CIBA: コールセンターなどアウトバンドで顧客を認証

本記事は 2025年1月30日 に更新された「CIBA: Authenticate Customers in Call Centers and Other Out-of-Band Scenarios」を機械翻訳した記事です。

銀行の取引、EC サイトでの注文、テクニカル サポートなど、緊急の問題を電話で解決しようとしている状況を想像してみてください。担当者に対応してもらう前に、まず本人確認が必要です。パスコードを聞かれますが、あなたは忘れてしまっています。そうなると、誕生日、最後の銀行取引、親友の名前といったセキュリティ質問を聞かれます。ただし、これらの質問は簡単に知られてしまう可能性があり、セキュリティ上の懸念があります。

このような不快な経験は、さまざまな業界でよく見られます。金融サービスから小売業まで、企業はオンライン、電話、対面でのやり取りにおいて、安全かつ効率的にお客様を認証するという課題に直面しています。そこで CIBA の出番です。

本記事では、Auth0 が新たに対応した Client-Initiated Backchannel Authentication (CIBA) が、コールセンターや対面でのやり取りにおける顧客の認証をどのように改善できるかを解説します。CIBA は、認証をより迅速かつ安全にし、時代遅れの PIN やセキュリティ質問を不要にします。

安全性の低いセキュリティ質問と OTP からの脱却

コールセンターは、不便で安全性の低い認証方法に苦しんでいるアウトオブバンド認証 (通常とは異なる通信方法での認証) のシナリオの 1 つにすぎません。たとえば、新しい車で設定を行うためには本人確認が必要だとします。そのためには、車のアプリケーションを開き、QR コードをスキャンし、ブラウザを開いてログインするという面倒な操作を行う必要があり、設定を行うまでに多くの手間がかかってしまいます。あるいは、オンラインで注文した商品を対面で受け取る際に、セキュリティ質問や個人情報で本人確認を求められるかもしれません。問題はこれらの質問がパスワードと同様にデータ漏洩やフィッシング攻撃に対して脆弱であることです。また、個人情報を担当者に直接伝えることは、お客様にプライバシー上の懸念を抱かせます。

一部の企業は、SMS やメールを使ったワンタイムパスワード (OTP) を使用することで、この問題を回避しようとするかもしれません。しかし、これらの方法では認証を行うのに手間がかかる上、別のセキュリティ懸念も生じさせます。たとえば、SMS は SIM スワップ攻撃に対して脆弱であり、攻撃者に SMS OTP を傍受される可能性があります。メール OTP は、メールアカウントが安全であることを前提としていますが、そうでない場合もあります。加えて、メールと SMS OTP はどちらも、OTP を騙し取るフィッシング詐欺やソーシャル エンジニアリング攻撃に対して脆弱であり、顔認証や指紋認証などの生体認証による保護もありません。

CIBA は、「アウトオブバンド」でお客様を認証するための、よりユーザーフレンドリーで安全な方法を提供します。

CIBA: アウトオブバンド認証に対する優れたアプローチ

安全でシームレスなブランド体験は、ログイン画面だけにとどまりません。お客様が電話、オンライン、対面でサポートを受ける際など、重要な顧客接点にも及びます。CIBA は、強化されたセキュリティとよりスムーズなユーザー体験 の両方を提供することで、企業の顧客満足度向上とビジネス成果の向上を支えます。CIBA とは何か、そして CIBA がビジネスの成功をどのように導くかを見ていきましょう。

Client Initiated Backchannel Authentication (CIBA)、別名デカップル認証フローは、アプリケーション（コールセンターのシステム、POS 端末、対面サービスツール、自律型 AI エージェントなど）がお客様に代わって認証プロセスを開始できるようにするプロトコルです。

ワークフローの例を見てみましょう。

ユーザが銀行からお金を引き出したいと考えており、CIBA を使ったモバイルアプリの検証プロセスを開始することに同意します。

するとすぐに、ユーザの携帯電話に通知が届き、アプリで生体認証を行うとリクエストの承認が求められます。

ユーザがリクエストを承認すると、安全かつスムーズに引き出しが完了します。

CIBA でビジネスを発展させる

CIBA は、優れた機能によってビジネスと顧客体験を向上させます。

強力なセキュリティとプライバシー

セキュリティ質問やメール/SMS を使ったワンタイム パスワード (OTP) などの従来のアウトオブバンド認証方法は、安全性に課題があり、利用者にとって不便です。CIBA はこれらの時代遅れの方法を安全でシームレスなアプリ内生体認証（Face ID や指紋認証など）に置き換えます。シンプルなプッシュ通知により、ユーザは機密性の高い個人情報を共有することなく、ワンタップで簡単に本人確認を行うことができます。

金融グレードのプロトコル

金融機関から信頼されている CIBA は、フィッシングやデータ侵害に対する強力な保護を提供する金融グレードのプロトコルです。CIBA は機密性の高い顧客とのやり取りを保護することで、強力な不正防止ツールとして機能し、企業と顧客を詐欺や侵害から守ります。

信頼のための否認防止

Guardian モバイル SDK を使用した CIBA 認証フローは否認防止をサポートしており、通信のいずれの当事者も自分の関与を否定できません。たとえば、コールセンターのシナリオでは、これにより顧客または担当者が特定の情報のやり取りについて反論することを防ぎます。否認防止は信頼を実現し、機密性の高いやり取りを確実性を高めます。

顧客体験 (CX) の向上

CIBA はブラウザのリダイレクトを伴わないワンタップのアプリ内認証により、よりスムーズな CX を実現します。このシンプルで効率的なフローにより、離脱率が低下し、アプリケーションのエンゲージメントが向上し、顧客対応チームは満足度とビジネスの成長を促進できます。

Auth0 Guardian SDK を使用すると、CIBA の顧客体験のあらゆる側面をカスタマイズしてブランドを反映させ、独自のビジネスニーズを満たすことで、CX をさらに向上させることができます。これにより、安全であると同時にスムーズな体験が実現します。

CIBA の実際の活用例

CIBA を使用したデカップル認証フローは、機密性の高いやり取りに必要なセキュリティの強化をもたらすと同時に、さまざまなシナリオやユースケースでシームレスな顧客体験をサポートします。:

• コールセンターでの認証 金融機関で顧客が銀行口座に関するサポートを求めて電話をかけてきたとします。CIBA を使用すると、銀行の窓口担当者は、顧客の携帯電話にインストールされている銀行アプリにプッシュ通知を送信することで、顧客を認証できます。アプリケーションはすでに有効になっている生体認証ログインを使用して本人確認を行うことができます。SMS に送られたパスコードや社会保障番号、忘れてしまっているかもしれないセキュリティ質問への回答を電話越しで伝えてもらう必要はありません。

• 対面での認証 銀行での預金の引き出し、病院へのチェックイン、薬局での薬の受け取りなど、あらゆる種類の対面シナリオにおいて、CIBA を使用すると従業員は顧客の携帯電話にプッシュ通知を送信することによって、リアルタイムで顧客の本人確認を行えます。多くの場合、これらの状況では公共料金の請求書や運転免許証などの書類を顧客に提示してもらうしか方法がありません。しかし、これらの書類は盗難や偽造の可能性があり、顧客が詐欺被害に遭うリスクを伴う、安全でない認証方法です。

• 接続されたデバイスの検証 IoT シナリオにおいて、CIBA はインターネットに接続されたデバイス（例：車など）からの要求に応じてプッシュ通知を開始することも可能にします。例えば、顧客が新しい車を登録して設定を行う場合、CIBA を使用すると顧客が既にインストールしているアプリにプッシュ通知を送って本人確認を行うことで、簡単で信頼性の高い方法でプロセスを開始できます。これは、より安全な認証手段であるだけでなく、アプリにリダイレクトされる QR コードをスキャンするといった、現在市場に出回っている不便な方法を避けることもできます。

• POS 端末 小売においては、オンラインで家具を注文して店舗で受け取るなど、ハイブリッドな購買体験がますます好まれる傾向があります。店舗にあるセルフサービスのキオスクでは、CIBA で顧客の携帯電話にプッシュ通知を送ることで、本人確認を行うことができます。これにより、取引の安全性が維持されるだけでなく、従業員が認証プロセスに関与するのを防ぐことで、小売事業者が直面している労働力不足も緩和できます。

より良いセキュリティ。より良い CX。より良いビジネス。 CIBA はコールセンターのシナリオやそれ以外の場面で、より安全でシームレスなユーザー認証方法を求めている組織にとって、安全な新たな手段となります。

CIBA が CX やビジネスをどのように改善できるか、確認されたいでしょうか？ アカウント担当にデモを依頼頂き、実際の動作をご覧ください。