[第8回] “情報は漏れるもの”を前提に考える！？～金融セキュリティ技術最前線～

個人認証のトレンドは「ワンタイムパスワード」と「多要素認証」

ネット決済を含めたオンラインバンキングに必ず必要なのが、「個人認証」のフロー。個人認証というシステム自体はインターネット端末が個人に普及する以前から存在しており、例えばATMでは、あらかじめ設定した固定の暗証番号を入力することで認証を行っていた。

オンラインバンキングにおいても、当初は固定のパスワードやキャッシュカードに印刷された乱数表を用いる単純な個人認証が主流だった。しかし、普及に伴って悪意のある攻撃者が暗証番号やパスワードを盗む手口も発達してしまった。

こうした状況を受け、現在のオンラインバンキングの世界では固定的なパスワードではなく、一度限りしか利用できない動的パスワード、いわゆる「ワンタイムパスワード（OTP）」を導入する金融機関が世界の主流になっている。中村氏は、オンラインバンキングを「個人のお客様を中心としたリテールバンキング」と「企業による取引高の大きい法人バンキング」に分類した上で、「とくに前者においてOTPを導入する銀行が世界的に増えている」と語る。

「OTPの生成には、キーホルダー型やカード型のトークンというものが主に使われてきました。トークンのボタンを押すと、例えば時刻に合わせてOTPが生成されます。最近ではサーバから送られてきた値を入力し、その値を利用して新たなパスワードを生成するなど、よりセキュリティの高いOTP利用の需要も高まっています」

そのうえで、固定パスワードとOTPを両方入力させるなど、複数の認証方式を併用することでセキュリティを高める「多要素認証」という方式が最近のトレンドだ。しかし、ここでネックになってくるのが、「利便性」の問題。より堅牢なセキュリティを求めると、どうしても手続きが煩雑になり、ユーザーの利便性は損なわれてしまう。安全性と利便性を両立させる手段として、取引の内容に応じてセキュリティレベルを設定するケースも増えていると中村氏は述べる。

「例えば、普段は比較的簡易な認証を行うことで利便性を確保し、『初めての銀行口座に振り込みをするとき』や『非常に大きい金額を振り込むとき』といった重要な取引の場合のみ、もう一段階別の認証も要求するといったシステムがあります。個人認証におけるセキュリティシステムは多種多様な方式が存在するので、それをどう組み合わせて提供するかは各金融機関のポリシーに委ねられています」

次世代の技術「行動認証」で、ストレスのない取引を実現

中村氏が現在注目しているのが、「二経路認証」という方式。例えば、パソコンで振り込みをする際、そのパソコン上で取引を完結させるのではなく、事前に登録した自身のスマートフォンなどパソコンとは別のチャネルに『貴方は振り込みをしようとしています。本当によろしいですか？』と表示させる。そして、スマートフォン上でOKを押すと、パソコン上で取引が実行されるという仕組みだ。

二経路認証の強みは、仮にパソコンにマルウェアが仕込まれてトランザクションのデータを盗まれたとしても、手続きを進めるための「もうひとつのキー」が別の場所に存在する以上、悪意をもった第三者は何もできない点にある。また、「利便性」の観点からも二経路認証はユーザー負担が少ないという。

「多くの人が常にスマートフォンを持ち歩いている時代なので、二経路認証は利便性が高いと思います。スマートフォン上で新たにパスワードなどを入力する必要はなく、そこに表示されたOKボタンを押すだけで取引がより安全に行えますので」

また、二経路認証のユニークな使い方として、日本特有の「オレオレ詐欺」対策ができるそうだ。

「ATMやオンラインで振り込みをする際に、例えばご家族、息子さんや娘さんのモバイルに認証要求がいくように設定することもできます。それを見たご家族が『これは騙されているんじゃないか？』と思ったら、OKを押さなければ取引は完結しません」

ジェムアルトでは現在、「Ezio Assuarance Hub」（仮称）という新しいサービスを開発している。これはユーザー側に負担をかけず、バックグラウンドでセキュリティを高める仕組みで、「リスクベース」と呼ばれる考え方が元となっているのだそうだ。 リスクベース認証とは、蓄積された過去のデータをもとに「不正利用の典型的パターン」を判定し、異常を感知したら追加の認証を要求する仕組み。例えば、「夜中に異常に連続して取引がある」「異常に高い金額の取引がある」といった怪しい動きに対して、トランザクションを保留するわけだ。

「Ezio Assuarance Hub」はそこからさらに一歩進んで、「行動認証」というシステムを導入している。中村氏は行動認証をこう解説する。

「人にはそれぞれ、マウスの操作や、キーボード入力速度、Webサイトに入っていく遷移などに“癖”があります。あるいは『この人は日本国内でしかトランザクションしない』『決められたパソコンでしかトランザクションしない』といった“習慣”があります。

このようなユーザーごとの“行動”を蓄積し、大きく逸脱する行為が重なった場合、金融機関側にアラートが出るようになっています。つまり、ユーザーに対して何かを要求するのではなく、バックエンド側でセキュリティを担保していく“静かな認証”という考え方です」

なお、行動認証によってアラートが出た場合、追加でどういった認証を要求するかは金融機関ごとのポリシーに従って設定できる形になるとのことだ。

もうひとつ、中村氏が挙げた興味深いアイデアが「情報が流出・漏洩することを前提に考える」という取り組み方だ。セキュリティを高めることは大前提で、その上で「漏洩したデータを他人が使えないように、暗号化やトークン化などの処理を施す」という動きが近年海外を中心に盛んになっているという。

セキュリティ意識が高いはずの大企業からの情報漏洩が後を絶たない現状を鑑みると、「情報は漏れるもの」を前提とした考え方は、今後日本でも大きな流れになっていくのかもしれない。

多様化するモバイル決済サービス。金融機関のフレキシブルな戦略に期待

最後に、オンラインバンキングと密接に関わる部分として、モバイル決済サービスの今後の展望について語っていただいた。直近では、2016年10月からAppleのiPhone7が決済サービス「Apple Pay」に対応したことが話題となっている。これにより、クレジットカードでの決済をiPhoneで行うことができるようになったのだ。

Apple Payは「おサイフケータイ」などと同じく、リーダーにタッチするだけで決済ができる、いわゆる「非接触決済」のサービスだ。iPhoneのシェアが高い日本では、これを機に非接触決済が急速に普及する可能性もある。中村氏によれば、非接触決済はもはや世界的な潮流であるという。

「銀行にとって非接触決済の普及は、クレジットカードでは今までカバーできていなかった“小額決済”がキャッシュに変わって展開できるようになったという意味を持ちます。キャッシュを扱うための費用が発生しなくなるので、業務上のコスト削減にもつながります。

2020年の東京五輪に向けて、経済産業省はキャッシュレス化を推進しています。同時に海外からのお客様に対応するために、キャッシュカードとクレジットカードのIC化も推進しており、この2つは今後大きな流れになっていくと思います」

モバイルでの非接触決済におけるインフラは、日本ではソニーの「FeliCa」が多く使われているが、実は「FeliCa」以外にも多くの方法が存在している。携帯電話のSIMカードの中にクレジットカードのアプリケーションを搭載する方法や、AndroidのOSの中にクレジットカード番号と紐づく情報を収納する方法などだ。

中村氏は「今後はもっと多様化が進んでいく」と予想する。例えばアメリカの「PayPal」や中国の「Alipay」といったサービスでも新たに導入された、「動的なQRコードで決済する」という仕組みが将来的に日本でも選択肢になってくる可能性も考えられるという。

モバイル決済の急速な発達と、それを導入するための多くの選択肢に対し、金融機関はどのように対応していけばいいのか。中村氏は「各金融機関それぞれの戦略に基いて、多様な技術から取捨選択していくことが重要」だと説いた。

「ひと口にモバイル決済と言っても、やり方は本当にたくさんあるんです。金融機関としては、何を導入すればお客様のメリットにつながるのか、どこにターゲットを持つのか、戦略的に考える必要があります。現実的には、多種多様なお客様に対応するために、いろんな技術を並列して提供する形になるのかなと思います。例えば、ガラケーを使っているお客様はスマートフォンで利用されるような支払い手段が利用できないので、そのお客様にもリーチするならQRコードの仕組みにも対応しよう、という発想ですね。

金融機関に限らず、今後は常に最新のテクノロジーに気を配り、法規制の動きなども見据えながら、その段階でベストなものを選んでいくことが大切です。毎年状況は変化するので、一度導入して安心というものではなく、2年後、3年後のフレキシビリティも考慮に入れつつ、戦略を練るといいのではないでしょうか」

ライタープロフィール

ライター：上野 俊一
ゲーム雑誌編集者、音楽制作雑誌編集者、VR雑誌編集者、フリーライターを経験。特にデジタルエンタテインメント分野に詳しい。最近はFinTech関連の記事を多く執筆している。