Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
オンラインバンキングのセキュリティ技術の動向                                          2007 年 2 月◎増加する米国におけるオンラインバンキングの詐欺事件 □ 近年、米国において、ID 盗難やフィッ...
2.警察当局の対応            インフラガード(FBI)                       :民間企業と共同でサイバー犯罪対応◎FDIC フィッシング対策レポート    FDIC*:Putting an End to Acc...
とになるだろう。(連邦準備制度のスポークスマン)                 」  □ 米国で深刻化するフィッシング問題に対し、オンラインバンキングへの実質的な規    制を与えた         要素認証ガイドラインの体系◎FFIEC 2...
Transaction Analysis      Behavioral Analysis       Network Forensics       Device Forensics      Device Identification◎多要...
□ ユーザが既に所有しているものの方が、取り組みしやすい。顧客に配布しなければ       ならないものは、コスト面で新たな負担を強いられる。             Smart Card                            ...
◎米国金融業界の動き FFIEC ガイドライン前   一部金融機関では、FDIC レポートを受け、2005 年 10 月の FFIEC ガイドライン   発表前から、すでに新しい認証技術(2-Facotor Authentication)を併用...
ルである。より大きな銀行では、毎年のコストは一枚の郵便切手の価格(約        40 円)より少なくなると思われる。 ②デバイス認証          事例2;Cyota ニューヨークに拠点を置く Cyota のテクノロジーでは、     ...
きるような認証ツールを望むと思われる。            きるような認証ツール                    バンク・オブ・アメリカは、顧客が銀行のサイトにログオン              「たとえば、バンク・オブ・アメリカ   ...
れている。       Site Key(PassMark Security 提供の絵認証技術)を 2005 年 5 月に採用。2006      年より本格採用され、1,400 万口座のうち 700 万口座で利用されている。         ...
を除き、ハードルが高いと思われる。 ①限定した範囲しか採用されない          常に携帯しなければならず、複数の銀行口座を持つと所持に困る。          コストが高いため、トークンを何百万人に配布するのは、非常に多くのイ      ...
ッドを使って、マウスで自分のパスワードを入力しなければならない。この       ツールは、ユーザーのキーストロークを盗み取るために詐欺師によってコン       ピュータに埋めこめられたスパイウエアの一種である、キーストローク・ロ      ...
PassMark Security                2Factor×2Way Authentication を提唱。デバイス認証とユニークな絵認            証の技術を持つ。        Cyota          ...
オンラインバンキングレポートは、パスマークに”ベスト 2005”賞を与        えた。         コンサルティング企業フロスト&サリバンは、パスマークに“2006 年ネ        ットワークセキュリティリソースプロテクションテク...
Home                                       Home              Computer                                   Phone             ...
社を超える企業が採用。日本でも三井住友銀行が 2006 年 1 月に採用を発表した。         世界で 2,000 万個出荷されており(2005 年時点)、米 Fortune 紙トップ 100 社中      の 80%、世界のトップ 5...
◎TriCipher   □ ワンタイムパスワードやデバイス認証など、さまざまなタイプのソリューションを      提供し、技術の幅が広い。もともと、日本企業の日本システムデベロップメント      (NSD)がインキュベーションして設立された...
(RSA 日本営業)ことから、RSA 対応は非常に重要と思われる。       ガイドラインへの対応結果(             への対応結果◎FFIEC ガイドラインへの対応結果(2006 年末の結果)  □ FFIEC ガイドライン制定に...
合い、セキュリティの「組み合わせ」ソリューションを提供していくことになるのであ る。(ZDNet;2007RSA カンファレンスレポート)  」 □ これまで、採用に至らなかったトークンタイプの認証や、バイオメトリクスなど、デ   バイス認証の...
コウジ)徳田 浩司(トクダ コウジ)Fusion Reactor LLC(在米国シリコンバレー)社長三和銀行、三和総研、三菱商事証券などで、システムコンサルティング、ベンチャー投融資などに従事。2004 年に独立、米国シリコンバレーで、ベンチャ...
Upcoming SlideShare
Loading in …5
×

オンラインバンキングのセキュリティ技術の動向(完全版)

1,220 views

Published on

本件コンサルティング、調査レポートのお問い合わせは以下にお願いいたします。なお、初回相談は無料ですので、お気軽にご連絡ください。
ホームページ; http://www.fusion-reactor.biz/japanese
担当; 徳田 浩司
電話 日本 050-5534-1114 (国内電話で通じます)
E-mail: info@fusion-reactor.biz
Linkedin; www.linkedin.com/in/tokuda

  • Be the first to comment

オンラインバンキングのセキュリティ技術の動向(完全版)

  1. 1. オンラインバンキングのセキュリティ技術の動向 2007 年 2 月◎増加する米国におけるオンラインバンキングの詐欺事件 □ 近年、米国において、ID 盗難やフィッシングなどオンラインバンキングの犯罪が社 会問題化 「不法に他人の ID を使って行われた商品・サービスの盗難は、2004 年に 520 億ドルを上回った。(連邦取引委員会調査) 」 「2005 年上半期に、秘密情報を盗むウイルスが、トップ 50 のウイルス、ワ ーム、トロイの木馬のうち4分の3を占め、2004 年下半期に比べ 54%も上 昇した。(シマンテック) 」 「インターネット関連のクレジットカード犯罪数が、2004 年に前年比 66% 上昇した。平均被害額は 1 件当たり 2003 年の 800 ドルから 2004 年には 2,400 ドルと、3 倍に膨らんだ。( FBI 報告) 」 「パスワード盗難が 2005 年 4 月以降 2 倍に膨らんだ。(アンチ・フィッシ 」 ング・ワーキング・グループ) □ 2004 年からオンライン犯罪が増え、2005 年に拡大。行政や金融当局などが本格的 な調査・対応策の策定に着手。◎金融当局など行政のフィッシング対策の動き 1. 個人情報保護関連法案の制定 99 年 GLB 法(新銀行法)501 条:FBA(連邦銀行監督局)に対する消費者 保護ガイドラインの制定の要請 2000 年インターネット本人確認防止法制定 本人確認手段盗難のガイドラインの制定の要請 2003 年公正正確信用取引法(FACTA)114 条(レッド・フラッグ条項) :連 邦取引委員会(FTC)及び FBA に本人確認手段盗難のガイドラインの制定 の要請 FACTA216 条:FTC および FBA に対し信用報告に記載されるセンシティ ブ情報の適切な処分についての規制制定を要請 98 年本人確認手段盗取法:ID 窃盗に対し、15 年以下の懲役もしくは 25 万 ドル以下の罰金の罰則規定 2004 年本人確認手段盗取罰則強化法:本人確認手段盗取に 2 年以下の懲役
  2. 2. 2.警察当局の対応 インフラガード(FBI) :民間企業と共同でサイバー犯罪対応◎FDIC フィッシング対策レポート FDIC*:Putting an End to Account-Hijacking Identity Theft を発表(2004 年 FDIC*: Account- を発表(2004 12 月) *Federal Deposit Insurance Corporation;連邦預金保険公社 フィッシング詐欺の実態と、ソリューションの可能性に関するレポートを作 成。以下の4つの対策を推奨 ① スキャンソフトウエアの使用 ② 教育プログラムの強化 ③ パスワードベースの 1 要素認証から 2 要素認証 要素認証へのアップグレード ④ 金融機関、政府、技術プロバイダーの間での情報共有 対応技術として、スキャニングツール、E-mail 認証(SenderID) ユーザ 、ユーザ 認証(2 要素認証)の 認証(2 要素認証) 3 分野における技術を発表◎FFIEC 2 要素認証ガイドライン FFIEC*:オンラインバンキングの 要素認証ガイドラインを発表(2005 FFIEC*:オンラインバンキングの 2 要素認証ガイドラインを発表(2005 年 10 月 12 日) * Federal Financial Institutions Examination Council FFIEC:連邦金融機関検査委 員会、連邦準備制度や連邦預金保険公社(FDIC)などによって構成金融機関の検査 基準を策定 オンラインバンキングに対し、 2006 年末までに、これまでの1要素認証プ ロセス(多くがユーザー名とパスワードをベース)から、より強力な 2 要 素認証にアップグレードすることを要請。全てのオンライン取引が対象とな る。 FFIEC ガイドラインでは、どの種類の認証を採用すべきかその選択は銀行 に任せている。FFIEC はいくつかの選択肢(例えばバイオメトリックス、 ハードウエアトークン、ワンタイムパスワード、など)をリストアップ。 「FFIEC ガイドラインは法律ほどの強制力は持たないが、これに従わない 場合は、金融機関は 2006 年末に金融検査局から検査を受け、報告されるこ
  3. 3. とになるだろう。(連邦準備制度のスポークスマン) 」 □ 米国で深刻化するフィッシング問題に対し、オンラインバンキングへの実質的な規 制を与えた 要素認証ガイドラインの体系◎FFIEC 2 要素認証ガイドラインの体系 ①多要素認証の整備 (Multi-Factor Authentication) Multi- Authentication) □ 1 要素認証(シークレット)から、より強力な認証手段(オブジェクト、バイオメ 要素認証(シークレット)から、より強力な認証手段( トリックス)を併用する トリックス)を併用する •Secret •Something Something You Know •Password, PIN, •Question •Object •Biometric •Something Something •Something Something You Have You Are •Computer, •Face, Voice, Phone, •Fingerprint •Card, Token •認証の3つの要素 ②多階層コントロール (Multi Layer Control) Control) □ 疑わしい取引を多面的に分析・排除
  4. 4. Transaction Analysis Behavioral Analysis Network Forensics Device Forensics Device Identification◎多要素認証の方式 ①シークレット 本人が記憶しているもので認証 パスワード 現在の主流 PIN(暗証番号) 現在の主流 秘密の質問 パスワードを忘れたときに使われる 絵 自分の選んだ絵を利用、覚えやすい ②オブジェクト 既に所有しているものと、新たに配布されるものに分かれる コンピュータ ユーザの多くがパソコンを所有し有効 電話 電話番号で特定できる カード 持ち運びは便利、ただし盗難のリスクあり トークン One Time Password 方式。安全性は高いが、持ち運 びに不便、価格が高い。 ③バイオメトリックス 本人の生物学的な特徴で判断。発展途上段階。 顔 技術的に発展途上段階 音声 技術的に発展途上段階 指紋 携帯電話などに利用されているが、コスト高い 静脈 持ち運びできない。ATM、店頭などに利用(東京三菱銀行) 要素認証のオブジェクト-◎2 要素認証のオブジェクト-種類と位置づけ
  5. 5. □ ユーザが既に所有しているものの方が、取り組みしやすい。顧客に配布しなければ ならないものは、コスト面で新たな負担を強いられる。 Smart Card TelephonePIN Code Card Mag CardGenerator Computer Laptop ( ) USB Fob(Token) 新たに所有 既に所有 するもの しているもの◎金融業界における業界団体による動き 金融業界における業界団体による動き ① 金融サービス情報共有・分析センター(FS/ISAC) 金融サービス情報共有・分析センター(FS/ISAC FS/ISAC) 重要インフラストラクチャーの防衛に関する大統領委員会の賛助を得て主 要な銀行、証券、保険、公益企業が組織。 セキュリティ上の脅威、脆弱性、事故、推奨される対処法について匿名でレ ポートを集めており、情報を提供。 フィッシング対策ワーキンググループ(APWG ② フィッシング対策ワーキンググループ(APWG) APWG) 大手銀行、E コマース企業、ISP、ベンダーなどで構成。 フィッシング、スプーフィング対応を目的。 スプーフィングに対する対応策を提言。 ① ウエブサイト認証の強化 ② メールサーバ認証 ③ デスクトップ認証付デジタル署名 E メール ④ ゲートウエイ認証付デジタル署名 E メール 本人確認手段盗取被害者支援センター(ITAC ③ 本人確認手段盗取被害者支援センター(ITAC) ITAC) 銀行業 IT 事務局などで構成。 本人確認手段盗取の被害者の支援、信用回復、信用格付の改善を図る。
  6. 6. ◎米国金融業界の動き FFIEC ガイドライン前 一部金融機関では、FDIC レポートを受け、2005 年 10 月の FFIEC ガイドライン 発表前から、すでに新しい認証技術(2-Facotor Authentication)を併用し始めて いる。 ETrade Financial 社: 2005 年 3 月に、RSA Security 社から、パスコード を生成するハードウエアトークンの提供を受けることを決定。一部の顧客に 提供。 バンク・オブ・アメリカ: 顧客が、以前自分の口座にアクセスするために バンク・オブ・アメリカ 使用したコンピュータを使っている時のみ、自分の口座に簡単にアクセスで きるソリューションを開発した PassMarkSecurity 社より、ソフトウェアの 提供を受けると 2005 年 5 月に発表。◎米国金融業界の動き FFIEC ガイドライン後 FFIEC ガイドライン発表後(2005 年 10 月) 、米国銀行業界は新しい認証技術の検 討を本格的にスタートした。 「銀行は、銀行内部で衝突しながらも、新しい認証方式への投資決定をすぐ に行わなければならない。2005 年 10 月発表された FFIEC(Federal Financial Institutions Examination Council)ガイドラインに従って、2006 年末までには、銀行は自社のオンラインシステムのリスクを評価し、リスク が大きいと考えられるオンライン取引のために、認証手段を強化するよう鋭 意努力しなければならない。(アメリカンバンカー誌) 」 「銀行は現在先を争って導入を検討 現在先を争って導入を検討しており、緊急事態 現在先を争って導入を検討 緊急事態だと言える」 緊急事態 (ジャ ブリン・ストラテジー・アンド・リサーチ社アナリスト ブルース・カンデ ィフ)◎銀行に対するコスト負担の問題 ①絵認証 事例1;PassMarkSecurity 50,000 人オンラインユーザーを持つ銀行に、 パスマークテクノロジーを実装するためのコストは、毎年 1 口座あたり1ド
  7. 7. ルである。より大きな銀行では、毎年のコストは一枚の郵便切手の価格(約 40 円)より少なくなると思われる。 ②デバイス認証 事例2;Cyota ニューヨークに拠点を置く Cyota のテクノロジーでは、 ドル未満。 毎年 1 ユーザーにつき 1 ドル未満 ③ハードウエアトークン(One Time Password) ③ハードウエアトークン 事例3;E トレード トークンに基づく認証は、毎年 1 口座あたり最高 10 毎年 ドルかかってしまうことがある。そのコスト、そして、複雑さがゆえに、ト ドル ークンの運用を高い金額の取引、乃至は内部のアプリケーションに限定する 傾向がある。たとえば、2005 年 3 月にスタートしたイートレード・ファイ ナンシャル社は、5 万ドル(約 600 万円)以上の預かり資産のある口座にお いてのみ、トークンに基づくサービスを開始した。 三井住友銀行も1口座あたり月額 100 円、年間約 10 ドル 月額 ドルをユーザ負担で開 始。 □ ハードウエアトークンタイプは、一部の富裕層向けに提供されているが、コスト転 嫁の問題があり、全口座には普及しない可能性 嫁の問題があり、全口座には普及しない可能性が指摘されていた。 があり、全口座には普及しない可能◎銀行のセキュリティ対応の取り組み姿勢 銀行のセキュリティ対応への取り組み姿勢は、2 銀行のセキュリティ対応への取り組み姿勢は、2 極化している。 ①消極派- ①消極派-犯罪予防のためと採用を未公表 いずれの技術も何らかの弱点は存在するため、標的となる可能性が高いセキ ュリティ関連技術の公表を避けたがるきらいがある。また、コストアップに つながることから消極的である。 ②積極派- ②積極派-新規口座獲得の積極的な戦略と認識し、安全性を対外的にアピール 銀行が有効であると考えているデバイス認証の特徴の一つである、『オンラ イン取引がリスク大と考えられる時を除いては、顧客には気づかれない こ 顧客には気づかれない』 顧客には気づかれない とを、機会損失と考える銀行もある。一部の銀行はセキュリティ対策を強化 していることを宣伝することによって、マーケットシェアを増やそうとする 動きがある。その場合は、絵認証ソフトウェア 絵認証ソフトウェアのような、ユーザーが実感で 絵認証ソフトウェア ユーザーが実感で
  8. 8. きるような認証ツールを望むと思われる。 きるような認証ツール バンク・オブ・アメリカは、顧客が銀行のサイトにログオン 「たとえば、バンク・オブ・アメリカ バンク・オブ・アメリカ するときに、PassPark Security の絵認証システムを使用することとした。 顧客は初めてサイトを訪れると、自分で絵を選択する。そして、次以降サイ トを訪れたときには、そのサイトが偽物でないことを保証するために、自分 が選んだ絵が示される。トークンのような物を持ち歩くことを顧客に要求し ないので非常に使いやすい。他の銀行もバンク・オブ・アメリカの方式に注 目すべきで、これは顧客に安心感を与える。(ジャブリン・ストラテジー・ 」 アンド・リサーチ社アナリスト ブルース・カンディフ )◎E トレード ETrade Financial 社は、顧客に対し、ベッドフォード(マサチューセッツ)の RSA Security 社が提供する、パスコードを生成するトークンを提供。 2005 年上期から採用開始。 ただし、コストが年に 10 ドル以上もするため、コストを顧客に転嫁せざるを得 ず、ごく一部の富裕層向け(預かり資産 5 万ドル以上)に無償提供しかしておらず、 あまり普及していない。(PassMark Security) 」 コストに大きな問題あり。コストの顧客への転嫁は難しく、一部の重要顧客のみ に対応。◎Bank of America Site Key(PassMark Security 提供の絵認証技術)を 2005 年 5 月に採用。2006 年より本格採用され、1,400 万口座のうち 700 万口座で利用されている。 顧客が以前使用したことのあるコンピュータを使っている時だけ、自分の 口座に簡単にアクセスできるような認証方法を実施。 また、顧客が銀行のサイトにログオンすると、初めてサイトを訪れる時に、 自分で絵を選択する。そして、次以降サイトを訪れたときには、そのサイト が偽物でないことを確認するために、自分が予め選択した絵が示される。い ずれも、カリフォルニア州レッドウッドシティーにある PassMarkSecurity によって、必要なシステムと技術が提供されている。 非常にユーザーにとって使いやすく、いかなるトークンも持ち歩くことを ユーザーに要求しない。他の銀行からも、バンクオブアメリカ方式は注目さ
  9. 9. れている。 Site Key(PassMark Security 提供の絵認証技術)を 2005 年 5 月に採用。2006 年より本格採用され、1,400 万口座のうち 700 万口座で利用されている。 顧客が以前使用したことのあるコンピュータを使っている時だけ、自分の 口座に簡単にアクセスできるような認証方法を実施。 また、顧客が銀行のサイトにログオンすると、初めてサイトを訪れる時に、 自分で絵を選択する。そして、次以降サイトを訪れたときには、そのサイト が偽物でないことを確認するために、自分が予め選択した絵が示される。い ずれも、カリフォルニア州レッドウッドシティーにある PassMarkSecurity によって、必要なシステムと技術が提供されている。 非常にユーザーにとって使いやすく、いかなるトークンも持ち歩くことを ユーザーに要求しない。他の銀行からも、バンクオブアメリカ方式は注目さ れている。◎Citi Bank ホームページにて実際のオンライン詐欺の事例を提示し、顧客に注意を喚起して いる。 スプーフィングに用いられる E メールの例の図示 届いた E メールがスプーフィングなのかどうか、確認すべき箇所の例 本人確認手段盗取の報告をするためのフリーダイヤルの電話番号 本人確認手段盗取についての情報連絡のための E メールアドレス FTC その他の機関へのリンク 多くのフィッシャーから標的にされていたこともあり、啓蒙活動を推進している。 しかし、2要素認証に関しては、現段階では発表なし。◎One Time Password(ハードウエアトークン)の弱点 Password(ハードウエアトークン)の弱点 欧州の銀行では、RSA セキュリティやバスコなど、One Time Password を利用 したハードウエアトークンを採用する銀行があるが、米国での普及は一部の富裕層
  10. 10. を除き、ハードルが高いと思われる。 ①限定した範囲しか採用されない 常に携帯しなければならず、複数の銀行口座を持つと所持に困る。 コストが高いため、トークンを何百万人に配布するのは、非常に多くのイ ニシャルコストがかかるし、維持コストもかかる。 顧客にコストを転嫁するのは、大変難しい。ETrade は、RSA セキュアー ID を用いたトークンをベースとした戦略を実行した。しかし、26 ヵ月のマ ーケティング活動の後、消費者のうちわずか 0.8%未満だけしかこの方式を 選択しなかった。 FFIEC ガイドラインでは、2 要素認証手段が広く配備されることが求め られている。 ②中間者攻撃(Man-In-The-Attack)に弱い ②中間者攻撃(Man-In-The-Attack)に弱い Man ある種の侵入には弱く、特に中間者攻撃のケースである。消費者が、トー クンを使うときは安全であるという感覚を持つことが、特に困難を極める。 巧みなフィッシャーは、偽のウェブサイトを真似して作り、トークンが発生 するパスワードを集めて、リアルタイムで効果的にユーザーID を盗むこと ができる。これは、通常の電子メールチャンネルを通して、簡単にトークン をもつ機関に目標が定められるのと、顧客にもターゲットを定められること になる。 ③双方向認証ができない トークンは双方向認証をしない。銀行に対し、ユーザーを認証するが、ユ ーザーに対し、銀行の認証はしない。これは消費者が銀行(ウェブによって または電子メールで)との交信が、真正であるとは確証できないことを意味 する。そのため、信頼レベルを相当下げることになる。 □ FFIEC では広く 2 要素認証の導入を促しているのに対し、限定した対応では不十 分である。他の方式を併用する可能性あり。◎他の金融機関の動向 他の金融機関の動向 ING グループ NV の米国オンラインバンキング部門 目に見える認証ツールの採用者の1社。ING Direct 部門は、最近 PIN パ ッドをそのサイトに加えた。顧客は、キーボードでなくパソコン画面上のパ ッド
  11. 11. ッドを使って、マウスで自分のパスワードを入力しなければならない。この ツールは、ユーザーのキーストロークを盗み取るために詐欺師によってコン ピュータに埋めこめられたスパイウエアの一種である、キーストローク・ロ ギング・プログラムから、顧客を保護するために提供された。 ロイズ TSB(英国銀行) およそ 30,000 人の顧客に 30 秒ごと新しい 6 桁のワンタイムパスワード ワンタイムパスワード を生み出すハードウエアトークンを配布していると発表した。同じものがロ イズ側のコンピュータでも動いている。いつでも、いずれのトークンからの パスコードも、ロイズのコンピュータのパスコードと一致しなければ、ログ インできない。◎今後の米国金融当局の動きと業界対応 今後も、引き続きガイドラインが追加されることが予想される。 「金融業界は、ID 盗難対策の取り組みの初期段階でしかない。技術ベン ダーである我々も、実はまだあまり良い仕事をしてないと思う。 FFIEC ガ イドラインは、一つのステップではあるが、これが最後でない。将来も、よ り多くの対応策を追加し続けなければならないと考えている。 」(ベリサイン 社ポリシー統括者アイゼンバーグ) 「ID 盗難と被害を阻止できる 100%の確実な方法は存在しない。そのた め、銀行と消費者は、今よりも、更に多くのツールを使用しなければならな いだろう。(スザンナ・モンテゼモーロ消費者連盟ポリシーアナリスト) 」 「これまで、銀行預金の盗難は、顧客データに直接アクセスできる内部者 によって実行されてきた。しかしながら、いまや、ほとんどの犯罪は、イン ターネット上で行われている。パスワードだけでは、オンラインバンキング の十分な保護にはならず、今後さまざまな多元的な認証方式 多元的な認証方式を使わねばなら 多元的な認証方式 ないだろう。(マイケル L.ジャクソン FDIC 技術ディレクター、FFIEC メ 」 ンバー) □ 二要素認証から多要素認証へのシフトの可能性。◎主要な 2 要素認証技術ベンダ
  12. 12. PassMark Security 2Factor×2Way Authentication を提唱。デバイス認証とユニークな絵認 証の技術を持つ。 Cyota デバイス認証の技術を持つ。さらに、デバイス分析、行動分析トランザク ションアナリシス、など多階層コントロールを得意とし、クレジットカード 会社などに実績あり。 RSA Security One Time Password(ハードウエアトークン)とシングルサインオンの 技術を持つ。EMC に買収されている。 Authenex VeriSign が暗号化技術を提供) Authenex(VeriSign ハードウエアトークンの技術を持つ。◎PassMark Security 同社は 2004 年 2 月にカリフォルニア州レッドウッドシティに設立された新興企 業。 2Factor×2Way Authentication を提唱。2Factor としてはデバイス認証、そして 2Factor× Authentication 当社独自の 2Way として、絵認証の技術を有する。絵認証を加えることで、ユーザ と銀行の双方向での認証が可能となる。 2005 年 5 月には米国で 1400 万人という最大級のオンラインバンキングユーザー を抱える Bank of America にて採用されることが決定し、現在 700 万件の口座が利 用している。 オンラインバンキングにおいて、簡単で低コストな認証サービスを提供すること がコンセプトである。 近年さまざまな賞を受賞しており、評価は高い。2006 年 1 月現在 26 社が採用 2006 社が採用を 決定。 BOA に提供する当社絵認証 SiteKey は、BusinessWeek 誌より、 “2005 年ベストプロダクツ 25”の一つに選ばれた。
  13. 13. オンラインバンキングレポートは、パスマークに”ベスト 2005”賞を与 えた。 コンサルティング企業フロスト&サリバンは、パスマークに“2006 年ネ ットワークセキュリティリソースプロテクションテクノロジー賞”を与えた。◎PassMark ソリューションの仕組み PassMark では、デバイス認証と絵認証を組み合わせて提案。 ①デバイス認証(2Factor) デバイス認証(2Factor) デバイス認証(2Factor ユーザーがオンラインバンキングに利用する PC そのものが認証デバイ スとなる。初回アクセス時に発行されるデバイス ID には、PC のスクリー ン解像度やソフトウェアのバージョン、IP アドレスなどの情報がひも付け られ、万が一ユーザーが普段 PC を利用する場所とは別の場所からオンライ ンバンキングを利用しようとした場合や、通常 1 カ月に一度しかオンライン バンキングを利用しないユーザーが 1 日に何十回もアクセスするなど違っ たパターンが見受けられる場合には、「母親の旧姓は何ですか?」といった 別の質問を投げかけたり、ユーザーの携帯電話にアラートを送ったりするこ とで、第三者からのアクセスを防止する。 ②絵認証(2Way) 絵認証(2Way) 絵認証(2Way ユーザーは、オンラインバンキングに最初にアクセスする際、1 万以上の 画像の中から好みの画像を選択する。その際、PC を特定するデバイス ID が発行され、Cookie などに自動的に組み込まれる。その後ユーザーが銀行 のサイトにアクセスする際には、必ずユーザーが選択した画像が表示され、 サイトが偽物でないことを証明する。正しいサイトにアクセスした場合のみ ユーザーの選んだ画像が表示されるので、フィッシングが防げる。◎デバイス認証の対象物
  14. 14. Home Home Computer Phone ユーザーが既に所有する デバイスが2要素認証の ハードウエアトークン Office Computer Office Phone Laptop Computer Cell Phone PDA Smartphone◎RSA Security ハードウェア・トークンを提供。ワン・タイム・パスワードを発行するような暗 号機能を持った携帯用のデバイスである、 「RSA SecurID」を提供。2 要素認証とし て、60 秒に 1 回変化する 6 桁の数字と、個人の暗証番号(PIN)を併用する。2要 素認証分野で採用。エンタープライズ市場で全米 80%のシェアを占めている。 当社ハードウエアトークン RSA SecurID は、ネットワークのユーザー・アクセス制御用として、1987 年よ り金融機関や研究所など情報管理に慎重な企業で利用されてきた。 インターネット が普及した現在は、SSL-VPN、イントラネット/エクストラネット、ネットビジネ スにおけるユーザー認証ならびにセキュリティ施策として利用されている。現在、 オンライン・バン キングや オンライン・トレーディ ングにお ける認証として 、クレディスイス、Washington Mutual 等 90 E*TRADE、AOL(America Online)
  15. 15. 社を超える企業が採用。日本でも三井住友銀行が 2006 年 1 月に採用を発表した。 世界で 2,000 万個出荷されており(2005 年時点)、米 Fortune 紙トップ 100 社中 の 80%、世界のトップ 50 の銀行の 84%が採用と、実績ある。 □ 欧州の銀行を中心に先行的に採用されているが、1 アカウントのコストが年間 10 ドル程度と高価であることから、主に預かり資産の大きな優良顧客を対象に提供し、 1 金融機関内での利用件数は少ない。ちなみに、E トレードでの普及率は 0.8%に留 まる。◎Cyota Cyota 社はニューヨーク市に本社を置く未公開企業。世界の金融機関に、オンラ イン・セキュリティおよび不正行為防止技術を提供している。 Cyota の不正防止リューションは、オンラインバンキングの詐欺事件を減らすこ とに特化している。一方でその他のテクノロジーをアウトソーシングすることで、 IT 投資を最小にしている。 クレジットカードでの不正取引の分析の経験が長く、 多階層コントロールに特徴を有する。 Cyota の詐欺発見、認証ソリューションは銀行の新しい FFIEC ガイドラインに 適合。 eRiskEngine:真正な取引者と怪しい取引者を多面的に、パターン分析す るエンジン。 Cyota eSphinx:オンラインバンキングの見えない 2 要素認証技術。PC などハードウエアを特定することで、 ユーザの利便性を損なうことなく、 銀行に 2 要素セキュリティを提供する。 新たなハードウエアを購入するこ となく、低コストである。 Cyota eVision:オンライン詐欺の脅威のために設計された、オンライン 危機管理システムである。リアルタイムにオンラインバンキングとオンライ ンサービス詐欺を発見、分析、記録し、管理する。オンライン銀行は、 eVision を使うことで、最高詐欺事件を 80%縮小することができた。
  16. 16. ◎TriCipher □ ワンタイムパスワードやデバイス認証など、さまざまなタイプのソリューションを 提供し、技術の幅が広い。もともと、日本企業の日本システムデベロップメント (NSD)がインキュベーションして設立された経緯があり、今後日本へ導入される ことが有力視されている。 Authenex(VeriSign)◎Authenex(VeriSign) One Time Password を発生するハードウエアトークンを提供。 エンジンは VeriSign の認証技術を採用。 銀行に対して、中華系の銀行への導入実績はある。 直接接触して、多階層コントロール技術について、問い合わせたが回答がなく、 金融での導入には力を持たないと思われる。◎RSA による Cyota 及び PassMark 社買収の動き RSA は、2005 年 12 月 Cyota を買収。更に、2006 年 4 月に PassMark 社を買収。 一連の M&A により、RSA は、One Time Password からデバイス認証、多階層 コントロールまで、オンラインバンキングの認証に関して、グループ全体で非常に 幅広いソリューションの提供が可能となった。 RSA は、二要素認証技術提供会社としては最大手であったが、2005 年 10 月 FFIEC ガイドライン発表後、コストの問題から、デバイス認証を持つパスマークなどに押 されていた。 更に、RSA 自身もストレージ大手の EMC に 2006 年 6 月買収された。2007 年 2 月 RSA カンファレンスにて EMCCEO は「これからは、セキュリティ専業は存在 しえない。 」と、複合的なサービスの重要性を強調。 今後は、富裕層を主たるターゲットとして、RSA ソリューションを採用した金融機 関向けに 、一般ユーザを対 象とする廉価な ソリューションと して、Cyota と PassMark が提供されることになった。 RSA の動きをウオッチすることは重要。特に、日本では三井住友銀行に続き、ジ ャパンネットバンクが採用。 RSA の採用については、 「米国に比べ、日本の方が先を行っている。」
  17. 17. (RSA 日本営業)ことから、RSA 対応は非常に重要と思われる。 ガイドラインへの対応結果( への対応結果◎FFIEC ガイドラインへの対応結果(2006 年末の結果) □ FFIEC ガイドライン制定により、オンラインバンキングにて特需が発生した。実際 に、オンラインバンクが何を採用したかであるが、最終的に、RSA が 75%のシェア を占めたものと思われる。更にその内訳としては、大半が PassMark のデバイス認 証であった模様。 □ その理由としては、全口座を対象とすることから、コストを誰に転嫁するのかとい う問題から、もっともコスト負担の少ない、旧パスマーク社の技術が採用された、 ということが大きい。更に、バンクオブアメリカでの実績が大きく物を言ったとい うことも上げられる。◎次の展開 □ オンラインバンキングでは、ガイドラインへの対応が急務であったことから、2 要素 認証がほぼ全部に渡り普及した。ほとんど旧パスマーク社のデバイス認証であった模 様である。一時よりも、フィッシング詐欺は減っているものの、現在でもなくなって はいない。RSA カンファレンス 2007 では、二要素から多要素認証へとシフトする動 きが散見された。 「さて、本日から RSA カンファレンスは本格的スタートした。昨年と比較してみて、非 常に特徴的なことを感じた。セキュリティ対策がより複雑になり「組み合わせ」のステ ージに突入してきたということある。つまり、セキュリティ対策は何か1つの方法で完 全と言うものはなくなっており、「多要素認証」(Multi-Factor Authentication:パスワ ードなどによる一要素認証から、オブジェクト=デバイス認証、バイオメトリックスな どによる、複数の要素での認証)「多階層コントロール」 、 (Multi Layer Control:疑わし い取引相手を多面的に分析し、排除する)も含めて、さまざまなタイプのものを組み合 わせ、提案され、採用されていくということが、より鮮明になってきたということであ る。(ZDNet;2007RSA カンファレンスレポート) 」 「 「組み合わせ」の事例だが、RSA ブースでいくつか新しい試みを発見した。まだプロト タイプで発売していないという話であったが、生体認証の一つである、指紋認証と組み 合わせ、PIN コード入力を不要とするものや、ワイヤレス対応し入出管理などにも応用 できるタイプのトークンなどが参考展示されていた。 多要素認証のステージになると、二要素認証時代にはライバルであった企業と手を取り
  18. 18. 合い、セキュリティの「組み合わせ」ソリューションを提供していくことになるのであ る。(ZDNet;2007RSA カンファレンスレポート) 」 □ これまで、採用に至らなかったトークンタイプの認証や、バイオメトリクスなど、デ バイス認証のライバルであった方式も、多要素認証の一つの要素として併用されるケ ースも出てきた。今後、バイオメトリクスが普及していく可能性も出てきた。 要素認証-◎2 要素認証-まとめ デバイス認証、One Time Password が2大ソリューション。デバイス認証としては、 PassMark 社、One Time Password としては、RSA が先行。米国では、PassMark 社が有望。RSA 以外の他の方式については、結果的に、有力的な企業 2 社を RSA が買収したことから、RSA が大半のシェアを握ることとなった。 One Time Password は USB やハードウエアトークンで提供されるが、コストが高 く、一部優良顧客にしか普及していないが、それを補完するものとして、デバイス 認証が導入された。 日本においては、 「2007 年春に金融庁などから 2 要素認証の指針が出る可能性が高 まった。(複数ルート)という話が出ており、日本でも 2 要素認証が導入される可 」 能性が高まっている。その時点で、他の方式と並存で、バイオメトリクスが採用に なる可能性がある。
  19. 19. コウジ)徳田 浩司(トクダ コウジ)Fusion Reactor LLC(在米国シリコンバレー)社長三和銀行、三和総研、三菱商事証券などで、システムコンサルティング、ベンチャー投融資などに従事。2004 年に独立、米国シリコンバレーで、ベンチャーサポート、IT・金融ビジネスのコンサルティング、ワイヤレス・ブロードバンド・ソリューションの開発・ベンチャー経営、老舗スポーティング・グッズ・メーカの米国代表などに従事。 本件に関するご意見・お問い合わせ Fusion Reactor LLC 代表; 代表; 徳田 浩司 050-5534- 国内電話で通じます) 電話 日本 050-5534-5314 (国内電話で通じます) E-mail: info@fusion-reactor.biz info@fusion- http://www.fusion- ホームページ http://www.fusion-reactor.biz/japanese

×