Capyは2017年11月6日、アクセス元のIPアドレスやWebブラウザの種類など、ログイン時のユーザー環境がいつもと同じかどうかという視点に立って、ユーザー本人によるログインかどうかを判定する“リスクベース認証”の機能をSaaS型で提供するサービス「リスクベース認証」を同日付けで強化したと発表した。新たに、「秘密の質問」や「2要素認証」といった追加認証のサンプル実装を追加した。
Capyのリスクベース認証は、Webサイトにログインしようとしているユーザーの環境が、いつも通りの環境かどうかを判定してスコアー化するSaaS型クラウドサービスである。サービスを申し込み、Webページに専用のJavaScriptを埋め込むだけで、同機能を利用できる。SaaSからは判定結果(本人らしさを0~1の値で数値化したもの。判断材料のステータスコードも含まれる)が得られるので、これを元にWebサイト側でアクセスを制御する。
ユーザーのアクセス環境を判定する材料として、アクセス元のIPアドレスのロケーションや、利用しているISP、アクセス時間帯、Webブラウザの種類(User-Agent)、などを使う。これらが、平常時に学習しておいたデータと比べて異なる場合に、スコアー化して判定結果に含める。
今回の強化では、なりすましのリスクが高いと判定された場合に「秘密の質問」や「2要素認証」といった追加認証を実施するサンプル実装を追加したという。さらに、リスクベースの判定方法を、個人情報の保護に配慮して改善したとしている。
なお、Capyは、リスクベース認証のほかに、Webサイトにアクセスしたユーザーがボットではなく生身の人間であることを判定するキャプチャ(CAPTCHA)機能も提供している。特徴は、読みにくい文字を読ませる文字型CAPTCHAのほかに、マウス操作でパズルを完成させるパズルCAPTCHAを用意していることである。
