Adobe Acrobat Sign の認証方法：ナレッジベース認証（KBA）

ナレッジベース認証（KBA）は、高レベルな ID 確認を実現するための、プレミアム第 2 要素認証方法です。KBA は、米国を拠点とする受信者の ID を確認するためにのみ有効です。

認証プロセスでは、受信者は自宅の住所と姓名を入力するように要求されます。受信者は、米国の社会保障番号の下 4 桁をオプションで入力することもあります。

入力された情報は、複数のパブリックデータベースを照会するために使用され、受信者に対して 3～4 個の非自明な質問のリストが生成されます。

質問の例：

• {some name} と同居した際の住所の正しい番地を選択してください
• 所有している航空機は、次のうちどれですか
• 通学していた大学がある都市は、次のうちどれですか
• {some address} の物件は、誰から購入しましたか
• {some name} の年齢と一致する年齢範囲はどれですか

認証に成功すると、受信者には契約書を表示して操作するためのアクセス権が付与されます。

受信者が何らかの理由で、アクションを完了する前に契約書を閉じた場合、再認証が必要となります。

認証に対する総当たり攻撃の試行を防止するために、KBA 認証方法を設定して、定義されている回数の試行後に契約書をキャンセルできます。

受信者の個人情報に関する注意

ナレッジベース認証は、LexisNexis の InstantID Q&A を活用したパートナーシップを通じて提供されるサービスです。

入力を要求するページは、LexisNexis サービスの iframe です。認証プロセス中に入力および返されたすべての受信者データは、LexisNexis フレーム内にのみ存在し、Adobe Acrobat Sign サービスに転送されることはありません。

LexisNexis が受信者を確認すると、アクセスを承認する Acrobat Sign に認証トークンが渡されます。トークン ID は、成功した認証レコードの一部として監査レポートに保存されます。

新しい契約書の作成時のナレッジベース認証方法の設定

KBA が有効になっている場合、送信者は受信者の電子メールアドレスの右側にある認証ドロップダウンから KBA を選択できます。

KBA 認証方法のオプション設定では、送信者による受信者の名前の入力が必要となる場合があります。

このオプションを使用すると、トランザクションの存続期間中、受信者の名前が一貫した状態に保たれます。

プレミアム認証トランザクションの消費

プレミアム認証方式では、KBA を設定した状態で契約書を送信する前に、KBA トランザクションを購入し、アカウントで利用できる状態になっている必要があります。

KBA トランザクションは、受信者ごとに消費されます。

例えば、KBA によって認証される 3 人の受信者で構成された契約書では、3 つの認証トランザクションが消費されます。

複数の受信者が含まれる契約書を設定した場合、KBA によって認証される各受信者に対して、アカウントで使用可能な合計数から 1 つのトランザクションが差し引かれます。

• KBA が設定された下書きの契約書をキャンセルした場合、すべての KBA 認証トランザクションは、アカウントで使用可能な合計数に返されます
• 進行中のトランザクションを取り消しても、認証トランザクションはアカウントで使用可能な合計数に返されません
• その他の任意の認証方法から KBA に認証方法を変更した場合、1 つのトランザクションが消費されます
  • 同じ受信者に対して KBA と他の方法を何度か切り替えた場合、1 つのトランザクションのみ消費されます
    
• KBA からその他の方法に認証方法を変更しても、トランザクションは返されません
• KBA を使用して 1 人の受信者を認証するたびに、プロセスの試行回数にかかわらず、1 つのトランザクションのみが消費されます

使用可能な数の追跡

アカウントで使用可能な KBA トランザクションの数を監視するには、次の手順を実行します。

• アカウント設定／送信設定／ID 認証方法に移動します。
• 「使用状況を確認」リンクをクリックします。

監査レポート

成功した KBA ID 確認は、LexisNexis から提供された認証トークンを使用して、監査レポートに明示的に記録されます。

受信者が認証に成功しなかったために契約が取り消された場合、理由が明示的に示されます。

ベストプラクティスと考慮事項

• 内部受信者に 2 要素認証を使用する場合は、KBA の代わりに Acrobat Sign 認証方法を使用して、署名の手間を減らし、プレミアム認証トランザクションの消費を節約することをお勧めします
  

設定オプション

ナレッジベース認証には、次の 2 つのコントロールセットがあり、アカウントレベルとグループレベルで設定できます。

• 送信設定は、送信者による KBA オプションへのアクセスと設定を制御します
• セキュリティ設定は、受信者のエクスペリエンスを管理します

送信設定
で認証方法を有効にする

ナレッジベース認証を使用するオプションを送信者に対して有効にするには、送信設定／ID 認証方法に移動します。

• 「ナレッジベース認証」チェックボックス - オンにすると、グループ内で作成される契約書に対するオプションとして、「KBA」が使用できるようになります
• （オプション）送信ページで署名者の名前を必須にする - オンにすると送信者による受信者の名前の指定が必須になります。この名前の値は、署名サイクル全体にわたって維持され、受信者はこの値を変更できません
  • このオプションを有効にすると、受信者による契約書の委任（自動委任を含む）が設定できなくなります
  • 「署名者を置換」は、最新の管理ページから、送信者に対して機能します
    
• （オプション）署名後に契約書を表示する場合は KBA を使用する - 有効にすると、リンクを介して Acrobat Sign に保存されたオンライン契約書にアクセスしようとした場合、要求者は KBA プロセスを使用して再認証するよう求められます（以下を参照）
  • 注意：この認証は、リンクを介して元の契約書にアクセスする場合のみ要求されます。契約書の PDF を表示するためのパスワード保護
    とは異なります
• （オプション）KBA を有効にすると、新規契約書の作成時に提示されるデフォルトの方法として定義できます
• 変更をページに保存します

元のオンライン契約書を web リンクで表示するために認証を必要とする

電子メールテンプレート（受信者に対する署名後の認証など）には、Acrobat Sign サーバー上の元の契約書へのリンクを含めることができます。

「署名後に契約を表示する場合は KBA を使用する」設定を有効にすると、リンクを介して契約書にアクセスしようとすると、KBA を介した受信者の ID の再認証を求めるチャレンジが表示されます。

• この設定は、契約書の作成時に契約書に埋め込まれます。設定を変更しても、既に進行中の契約書に対するエクスペリエンスに影響はありません
• 受信者の ID 確認方法が変更された場合、リンクを介して契約書を表示するための認証は無効になります
• 受信者が契約書を表示するために認証を受けるたびに、プレミアム認証トランザクションが消費されます
  

要求プロセスは、元の受信者の認証プロセスとまったく同じです。

KBA が適切に解決されるまで、契約書は表示できません。

受信者が署名してアクションを完了した後に、認証を編集または無効にするオプションはありません。

セキュリティ設定での設定

ナレッジベース認証には、「セキュリティ設定」ページに記載されている設定可能なオプションが 3 つあります。

• 試行回数を制限する - デフォルトで有効になっています。このチェックボックスをオンにすると、受信者が定義されている回数の認証に失敗した場合に契約書をキャンセルするセキュリティオプションが有効になります。無効にすると、受信者が認証を試行できる回数が無制限になります。
  • 送信者が XX 回 ID の確認を試行したら契約書をキャンセルする - 管理者は、認証の試行回数を制限する回数を入力できます。試行回数を超えると、契約書は自動的にキャンセルされます。
• ナレッジベース認証の難易度 - 認証プロセスの複雑さを定義します。
  • デフォルト - 署名者に 3 つの質問が提示され、すべてに正解するよう求められます。正解が 2 つのみの場合は、さらに 2 つの質問が提示され、どちらにも正解するよう求められます。
  • 難しい - 署名者に 4 つの質問が提示され、すべてに正解するよう求められます。正解が 3 つだけの場合は、さらに 2 つの質問が提示され、どちらにも正解するよう求められます。

受信者が認証に失敗した場合の契約書の自動キャンセル

設定により KBA 認証試行回数が制限されており、受信者がその回数の認証に失敗した場合、契約書は自動的にキャンセルされます。

契約書の作成者には、認証に失敗した受信者を示すメモを含んだ、キャンセルを通知する電子メールが送信されます。

その他の当事者には通知されません。