了後に、以下のように実行され得る（リスク査定は、トランザクションのさまざまな段階で実行され得ることに注目されるべきである。リスク査定は、１つのこのような段階か、２つ以上の段階か、または、トランザクションの全段階においても、実行され得る）。（１）トランザクションの開始前におけるリスク査定の実行。この段階でリスク査定が実行されると、ユーザに対して行なわれる最初の認証情報の要求は、リスク査定の結果に基づき得、リスクレベルに依存して変化し得る。この段階でのリスク査定の実行は、それほど感度が高くない。なぜなら、この時点で査定を行うのに利用できるデータが少ないことが考えられるためである。しかしながら、この段階での査定の実行は、ユーザビリティに対して、他の方法よりも良好な影響を及ぼし得る。なぜなら、この段階での査定の実行が、認証の流れ全体に影響を及ぼし得るためである。（２）トランザクションの実行中におけるリスク査定の実施。この手法を用いる際には、最初のレベルの認証が必要とされ得る。最初の認証情報の提出後に、トランザクションのリスクレベルが再査定され得る。そのトランザクションのリスクが高いと見なされる場合、追加の認証情報が要求され得る。この手法は、リスク査定により多くのデータが使用され得るようにすると考えられる。なぜなら、最初のトランザクションの認証を試みる間に、より多くの情報が収集され得るためである。（３）トランザクションの認証の完了後におけるリスク査定の実行。この手法を用いる際には、トランザクションが認証される。認証の後に、実行されたか、または実行が試みられた実際の操作に基づき、ユーザは、追加の認証情報を提供するように求められ得る。たとえば、以下のものに限定されないが、特定の口座に通常は残高繰越のみを行なうオンラインバンキングのユーザが、異なる口座への残高繰越を試みている場合、システムは、追加の認証データを求め得る。これは、認証後に実行された操作が、通常のユーザプロファイルと合致しないために、そのトランザクションのリスクがより高いと思われる場合である。

この発明の一実施例に従うと、トランザクションのリスクレベルを査定した後に、追加のセキュリティの措置が必要であるか否かの決定が行なわれ得、たとえば、そのトランザクションに対する認証レベル、またはユーザに要求される認証レベルを設定または変更することができる。このような措置が必要とされる場合、認証レベルは、トランザクションリスクに適合させる必要があると考えられる。たとえば以下の考慮事項に従い、広い範囲の認証方法の使用が可能である点に注目されるべきである。利用可能なさまざまな認証方法は、トランザクションプロバイダによって優先順位が付けられ得る。優先順位を設定する際に、いくつかの実施例に従った方法は、各認証方法の良い点および悪い点を考慮することができる（たとえば、以下のものに限定されないが、或る方法は第三者の費用を要するが、他の方法は必要とせず、或る方法では、本物のユーザの失敗率がより高くなり、或る方法は、フィッシングを受けやすいが、他の方法は受けにくい、等）。加えて、これらの認証方法の各々の使用は、或るユーザの能力または或る情報が、その特定のユーザのために記憶されることを必要とする（たとえば、以下のものに限定されないが、共有秘密の使用は、ユーザの共有秘密がトランザクションプロバイダのデータファイルに存在するこ
とを必要とし、ＳＭＳ／電話を介した動的ＰＩＮの使用は、ファイル上にユーザの電話番号を有することを必要とし、ＥＭＶの２因子認証の使用は、ユーザがチップカードおよびリーダを受取った場合にのみ可能である）。加えて、これらの認証方法のいくつかは、或る環境で使用することができないという制約を有する（たとえば、以下のものに限定されないが、ＳＭＳ方法を介した動的ＰＩＮは、ユーザにより現在使用されているＩＰが、十分に良好なセルラーのインフラストラクチャとＳＭＳの配信時間とを有する国（このような国のリストもまた、トランザクションプロバイダによって変更可能である）から由来する場合にのみ使用され得る。査定および利用可能な認証方法の優先順位付けの後に、トランザクションプロバイダが、各方法の導入に関してどのような制約があるかを確認し、その制約に見合う最適な方法を選択する必要があることが考えられる。

この発明の一実施例によると、トランザクションは、以下の動作モードのうちの任意のモードの使用を選択することができる。（１）フォールバックを有する認証。これは、（プロバイダによって規定された）多数の連続した時間にわたり、最も好ましい利用可能な認証方法の完了に失敗した後、ユーザに対して代替的な認証方法（優先順位のリストでユーザが次に利用可能なもの）が提示され得ることを意味する。（２）フォールバックを有さない認証。これは、（プロバイダによって規定された）多数の連続する時間にわたり、第１の認証方法の完了に失敗した後、ユーザに代替的な認証方法が提示されない場合があることを意味する。（３）追加の認証が全くないもの。

この発明の一実施例に従うと、トランザクションプロバイダは、ほとんどのトランザクションに対して必要とされる認証しきい値を下げ、リスクが低くない場合にのみ追加のデータ要素を求めることができる。このことが意味するのは、この発明の一実施例を用いることにより、トランザクションプロバイダが、ほとんどの人々によるそのサービスの使用をより容易にすることができ、かつ、リスクの高い操作または詐欺行為の疑いに対してのみ、その使用をより一層難しくし得ることである。その結果、消耗が減少し、顧客サービスの費用が低下し得る。

ここに記載するこの発明の実施例を限定することなく、この発明の実施例を、たとえば、以下に示す追加の認証方法のうちの任意のものと共に使用して、トランザクションリスクの査定後に、セキュリティのレベルを適合させるか、または認証レベルの要件を変更することができる。（１）共有秘密、すなわち、トランザクションプロバイダに認識されている、ユーザの共有秘密（たとえば生年月日または郵便番号）の使用。（２）時間依存性の秘密、すなわち、経時的に変化する秘密をユーザに提供するように求めること（たとえば、最近行なわれた入金または引出の額）。（３）無作為化された秘密の質問、すなわち、ユーザに対し、当該ユーザから以前に収集した回答を提供するように求めること。（４）帯域外認証方法、すなわち、動的ＰＩＮを、ＳＭＳ等の帯域外チャネルを介して携帯電話に配信すること、音声呼出を陸上通信線または携帯電話に配信すること、またはインスタントメッセージの送信を行うこと。（５）２因子認証、すなわち、ＥＭＶのチップカードベースの認証／他のトークンとの一体化。

一実施例において、トランザクションのリスクレベルの査定後に、たとえば以下の方法のうちの任意のもの、または他の適切な方法で認証のセキュリティレベルを変更または調節することができる。（ｉ）特定のトランザクションの推定リスクレベルに依存して、当該トランザクションを認証するためにより多くの情報またはより少ない情報を要求すること。この調節は主に、必要とされるデータ要素の数を基準とし得る。（ii）トランザクションのリスクレベルに基づき、或る情報要素を主張すること、または主張しないこと。この調節の場合、或る情報の要求が義務付けられ得る。（iii）或るセキュリティの措置を義務付けるか、または任意にすること。

この発明の一実施例において、トランザクションプロバイダは、トランザクションのリスクレベルに基づき、どのような認証をも行わないか、または代替的に、全ユーザに１つの認証の要求を提示するものの、或るユーザには認証から出ることを選択させる（たとえば認証は、このようなユーザにとって任意となる）か、または代替的に、全ユーザに対して認証を任意にしながらも、或るユーザに対してのみそれを義務付けることを決定することができる。

この発明の一実施例において、各活動のリスクは、対話技術を用いて推定することができ、対話型認証の適切なレベルをトランザクションの特定のリスクと付き合わせ、その後、認証結果をリスク査定モジュールにフィードバックすることができる。たとえば、高速度のトランザクションが、以前に記録されていないＩＰプロシキから由来していることが検出される。このことは、複数のアカウントに詐欺行為を行なうために特定のサーバを使用する詐欺師か、または、可能性として本物かつ新規のプロシキサーバを示し得る。このような情報は、関連するデータベースおよび規則集合にリアルタイムでフィードバックされ得る。リスクが通常よりも高いことにより、システムは、追加の認証ステップを開始することができ、または、トランザクションの認証レベルを引き上げることができる。認証結果は、リスクスコアリングモジュールにフィードバックされ得る。ほぼすべての認証が失敗した場合、このことは、詐欺師を示すと考えることができ、特定のＩＰがブラックリストに記載され得、より高いレベルの認証（または自動的な却下さえも）が使用され得る。しかしながら、ほとんどの認証が合格した場合、このことは、１台のプロキシサーバを用いる複数の本物の顧客を示し、リスクエンジンは、それに応じて更新され得る。今後、リスクエンジンは、このＩＰに対して通常のリスクレベルを示し得るため、システムは、これらのトランザクションに対して追加の認証を要求することを止め得る。したがって、「障害（insults）」がより一層少なくなる。

この発明の一実施例の使用についての以下の例は、方法の特定の実現例を示すことが意図される、単なる例示である。これらの例は、或る分野か、或る種のトランザクションか、さらには或る種のリスク査定方法か、または、認証レベルへの或る種の調節に、この方法の利用可能性を限定することを意図しない。

一例に従うと、この発明の一実施例は、査定されたトランザクションリスクに依存して、オンラインバンキングのログイン中に認証レベルの調節を補助し得る。

多くの銀行は、オンライン口座へのログイン中に極めて高いレベルのセキュリティを主張し、銀行のオンラインユーザがオンラインバンキングサービスにログインすることを望むたびに、当該ユーザに対し、多くの詳細（データ要素等）の提供を求め得る。このような詳細には、たとえば、ユーザ名、および／または銀行が選択したパスワード／ｉｄ番号、および／またはユーザが選択したパスワードおよび／またはユーザのｉｄ番号（たとえばＳＳＮ、国民ＩＤ番号、または他の任意のユーザに固有の詳細（たとえばユーザのみが知る名前、生年月日））が含まれ得る。

極めて高いレベルのセキュリティを主張することによって詐欺行為が減少し得るにもかかわらず、このことは犠牲を伴わないわけではない。このような高いレベルのセキュリティを維持することにまつわる主な犠牲は、トランザクションの放棄、オンラインバンキングの低使用率に加え、顧客コールセンターへの大量の呼出である。

この発明の一実施例は、たとえば以下のように、推定リスクレベルにセキュリティのレベルを効率よく調節することを可能にする（他の操作または一連の操作を使用してよい）。

１．たとえば、ユーザ名およびパスワード（またはユーザ名が自動的に記入されて、パスワードのみも考えられる）から、これ以外に要求された詳細の全リストに及ぶ、ログインセキュリティのいくつかのレベルの規定。

２．特定のログインまたはトランザクションのリスクを査定するためのリスク査定の実行（たとえばリスク査定エンジンの使用）。この処理は、このレベルに応じ、適切なログインセキュリティレベルを選択し得る。

３．リスク査定に使用される詳細は、以下のものを含むか、または、他の適切な組の詳細を含み得る。

ｉ．現在のログインの詳細。たとえば、ユーザの身元（これは、たとえばＩＰ情報に関連し得る）、ユーザの場所、ＩＰアドレス、ＩＰアドレスの地理的位置、ログインの日時（いずれもＧＭＴであり、地方時間帯に調節される）、ブラウザ、ローカルコンピュータに記憶されたクッキー、オンラインログインアカウント、ログインページがダウンロードに要する時間、ユーザが応答（たとえばログインの詳細の提出）に要する時間、ユーザが種々のフィールドまたは種々の文字さえも入力するのに要する時間、ユーザが詳細を入力する間に、これらの詳細の訂正を要したか否か。

ii．登録の詳細（たとえば、ユーザがサービスを登録した時刻からの詳細）、上の（ａ）と同様。

iii．履歴ログインの詳細。上の（ａ）と同様。
iv．ログインユーザのオンライン活動のプロファイル（たとえば、ユーザが通常、どのような活動をいつ行なうか）。

ｖ．同じ年齢グループ、社会経済的なグループに属する他のユーザ、または、他のプロファイルグループのユーザのログイン活動のプロファイル。

リスク査定は、オンライントランザクション処理のさまざまな段階中に実行され得る。それらは個々に使用され得、または、共に組合され得る。ログインまたはトランザクションの開始前にリスク査定が実行される場合、この段階では、存在する詳細がより少ないことが考えられる。この代替例が使用されるとき、ユーザに示され得るログイン画面が異なっていることが考えられ、ログイン画面は、リスクレベルに基づいて選択され得る。ログインまたはトランザクション中にリスク査定が実行される場合、ユーザにはまず、単純なユーザ名およびパスワードまたは同様のログイン画面が提示され得る。ユーザが自分自身の詳細を入力した後に、ログインのリスクレベルが再査定され得る。ログインの現時点でのセキュリティレベルのリスクが高いと考えられる場合、たとえば、さらに別の画面を提示することにより、追加情報が提出され得る。この手法は、リスク査定においてより多くのデータが使用され得ることを可能にする。なぜなら、第１の画面上において、ログインの処理自体の間に、より多くの情報が収集できるためである。リスク査定がログインの後に実行される場合、ユーザは、簡単なログイン手続で開始することができ、ユーザが簡単な詳細を正しく入力した場合、進入が許可され得る。次に、ユーザが実行を試みる実際の操作と、そのセッションの全体的なリスクレベルとに基づき、ユーザは、追加の詳細を要求するさらに別のログイン画面に再度方向付けられ得る。情報を得るために画面の使用が論じられているが、他の方法、たとえば、紙、電話、対面による対話等を用いてよい。リスク査定は、たとえば以下のさまざまな方法を用いて行なわれ得る。

vi．詳細、たとえばＩＰ、地理的位置、オンラインアカウント、日付、曜日／日、時刻等の詳細の、マイナスのリストおよびプラスのリスト。

vii．特定のユーザログイン（またはオンライン活動）プロファイル（過去のログインおよび／または他のオンライン活動に基づく）および／または一般的なユーザログインプロファイルとログインデータとの比較。

４．種々の適切な実現例が使用され得る。リスク査定がログイン前またはログイン中のいずれかに実行される場合に適すると考えられる一例は、以下のようなものである。すなわち、「フロントエンド」プロキシサーバが追加され得、それにより、このプロキシサーバは、ユーザのログインの全詳細をキャッシュすることができる。このプロキシサーバは、（それ自体で、または外部のリスク評価エンジンを用いて）リスク査定を行なうことができ、どの画面を示すべきかを決定することができ、実際の画面をユーザに提示することができる。このプロキシサーバは次に、欠落しているログインの詳細（ユーザが記入しなかった詳細）を記入して、要求を「バックエンド」サイトに提出することができる。このプロキシは、当該「バックエンド」サイトから得る承認に基づき、ユーザからのデータを「実行中に」収集および記憶することができる。プロキシサーバはまた、要求された全データを既に得ている場合、データの妥当性を内部で検査することもできる。バックエンドサイトは、「適応型ログイン（adaptive login）」の特徴が追加される前のサイトであるか、または、「古い」サイトがこれまで認証用に使用していた内部構成要素のいずれかであり得る。

別の例において、一実施例は、3D Secure（登録商標）等のシステムに対し、義務付けられたか、または任意の「実行中の活動」（別名「ＡＯＦ」、「オンデマンド登録（Registration On Demand）」＝「ＲＯＤ」、ＡＤＳ）を決定することができる。3D Secure（登録商標）（別名「ビザ標準による確認（Verified by Visa）」）は、認証標準であり、これは、オンライントランザクション中にカード発行者がカードメンバの身元の認証を行なうことを許可し得る（一般には、オンラインカードによる購入のトランザクションであるが、この認証標準は、他のトランザクションを認証するためにも使用され得る）。他の適切なシステムを同様に使用してよい。カード発行者は、ユーザに対し、このようなサービスに対する事前登録を求め得るが、オンライントランザクション（たとえば、実行中の3D Secure（登録商標）の活動、「ＡＯＦ」）中に当該サービスへの登録を提供することもできる。カード発行者は、このサービスおよびこのサービスへの登録を、カードのメンバに対して任意化するか、または義務付けることができ、それに応じて、ＡＯＦを介したこの登録を、義務付けまたは任意化することができる。登録の任意化対義務付けは、このサービスに基づいた認証もまた、任意であるか、または義務付けられることを意味し得る。任意のＡＯＦは、カードメンバがサービスに登録しないことを選択し得ることを許可し得、3D Secure（登録商標）認証を用いずにオンライン購入（または他のトランザクション）を完了することも許可し得る。ＡＯＦの義務付けは、3D Secure（登録商標）サービスへの登録、および、自分自身を認証してトランザクションの完了が許可され得るようにすることが、ユーザに義務付けられ得ることを意味する。任意のＡＯＦは、詐欺行為に対してカード発行者を十分に保護しないことが考えられ、義務付けられたＡＯＦは、多数のカードメンバが認証サービスへの登録を望まない場合、多数のカードメンバにオンライントランザクションを放棄させ得る。この発明の実施例は、トランザクションの個々のリスクに基づき、ＡＯＦが任意となるべきか、または義務付けられるべきかを組織または処理が決定することを可能にする。

リスク査定またはトランザクションについての詳細は、たとえば以下のものを含み得る。

viii．現在のログインの詳細。すなわち、ＩＰアドレス、ＩＰアドレスの地理的位置、ログインの日時（いずれもＧＭＴであり、地方時間帯に調節される）、ブラウザ、ロー
カルコンピュータに記憶されたクッキー、オンラインログインアカウント、ログインページがダウンロードに要する時間、ユーザが応答（ログインの詳細の提出）に要する時間、ユーザが種々のフィールドまたは種々の文字さえも入力するのに要する時間、ユーザが詳細を入力する間に、これらの詳細の訂正を要したか否か。

ix．登録の詳細（ユーザがサービスに登録した時刻からの詳細）。上の（ａ）と同様。

ｘ．履歴ログインの詳細。上の（ａ）と同様。
xi．ログインユーザのオンライン活動のプロファイル（たとえば、ユーザが通常どのような活動をいつ行なうか）。

xii．同じ年齢グループ、社会経済的なグループに属する他のユーザ、または、他のプロファイルグループのユーザのログイン活動のプロファイル。

xiii．販売者の名前、販売者のＵＲＬ、販売者のアクワイアラのＢＩＮおよび販売者のＩＤ、販売者の国、販売者のＧＭＴのオフセット（すべてPAReqから）。

xiv．購入通貨および金額（PAReqから）。
xv．販売者のTermURLおよびＨＴＴＰの参照元（どのサイトが3-D Secure PAReqを自分達に提出したか、および、どのサイトが自分達からPAResを獲得すべきかを示し得る２つのフィールド）。

xvi．販売者のプロファイルおよびこの販売者において購入を行なうユーザのプロファイル。

別の実施例において、トランザクションの一部または全部は、パスワードまたは他のデータの回復であり得、たとえばユーザまたは申込者は、（たとえばパスワードを忘れたか、もしくは置き場所を誤ったために）パスワードを要求され、または、パスワードがユーザにより再設定もしくは変更される。たとえば、オンラインアカウントへのパスワードは、ユーザが秘密の質問に回答した後に、ユーザにｅメール経由で送信され得る。リスクレベルは、主要な認証（たとえばアカウントへのログイン等）には影響を及ぼさず、パスワードの回復か、または、この主要な認証に関連する秘密の他の任意の回復に影響を及ぼし得る。リスクは、たとえば、再設定のための条件として追加の要件を課すことと、パスワードまたは他のデータを変更するか、または明らかにすることとにより、回復に影響を及ぼし得る。リスクが低いと判断された場合、ユーザは、パスワード情報へのより多くのアクセスが許可され得、またはたとえば、セルフサービスによるパスワードの回復の実行が許可され得る。リスクがより高いと判断された場合、ユーザはたとえば、異なる活動に従事することを求められ得、または、たとえばユーザが顧客サービスの担当者と接触しなければならないようにパスワードのトランザクションが変更され得る。

たとえば、トランザクションにおけるリスク査定またはユーザに対するリスク査定が低いか、または或るしきい値未満である場合、ユーザは、パスワードの回復のために一般的なデータ要素（たとえばＳＳＮ、生年月日、電話番号、運転免許証番号、ＣＶＶ２コード、ＰＩＮコード等）の確定した組の使用が許可され得るが、リスクレベルが高い場合、パスワードの回復のために、より強力な異なる形態の認証を使用することが求められ得る。リスクの判断が低い場合、ユーザは、パスワードの回復に一般的なデータ要素の確定した組の使用が許可され得るが、リスクレベルが高いか、または或るしきい値を上回る場合、新規のパスワードまたは他のデータ項目が、（たとえばファイル上のユーザのｅメール、課金アドレス等への）以前に確立したチャネルを介して、本来のユーザに送信され得る。

図４は、この発明の一実施例に従った処理を示すフロー図である。図４は、たとえば、図１および図３に示す実施例によって生じ得るが、他の適切なシステムによっても生じ得る。図４を参照すると、操作２００において、ユーザはトランザクションを開始する。すなわち、たとえばユーザは、機関に口座を開設するか、または機関から商品を購入する要求を行なう。操作２１０において、トランザクションおよび／またはユーザのリスクレベルが、たとえば機関か、または、たとえばリスクベース認証サーバ１５０等の別個のサービスにより、評価または決定され得る。操作２２０において、リスクレベルに基づき、そのトランザクションに対する認証レベルが設定され得る。操作２３０では、認証レベルを用いて、たとえば、そのトランザクションに対する当事者に要求される１組の認証の詳細を決定することができ、または可能性として、そのトランザクションに関し、セキュリティのレベルの組の中からロギングセキュリティ等を選択することができる。たとえば、認証レベルに基づき、より多いか、またはより少ない情報または詳細が、ユーザに求められ得る。そのトランザクションに対するリスクレベルまたは認証レベルが設定された後に、ユーザの認証が実行され得る。他の操作または一連の操作が使用されてよい。

図５は、この発明の一実施例に従った処理を示すフロー図である。図５は、たとえば図１および図３に示す実施例によって生じ得るが、他の適切なシステムによっても生じ得る。図５を参照すると、操作３００において、決定エンジンまたは別のエンティティが、たとえばアクセス制御サーバから事象の詳細を受信し得る。決定エンジンは、たとえばリスクモジュールと通信して、その事象のリスクスコアを要求することができる。操作３０５において、リスクモジュールは、（たとえば一般的な、および特定の）リスクモデル等を使用し、事象を分析し、リスクスコアを返すことができる。

操作３１０において、決定エンジンは、リスクスコアを獲得することができ、ユーザの情報データベースおよび特定の制約を調査して、どの方法が利用可能な認証方法であるかを決定することができる。操作３１５において、決定エンジンは、利用可能な認証方法およびリスクスコアを構成表と照合し、どの動作を取るべきかを決定することができる。操作３２０において、動作が生じない場合、決定エンジンは、操作３６０を省略することができる。操作３２５において、ユーザの情報収集が行なわれるべき場合、認証および収集サーバは、ユーザの情報データベースに問合せて、データの欠落を判断することができ、適切な構成表を調査してどの要素を収集すべきかを決定することができる。データ収集が完了した後に、ユーザ情報のデータベース（たとえばデータベース１６０）は更新され得る。操作３３０において、認証が行なわれるべき場合、認証および収集サーバは、たとえば顧客またはユーザに別のレベルの認証を実行するように、すなわち、たとえばより多くの情報を入力するように要求するページを表示することができる。認証および収集サーバは、入力されたデータを確認することができる。

操作３４０において、フォールバックを有する認証の場合は、ユーザが或る回数にわたって認証に失敗した後にフォールバックが提供され得る。操作３５０において、フォールバックを有さない認証の場合は、ユーザが或る回数にわたって認証に失敗した後にフォールバックは提供されない。操作３６０において、たとえばプロファイラ１７６等のモジュールは、関連するデータベース、たとえばユーザ活動データベース１７８を更新することができる。操作３７０において、アクセス制御サーバは応答を送信する。他の操作または一連の操作を使用してよい。

図４および図５に示す例は、単なる例示である。すなわち、他の動作または一連の動作を使用してよく、ユーザまたは申込者を評価して、当該ユーザまたは申込者と対話するための他の方法を使用してよい。他の実施例では、インターネットまたはウェブページを使用する必要がなく、対話は、たとえば電話、対面、現金自動預払機を介したもの、または
他の方法を介したものであり得る。

この発明の実施例が、上で特に図示および記載した内容に限定されないことが当業者によって理解されるであろう。むしろ、この発明の少なくとも一実施例の範囲は、前掲の請求項によって規定される。

この発明の一実施例に従った認証システムを示す図である。 この発明の一実施例に従った高レベルのデータフローの図である。 この発明の一実施例に従ったリスクベース認証システムを示す図である。 この発明の一実施例に従った処理を示すフロー図である。 この発明の一実施例に従った処理を示すフロー図である。

Claims (40)

1. トランザクションのリスクレベルを査定するステップと、
   前記リスクレベルに基づき、前記トランザクションに対する認証レベルを設定するステップとを含む、方法。
2. 前記認証レベルを用いて、前記トランザクションに対する当事者に求められる１組の認証の詳細を決定するステップを含む、請求項１に記載の方法。
3. ユーザは、以前に認証されている、請求項２に記載の方法。
4. 前記１組の認証の詳細は、少なくともパスワードを含む、請求項２に記載の方法。
5. 前記リスクレベルに基づき、前記トランザクションに対するログインセキュリティの１組のレベルの中から選択するステップを含む、請求項１に記載の方法。
6. 前記トランザクションが既に開始した後に前記認証レベルを設定するステップを含む、請求項１に記載の方法。
7. 前記トランザクションは、金融トランザクションである、請求項１に記載の方法。
8. 前記トランザクションの前記リスクレベルを査定するステップは、前記トランザクションへの参加を望む当事者を少なくとも評価するステップを含む、請求項１に記載の方法。
9. 前記当事者を評価する前記ステップは、前記当事者が主張する人物であるか否かを評価するステップを含む、請求項８に記載の方法。
10. 前記当事者を評価するステップは、前記当事者が或る基準を満たすか否かを評価するステップを含む、請求項８に記載の方法。
11. 前記トランザクションの前記リスクレベルを査定するステップは、前記トランザクションを少なくとも評価するステップを含む、請求項１に記載の方法。
12. 前記トランザクションの前記リスクレベルを査定するステップは、前記トランザクションのサイズを少なくとも評価するステップを含む、請求項１に記載の方法。
13. 前記リスクレベルの査定を１組の記憶されたデータに基づかせるステップと、前記トランザクションに基づいて前記１組の記憶されたデータを変更するステップとを含む、請求項１に記載の方法。
14. 前記認証レベルを用いて、前記トランザクションに対する当事者に求められる認証の種類を決定するステップを含む、請求項１に記載の方法。
15. 或るリスクレベルに応答して、最初の認証ステップの後に、さらに別の認証ステップを要求するステップを含む、請求項１に記載の方法。
16. 或るリスクレベルに応答して、或る認証ステップを、任意ではなく義務付けるステップを含む、請求項１に記載の方法。
17. 前記トランザクションは、パスワードの回復である、請求項１に記載の方法。
18. 前記トランザクションに対する認証レベルを設定する前記ステップを無効にするステップを含む、請求項１に記載の方法。
19. 前記ユーザが１組の予め定められたユーザの中に存在するか、または前記トランザクションが或る基準を満たす場合に、前記トランザクションに対する認証レベルを設定する前記ステップを無効にするステップを含む、請求項１に記載の方法。
20. 今後のリスク査定のために、ユーザデータまたはトランザクションデータを収集するステップと、前記データを記憶するステップとを含む、請求項１に記載の方法。
21. 今後の認証のために、ユーザデータを収集するステップと、前記データを記憶するステップとを含む、請求項１に記載の方法。
22. 今後のリスク査定のために、トランザクションデータを収集するステップと、前記トランザクションデータを記憶するステップとを含む、請求項１に記載の方法。
23. 前記トランザクションに対する当事者を認証するステップを含む、請求項１に記載の方法。
24. ユーザからトランザクションを開始する要求を受取るステップと、
    リスクレベルに関して前記ユーザおよび前記トランザクションの１つ以上を評価するステップと、
    前記リスクレベルがしきい値を上回る場合に、前記ユーザにセキュリティの詳細を提供するように求めるステップとを含む、方法。
25. 前記要求を受取るステップは、最初の１組の認証の詳細を少なくとも受取るステップを含む、請求項２４に記載の方法。
26. 前記要求を受取るステップの前に、前記ユーザから認証の詳細を受取るステップを含む、請求項２４に記載の方法。
27. リスクに関して前記ユーザおよび前記トランザクションの１つ以上を評価するステップは、前記ユーザの過去のトランザクション履歴を少なくとも評価するステップを含む、請求項２４に記載の方法。
28. 前記ユーザが１組の予め定められたユーザの中に存在する場合、前記ユーザにセキュリティの詳細を提供するように求めるステップを無効にするステップを含む、請求項２４に記載の方法。
29. トランザクションのリスクレベルを査定し、
    前記リスクレベルに基づき、前記トランザクションに対する認証レベルを設定するプロセッサを含む、システム。
30. 前記プロセッサは、前記トランザクションに対する当事者を認証する、請求項２９に記載のシステム。
31. 前記プロセッサは、前記認証レベルを用いて前記トランザクションに対する当事者に求められる１組の認証の詳細を決定する、請求項２９に記載のシステム。
32. 前記１組の認証の詳細は、少なくともパスワードを含む、請求項２９に記載のシステム。
33. 前記プロセッサは、前記リスクレベルに基づき、前記トランザクションに対するログインセキュリティの１組のレベルの中から選択する、請求項２９に記載のシステム。
34. 前記トランザクションの前記リスクレベルを査定することは、前記トランザクションに参加することを望む当事者を少なくとも評価することを含む、請求項２９に記載のシステム。
35. 前記プロセッサは、或るリスクレベルに応答して、最初の認証ステップの後に、さらに別の認証ステップを要求する、請求項２９に記載のシステム。
36. 前記トランザクションは、パスワードの回復である、請求項２９に記載のシステム。
37. ユーザからトランザクションを開始する要求を受取り、
    リスクレベルに関して、前記ユーザおよび前記トランザクションの１つ以上を評価し、
    前記リスクレベルがしきい値を上回る場合に、前記ユーザにセキュリティの詳細を提供するように求めるプロセッサを含む、システム。
38. 前記要求を受取ることは、最初の１組のセキュリティの詳細を少なくとも受取ることを含む、請求項３７に記載のシステム。
39. リスクに関して前記ユーザおよび前記トランザクションの１つ以上を評価することは、前記ユーザの過去のトランザクション履歴を少なくとも評価することを含む、請求項３７に記載のシステム。
40. 前記プロセッサは、前記ユーザが１組の好ましいユーザの中に存在する場合に、前記ユーザにセキュリティの詳細を提供するように求めることを無効にする、請求項３７に記載のシステム。

Images