デジタルアイデンティティにおける保証レベル（LoA）の理解 (JA-1)

LoAの定義保証レベル（LoA）は、自己申告のような基本的なものから、政府が保証する高度に安全な認証まで、主張されたデジタルアイデンティティに対する信頼度を数値化したものです。

LoAが重要である理由適切なLoAを割り当てることで、不正行為を防止し、規制順守を確実にし、取引やアクセスされるデータの機密性に合わせてセキュリティ要件を調整することで、ユーザーエクスペリエンスを最適化します。

主なLoA要因LoAは、アイデンティティプルーフィングプロセス、クレデンシャルの強度、認証方法、およびアイデンティティ管理システム全体のセキュリティによって決定されます。

Diditの役割Diditのモジュール式プラットフォームにより、企業は特定のLoA要件を満たすカスタムのアイデンティティワークフローを構築でき、本人確認、生体認証、不正信号をシームレスに組み合わせることができます。

保証レベル（LoA）とは？

急速に進化するデジタルアイデンティティの状況において、「誰が」その人物であると主張しているかを知るだけではもはや十分ではありません。企業や政府は、そのアイデンティティについて「どれだけの確信」を持てるかを確かめる必要があります。ここで保証レベル（LoA）が重要な役割を果たします。LoAは、アイデンティティの主張が真実であること、およびそれを提示しているユーザーが実際にそのアイデンティティを割り当てられた個人であることに対する信頼度を分類するための標準化されたフレームワークを提供します。

LoAをスペクトラムとして考えてみてください。一方の端には、ユーザーが単にユーザー名とパスワードを提供するだけの低いLoAがあり、フォーラムの公開コンテンツへのアクセスに適しています。もう一方の端には、銀行口座の開設や機密性の高い政府情報へのアクセスなどの機密性の高い取引に必要な、厳格な本人確認、生体認証、場合によっては物理的な存在の証明を含む高いLoAがあります。

米国NIST（国立標準技術研究所）やEUのeIDASなど、さまざまな標準化団体が独自のLoAフレームワークを確立しています。その詳細は異なる場合がありますが、一般的に同様の基準に焦点を当てています。

• アイデンティティプルーフィング：アイデンティティは当初どのように検証されましたか？自己申告でしたか、それとも公的な文書や証拠によって裏付けられましたか？
• クレデンシャルの強度：ユーザーを認証するために使用される方法はどれほど堅牢ですか？単純なパスワードですか、多要素認証（MFA）トークンですか、それとも生体認証スキャンですか？
• 認証メカニズム：サービスにアクセスするたびにユーザーはどのように確認されますか？共有秘密、所有ベース、または生体ベースですか？
• セキュリティと管理：システム内でアイデンティティクレデンシャルはどれほど安全に保存および管理されていますか？

LoAを理解することは、オンラインで事業を展開するあらゆる組織にとって不可欠です。これにより、さまざまなデジタルインタラクションに適したレベルのセキュリティが決定され、機密データが保護されると同時に、低リスクのシナリオでユーザーに不必要な摩擦が生じないようにします。

LoAをユースケースに合わせることの重要性

正しい保証レベルを実装することは、万能な取り組みではありません。セキュリティ、ユーザーエクスペリエンス、およびコストのバランスを取る戦略的な決定です。LoAの不一致は、重大な問題につながる可能性があります。

• LoAが低すぎる場合：取引の機密性に対してLoAが不十分な場合、不正行為、データ侵害、および規制違反の扉を開くことになります。例えば、金融取引プラットフォームへの基本的なユーザー名/パスワードアクセスを許可することは悲惨な結果を招くでしょう。
• LoAが高すぎる場合：逆に、すべてのインタラクションに対して不必要に高いLoAを要求すると、ユーザーの不満、高い離脱率、および運用コストの増加につながる可能性があります。ブログ記事にコメントするためだけに完全なKYCプロセスを要求することはやりすぎであり、エンゲージメントに悪影響を及ぼします。

これらの実例を考えてみましょう。

• LoA 1（自己申告/低信頼度）：ユーザーがメールアドレスだけでニュースレターに登録します。リスクは最小限であり、低いLoAが適切です。
• LoA 2（基本検証/中信頼度）：eコマースの顧客が購入を行います。メール確認と場合によっては電話番号が使用されます。リスクは中程度で、金融取引が含まれます。
• LoA 3（高信頼度）：新規顧客が銀行口座を開設します。これには、堅牢な本人確認書類の検証、生体検知、およびAMLスクリーニングが必要です。金融詐欺や規制上のペナルティのリスクが高いため、強力なLoAが求められます。
• LoA 4（非常に高い信頼度）：重要なインフラストラクチャや非常に機密性の高い政府データへのアクセス。これには、NFCベースの本人確認、高度な生体認証、および継続的な監視が含まれ、国家安全保障の最高レベルに合致します。

さまざまなデジタルサービスやデータに関連するリスクを慎重に評価することで、組織は正当なユーザーを妨げることなく、適切な量の保証を提供するアイデンティティワークフローを定義および実装できます。この微妙なアプローチは、デジタル経済における信頼を築くための鍵となります。

LoAを構築するコンポーネント

特定の保証レベルを達成するには、いくつかの異なる本人確認および認証コンポーネントを組み合わせる必要があります。各コンポーネントは信頼の層を追加し、全体のLoAに貢献します。

1. アイデンティティプルーフィング：これは、ユーザーが主張するアイデンティティを検証する最初のプロセスです。より高いLoAの場合、通常は以下が含まれます。
   • 本人確認書類の検証：政府発行のID（パスポート、運転免許証）の真正性、改ざん、およびデータ抽出を自動的にチェックします。
   • NFC書類の読み取り：電子パスポートおよび電子IDの暗号検証により、政府レベルの保証を提供します。
   • データベース検証：公式の政府データベースまたは信頼できる第三者データベースとアイデンティティデータを相互参照します。
   • 住所証明：公共料金の請求書や銀行取引明細書を通じて居住地を検証します。
2. 生体認証：これらの技術は、IDを提示している人物が実際に正当な所有者であることを確認します。
   • 生体検知：ユーザーが本物の生きた人物であり、なりすまし（写真、ビデオ、ディープフェイク）ではないことを検証します。これは、パッシブ（摩擦なし）またはアクティブ（ユーザーの操作が必要）のいずれかです。
   • 顔照合1:1：ライブセルフィーをID書類の写真と比較し、ユーザーが書類の所有者であることを確認します。
   • 生体認証：リピーターユーザーのパスワード不要の再認証にライブセルフィーを使用し、多くの場合生体検知と組み合わせます。
3. 認証と不正信号：最初の検証を超えて、継続的なチェックがLoAを維持します。
   • 多要素認証（MFA）：ユーザーが知っているもの（パスワード）、持っているもの（電話）、またはであるもの（生体認証）を組み合わせます。
   • IP分析：疑わしいIPアドレス、VPN、またはデバイスの異常を検出します。
   • AMLスクリーニング：金融コンプライアンスのために、制裁リスト、PEPデータベース、およびネガティブ情報に対してチェックします。
   • 継続的なAML監視：オンボーディング後のユーザーの継続的な再スクリーニング。
   • 電話/メール検証：所有権を確認し、連絡先の詳細に関連するリスクを評価します。

これらのコンポーネントの組み合わせと強度が、全体のLoAを定義します。例えば、本人確認書類の検証、アクティブな生体検知、顔照合1:1、および継続的なAMLスクリーニングを要求するシステムは、規制対象業界に適した非常に高いLoAを達成するでしょう。

Diditが適切なLoA達成を支援する方法

Diditは、企業があらゆるデジタルインタラクションに対して正確な保証レベルを実装できるように構築されています。当社のオールインワンアイデンティティプラットフォームは、複数のベンダーを組み合わせることなく、特定のLoA要件に合わせてアイデンティティワークフローを構築するために必要なモジュール性と柔軟性を提供します。

• 包括的なモジュールスイート：Diditは、本人確認、生体認証、AMLスクリーニング、不正信号などをカバーする18の構成可能なモジュールを提供します。この広範なツールキットにより、目的のLoAに必要な正確なコンポーネントを選択できます。高いLoAの場合、NFC書類の読み取り、アクティブな生体検知、顔照合1:1、および継続的なAML監視を組み合わせるかもしれません。低いLoAの場合、パッシブな生体検知と顔照合で十分かもしれません。
• ビジュアルワークフローオーケストレーション：当社のノーコードワークフロービルダーを使用すると、複雑なアイデンティティフローを視覚的に設計できます。モジュールをドラッグアンドドロップし、条件付きロジックを設定し（例：年齢推定が不確実な場合は完全なIDVにエスカレート）、自動承認または手動レビューのしきい値を構成できます。これは、取引額、原産国、ユーザー履歴などのリスク要因に基づいてLoAを動的に調整できることを意味します。
• 成功報酬型モデル：Diditの透明な料金体系により、正常に完了した検証ステップに対してのみ支払いが発生します。これにより、企業はさまざまなLoA構成を試行し、セキュリティとコスト効率の両方でワークフローを最適化でき、放棄されたセッションに対する金銭的ペナルティはありません。
• セキュリティとコンプライアンス：SOC 2 Type II、ISO 27001、GDPR準拠、iBetaレベル1認定の生体検知により、Diditは最も規制の厳しい業界でさえも高いLoA要件をサポートするために必要な基盤となるセキュリティとコンプライアンスを提供します。
• シームレスな統合：ホストされた検証リンク、Web SDK、ネイティブモバイルSDK、または直接API統合のいずれを好む場合でも、Diditは既存のアプリケーションに堅牢な本人確認を簡単に組み込むことができ、統合時間とリソースを最小限に抑えます。

Diditのプラットフォームを活用することで、企業はユーザーのアイデンティティを自信を持って主張し、不正行為を軽減し、規制上の義務を果たし、摩擦のないエクスペリエンスを提供できます。これらすべてを、各固有のユースケースに対して保証レベルを正確に制御しながら実現します。

準備はできましたか？

適切な保証レベルを定義および実装することは、デジタルサービスを保護し、ユーザーの信頼を育む上で不可欠です。Diditを使用すると、セキュリティニーズに正確に合致するアイデンティティワークフローを構築するための、強力で柔軟性があり、費用対効果の高いソリューションが得られます。

Diditがどのように本人確認戦略を向上させることができるかを探ってみましょう。料金ページにアクセスして、透明性の高い従量課金制モデルを確認するか、デモセンターでプラットフォームを体験してください。当社の機能についてさらに深く掘り下げるには、技術文書を参照するか、hello@didit.meまでお問い合わせください。