More Related Content
Similar to オンラインバンキングのセキュリティ技術の動向(完全版) (20)
More from Fusion Reactor LLC (20)
オンラインバンキングのセキュリティ技術の動向(完全版)
- 1. オンラインバンキングのセキュリティ技術の動向
2007 年 2 月
◎増加する米国におけるオンラインバンキングの詐欺事件
□ 近年、米国において、ID 盗難やフィッシングなどオンラインバンキングの犯罪が社
会問題化
「不法に他人の ID を使って行われた商品・サービスの盗難は、2004 年に
520 億ドルを上回った。(連邦取引委員会調査)
」
「2005 年上半期に、秘密情報を盗むウイルスが、トップ 50 のウイルス、ワ
ーム、トロイの木馬のうち4分の3を占め、2004 年下半期に比べ 54%も上
昇した。(シマンテック)
」
「インターネット関連のクレジットカード犯罪数が、2004 年に前年比 66%
上昇した。平均被害額は 1 件当たり 2003 年の 800 ドルから 2004 年には
2,400 ドルと、3 倍に膨らんだ。( FBI 報告)
」
「パスワード盗難が 2005 年 4 月以降 2 倍に膨らんだ。(アンチ・フィッシ
」
ング・ワーキング・グループ)
□ 2004 年からオンライン犯罪が増え、2005 年に拡大。行政や金融当局などが本格的
な調査・対応策の策定に着手。
◎金融当局など行政のフィッシング対策の動き
1. 個人情報保護関連法案の制定
99 年 GLB 法(新銀行法)501 条:FBA(連邦銀行監督局)に対する消費者
保護ガイドラインの制定の要請
2000 年インターネット本人確認防止法制定
本人確認手段盗難のガイドラインの制定の要請
2003 年公正正確信用取引法(FACTA)114 条(レッド・フラッグ条項)
:連
邦取引委員会(FTC)及び FBA に本人確認手段盗難のガイドラインの制定
の要請
FACTA216 条:FTC および FBA に対し信用報告に記載されるセンシティ
ブ情報の適切な処分についての規制制定を要請
98 年本人確認手段盗取法:ID 窃盗に対し、15 年以下の懲役もしくは 25 万
ドル以下の罰金の罰則規定
2004 年本人確認手段盗取罰則強化法:本人確認手段盗取に 2 年以下の懲役
- 2. 2.警察当局の対応
インフラガード(FBI)
:民間企業と共同でサイバー犯罪対応
◎FDIC フィッシング対策レポート
FDIC*:Putting an End to Account-Hijacking Identity Theft を発表(2004 年
FDIC*: Account- を発表(2004
12 月)
*Federal Deposit Insurance Corporation;連邦預金保険公社
フィッシング詐欺の実態と、ソリューションの可能性に関するレポートを作
成。以下の4つの対策を推奨
① スキャンソフトウエアの使用
② 教育プログラムの強化
③ パスワードベースの 1 要素認証から 2 要素認証
要素認証へのアップグレード
④ 金融機関、政府、技術プロバイダーの間での情報共有
対応技術として、スキャニングツール、E-mail 認証(SenderID) ユーザ
、ユーザ
認証(2 要素認証)の
認証(2 要素認証) 3 分野における技術を発表
◎FFIEC 2 要素認証ガイドライン
FFIEC*:オンラインバンキングの 要素認証ガイドラインを発表(2005
FFIEC*:オンラインバンキングの 2 要素認証ガイドラインを発表(2005 年 10 月
12 日)
* Federal Financial Institutions Examination Council FFIEC:連邦金融機関検査委
員会、連邦準備制度や連邦預金保険公社(FDIC)などによって構成金融機関の検査
基準を策定
オンラインバンキングに対し、 2006 年末までに、これまでの1要素認証プ
ロセス(多くがユーザー名とパスワードをベース)から、より強力な 2 要
素認証にアップグレードすることを要請。全てのオンライン取引が対象とな
る。
FFIEC ガイドラインでは、どの種類の認証を採用すべきかその選択は銀行
に任せている。FFIEC はいくつかの選択肢(例えばバイオメトリックス、
ハードウエアトークン、ワンタイムパスワード、など)をリストアップ。
「FFIEC ガイドラインは法律ほどの強制力は持たないが、これに従わない
場合は、金融機関は 2006 年末に金融検査局から検査を受け、報告されるこ
- 3. とになるだろう。(連邦準備制度のスポークスマン)
」
□ 米国で深刻化するフィッシング問題に対し、オンラインバンキングへの実質的な規
制を与えた
要素認証ガイドラインの体系
◎FFIEC 2 要素認証ガイドラインの体系
①多要素認証の整備
(Multi-Factor Authentication)
Multi- Authentication)
□ 1 要素認証(シークレット)から、より強力な認証手段(オブジェクト、バイオメ
要素認証(シークレット)から、より強力な認証手段(
トリックス)を併用する
トリックス)を併用する
•Secret
•Something
Something
You Know
•Password,
PIN,
•Question
•Object •Biometric
•Something
Something •Something
Something
You Have You Are
•Computer, •Face, Voice,
Phone, •Fingerprint
•Card, Token
•認証の3つの要素
②多階層コントロール
(Multi Layer Control)
Control)
□ 疑わしい取引を多面的に分析・排除
- 4. Transaction Analysis
Behavioral Analysis
Network Forensics
Device Forensics
Device Identification
◎多要素認証の方式
①シークレット 本人が記憶しているもので認証
パスワード 現在の主流
PIN(暗証番号) 現在の主流
秘密の質問 パスワードを忘れたときに使われる
絵 自分の選んだ絵を利用、覚えやすい
②オブジェクト 既に所有しているものと、新たに配布されるものに分かれる
コンピュータ ユーザの多くがパソコンを所有し有効
電話 電話番号で特定できる
カード 持ち運びは便利、ただし盗難のリスクあり
トークン One Time Password 方式。安全性は高いが、持ち運
びに不便、価格が高い。
③バイオメトリックス 本人の生物学的な特徴で判断。発展途上段階。
顔 技術的に発展途上段階
音声 技術的に発展途上段階
指紋 携帯電話などに利用されているが、コスト高い
静脈 持ち運びできない。ATM、店頭などに利用(東京三菱銀行)
要素認証のオブジェクト-
◎2 要素認証のオブジェクト-種類と位置づけ
- 5. □ ユーザが既に所有しているものの方が、取り組みしやすい。顧客に配布しなければ
ならないものは、コスト面で新たな負担を強いられる。
Smart Card
Telephone
PIN
Code Card
Mag Card
Generator Computer Laptop
( )
USB Fob(Token)
新たに所有 既に所有
するもの しているもの
◎金融業界における業界団体による動き
金融業界における業界団体による動き
① 金融サービス情報共有・分析センター(FS/ISAC)
金融サービス情報共有・分析センター(FS/ISAC
FS/ISAC)
重要インフラストラクチャーの防衛に関する大統領委員会の賛助を得て主
要な銀行、証券、保険、公益企業が組織。
セキュリティ上の脅威、脆弱性、事故、推奨される対処法について匿名でレ
ポートを集めており、情報を提供。
フィッシング対策ワーキンググループ(APWG
② フィッシング対策ワーキンググループ(APWG)
APWG)
大手銀行、E コマース企業、ISP、ベンダーなどで構成。
フィッシング、スプーフィング対応を目的。
スプーフィングに対する対応策を提言。
① ウエブサイト認証の強化
② メールサーバ認証
③ デスクトップ認証付デジタル署名 E メール
④ ゲートウエイ認証付デジタル署名 E メール
本人確認手段盗取被害者支援センター(ITAC
③ 本人確認手段盗取被害者支援センター(ITAC)
ITAC)
銀行業 IT 事務局などで構成。
本人確認手段盗取の被害者の支援、信用回復、信用格付の改善を図る。
- 6. ◎米国金融業界の動き FFIEC ガイドライン前
一部金融機関では、FDIC レポートを受け、2005 年 10 月の FFIEC ガイドライン
発表前から、すでに新しい認証技術(2-Facotor Authentication)を併用し始めて
いる。
ETrade Financial 社: 2005 年 3 月に、RSA Security 社から、パスコード
を生成するハードウエアトークンの提供を受けることを決定。一部の顧客に
提供。
バンク・オブ・アメリカ: 顧客が、以前自分の口座にアクセスするために
バンク・オブ・アメリカ
使用したコンピュータを使っている時のみ、自分の口座に簡単にアクセスで
きるソリューションを開発した PassMarkSecurity 社より、ソフトウェアの
提供を受けると 2005 年 5 月に発表。
◎米国金融業界の動き FFIEC ガイドライン後
FFIEC ガイドライン発表後(2005 年 10 月)
、米国銀行業界は新しい認証技術の検
討を本格的にスタートした。
「銀行は、銀行内部で衝突しながらも、新しい認証方式への投資決定をすぐ
に行わなければならない。2005 年 10 月発表された FFIEC(Federal
Financial Institutions Examination Council)ガイドラインに従って、2006
年末までには、銀行は自社のオンラインシステムのリスクを評価し、リスク
が大きいと考えられるオンライン取引のために、認証手段を強化するよう鋭
意努力しなければならない。(アメリカンバンカー誌)
」
「銀行は現在先を争って導入を検討
現在先を争って導入を検討しており、緊急事態
現在先を争って導入を検討 緊急事態だと言える」
緊急事態 (ジャ
ブリン・ストラテジー・アンド・リサーチ社アナリスト ブルース・カンデ
ィフ)
◎銀行に対するコスト負担の問題
①絵認証
事例1;PassMarkSecurity 50,000 人オンラインユーザーを持つ銀行に、
パスマークテクノロジーを実装するためのコストは、毎年 1 口座あたり1ド
- 7. ルである。より大きな銀行では、毎年のコストは一枚の郵便切手の価格(約
40 円)より少なくなると思われる。
②デバイス認証
事例2;Cyota ニューヨークに拠点を置く Cyota のテクノロジーでは、
ドル未満。
毎年 1 ユーザーにつき 1 ドル未満
③ハードウエアトークン(One Time Password)
③ハードウエアトークン
事例3;E トレード トークンに基づく認証は、毎年 1 口座あたり最高 10
毎年
ドルかかってしまうことがある。そのコスト、そして、複雑さがゆえに、ト
ドル
ークンの運用を高い金額の取引、乃至は内部のアプリケーションに限定する
傾向がある。たとえば、2005 年 3 月にスタートしたイートレード・ファイ
ナンシャル社は、5 万ドル(約 600 万円)以上の預かり資産のある口座にお
いてのみ、トークンに基づくサービスを開始した。
三井住友銀行も1口座あたり月額 100 円、年間約 10 ドル
月額 ドルをユーザ負担で開
始。
□ ハードウエアトークンタイプは、一部の富裕層向けに提供されているが、コスト転
嫁の問題があり、全口座には普及しない可能性
嫁の問題があり、全口座には普及しない可能性が指摘されていた。
があり、全口座には普及しない可能
◎銀行のセキュリティ対応の取り組み姿勢
銀行のセキュリティ対応への取り組み姿勢は、2
銀行のセキュリティ対応への取り組み姿勢は、2 極化している。
①消極派-
①消極派-犯罪予防のためと採用を未公表
いずれの技術も何らかの弱点は存在するため、標的となる可能性が高いセキ
ュリティ関連技術の公表を避けたがるきらいがある。また、コストアップに
つながることから消極的である。
②積極派-
②積極派-新規口座獲得の積極的な戦略と認識し、安全性を対外的にアピール
銀行が有効であると考えているデバイス認証の特徴の一つである、『オンラ
イン取引がリスク大と考えられる時を除いては、顧客には気づかれない こ
顧客には気づかれない』
顧客には気づかれない
とを、機会損失と考える銀行もある。一部の銀行はセキュリティ対策を強化
していることを宣伝することによって、マーケットシェアを増やそうとする
動きがある。その場合は、絵認証ソフトウェア
絵認証ソフトウェアのような、ユーザーが実感で
絵認証ソフトウェア ユーザーが実感で
- 8. きるような認証ツールを望むと思われる。
きるような認証ツール
バンク・オブ・アメリカは、顧客が銀行のサイトにログオン
「たとえば、バンク・オブ・アメリカ
バンク・オブ・アメリカ
するときに、PassPark Security の絵認証システムを使用することとした。
顧客は初めてサイトを訪れると、自分で絵を選択する。そして、次以降サイ
トを訪れたときには、そのサイトが偽物でないことを保証するために、自分
が選んだ絵が示される。トークンのような物を持ち歩くことを顧客に要求し
ないので非常に使いやすい。他の銀行もバンク・オブ・アメリカの方式に注
目すべきで、これは顧客に安心感を与える。(ジャブリン・ストラテジー・
」
アンド・リサーチ社アナリスト ブルース・カンディフ )
◎E トレード
ETrade Financial 社は、顧客に対し、ベッドフォード(マサチューセッツ)の
RSA Security 社が提供する、パスコードを生成するトークンを提供。
2005 年上期から採用開始。
ただし、コストが年に 10 ドル以上もするため、コストを顧客に転嫁せざるを得
ず、ごく一部の富裕層向け(預かり資産 5 万ドル以上)に無償提供しかしておらず、
あまり普及していない。(PassMark Security)
」
コストに大きな問題あり。コストの顧客への転嫁は難しく、一部の重要顧客のみ
に対応。
◎Bank of America
Site Key(PassMark Security 提供の絵認証技術)を 2005 年 5 月に採用。2006
年より本格採用され、1,400 万口座のうち 700 万口座で利用されている。
顧客が以前使用したことのあるコンピュータを使っている時だけ、自分の
口座に簡単にアクセスできるような認証方法を実施。
また、顧客が銀行のサイトにログオンすると、初めてサイトを訪れる時に、
自分で絵を選択する。そして、次以降サイトを訪れたときには、そのサイト
が偽物でないことを確認するために、自分が予め選択した絵が示される。い
ずれも、カリフォルニア州レッドウッドシティーにある PassMarkSecurity
によって、必要なシステムと技術が提供されている。
非常にユーザーにとって使いやすく、いかなるトークンも持ち歩くことを
ユーザーに要求しない。他の銀行からも、バンクオブアメリカ方式は注目さ
- 9. れている。
Site Key(PassMark Security 提供の絵認証技術)を 2005 年 5 月に採用。2006
年より本格採用され、1,400 万口座のうち 700 万口座で利用されている。
顧客が以前使用したことのあるコンピュータを使っている時だけ、自分の
口座に簡単にアクセスできるような認証方法を実施。
また、顧客が銀行のサイトにログオンすると、初めてサイトを訪れる時に、
自分で絵を選択する。そして、次以降サイトを訪れたときには、そのサイト
が偽物でないことを確認するために、自分が予め選択した絵が示される。い
ずれも、カリフォルニア州レッドウッドシティーにある PassMarkSecurity
によって、必要なシステムと技術が提供されている。
非常にユーザーにとって使いやすく、いかなるトークンも持ち歩くことを
ユーザーに要求しない。他の銀行からも、バンクオブアメリカ方式は注目さ
れている。
◎Citi Bank
ホームページにて実際のオンライン詐欺の事例を提示し、顧客に注意を喚起して
いる。
スプーフィングに用いられる E メールの例の図示
届いた E メールがスプーフィングなのかどうか、確認すべき箇所の例
本人確認手段盗取の報告をするためのフリーダイヤルの電話番号
本人確認手段盗取についての情報連絡のための E メールアドレス
FTC その他の機関へのリンク
多くのフィッシャーから標的にされていたこともあり、啓蒙活動を推進している。
しかし、2要素認証に関しては、現段階では発表なし。
◎One Time Password(ハードウエアトークン)の弱点
Password(ハードウエアトークン)の弱点
欧州の銀行では、RSA セキュリティやバスコなど、One Time Password を利用
したハードウエアトークンを採用する銀行があるが、米国での普及は一部の富裕層
- 10. を除き、ハードルが高いと思われる。
①限定した範囲しか採用されない
常に携帯しなければならず、複数の銀行口座を持つと所持に困る。
コストが高いため、トークンを何百万人に配布するのは、非常に多くのイ
ニシャルコストがかかるし、維持コストもかかる。
顧客にコストを転嫁するのは、大変難しい。ETrade は、RSA セキュアー
ID を用いたトークンをベースとした戦略を実行した。しかし、26 ヵ月のマ
ーケティング活動の後、消費者のうちわずか 0.8%未満だけしかこの方式を
選択しなかった。
FFIEC ガイドラインでは、2 要素認証手段が広く配備されることが求め
られている。
②中間者攻撃(Man-In-The-Attack)に弱い
②中間者攻撃(Man-In-The-Attack)に弱い
Man
ある種の侵入には弱く、特に中間者攻撃のケースである。消費者が、トー
クンを使うときは安全であるという感覚を持つことが、特に困難を極める。
巧みなフィッシャーは、偽のウェブサイトを真似して作り、トークンが発生
するパスワードを集めて、リアルタイムで効果的にユーザーID を盗むこと
ができる。これは、通常の電子メールチャンネルを通して、簡単にトークン
をもつ機関に目標が定められるのと、顧客にもターゲットを定められること
になる。
③双方向認証ができない
トークンは双方向認証をしない。銀行に対し、ユーザーを認証するが、ユ
ーザーに対し、銀行の認証はしない。これは消費者が銀行(ウェブによって
または電子メールで)との交信が、真正であるとは確証できないことを意味
する。そのため、信頼レベルを相当下げることになる。
□ FFIEC では広く 2 要素認証の導入を促しているのに対し、限定した対応では不十
分である。他の方式を併用する可能性あり。
◎他の金融機関の動向
他の金融機関の動向
ING グループ NV の米国オンラインバンキング部門
目に見える認証ツールの採用者の1社。ING Direct 部門は、最近 PIN パ
ッドをそのサイトに加えた。顧客は、キーボードでなくパソコン画面上のパ
ッド
- 11. ッドを使って、マウスで自分のパスワードを入力しなければならない。この
ツールは、ユーザーのキーストロークを盗み取るために詐欺師によってコン
ピュータに埋めこめられたスパイウエアの一種である、キーストローク・ロ
ギング・プログラムから、顧客を保護するために提供された。
ロイズ TSB(英国銀行)
およそ 30,000 人の顧客に 30 秒ごと新しい 6 桁のワンタイムパスワード
ワンタイムパスワード
を生み出すハードウエアトークンを配布していると発表した。同じものがロ
イズ側のコンピュータでも動いている。いつでも、いずれのトークンからの
パスコードも、ロイズのコンピュータのパスコードと一致しなければ、ログ
インできない。
◎今後の米国金融当局の動きと業界対応
今後も、引き続きガイドラインが追加されることが予想される。
「金融業界は、ID 盗難対策の取り組みの初期段階でしかない。技術ベン
ダーである我々も、実はまだあまり良い仕事をしてないと思う。 FFIEC ガ
イドラインは、一つのステップではあるが、これが最後でない。将来も、よ
り多くの対応策を追加し続けなければならないと考えている。
」(ベリサイン
社ポリシー統括者アイゼンバーグ)
「ID 盗難と被害を阻止できる 100%の確実な方法は存在しない。そのた
め、銀行と消費者は、今よりも、更に多くのツールを使用しなければならな
いだろう。(スザンナ・モンテゼモーロ消費者連盟ポリシーアナリスト)
」
「これまで、銀行預金の盗難は、顧客データに直接アクセスできる内部者
によって実行されてきた。しかしながら、いまや、ほとんどの犯罪は、イン
ターネット上で行われている。パスワードだけでは、オンラインバンキング
の十分な保護にはならず、今後さまざまな多元的な認証方式
多元的な認証方式を使わねばなら
多元的な認証方式
ないだろう。(マイケル L.ジャクソン FDIC 技術ディレクター、FFIEC メ
」
ンバー)
□ 二要素認証から多要素認証へのシフトの可能性。
◎主要な 2 要素認証技術ベンダ
- 12. PassMark Security
2Factor×2Way Authentication を提唱。デバイス認証とユニークな絵認
証の技術を持つ。
Cyota
デバイス認証の技術を持つ。さらに、デバイス分析、行動分析トランザク
ションアナリシス、など多階層コントロールを得意とし、クレジットカード
会社などに実績あり。
RSA Security
One Time Password(ハードウエアトークン)とシングルサインオンの
技術を持つ。EMC に買収されている。
Authenex VeriSign が暗号化技術を提供)
Authenex(VeriSign
ハードウエアトークンの技術を持つ。
◎PassMark Security
同社は 2004 年 2 月にカリフォルニア州レッドウッドシティに設立された新興企
業。
2Factor×2Way Authentication を提唱。2Factor としてはデバイス認証、そして
2Factor× Authentication
当社独自の 2Way として、絵認証の技術を有する。絵認証を加えることで、ユーザ
と銀行の双方向での認証が可能となる。
2005 年 5 月には米国で 1400 万人という最大級のオンラインバンキングユーザー
を抱える Bank of America にて採用されることが決定し、現在 700 万件の口座が利
用している。
オンラインバンキングにおいて、簡単で低コストな認証サービスを提供すること
がコンセプトである。
近年さまざまな賞を受賞しており、評価は高い。2006 年 1 月現在 26 社が採用
2006 社が採用を
決定。
BOA に提供する当社絵認証 SiteKey は、BusinessWeek 誌より、 “2005
年ベストプロダクツ 25”の一つに選ばれた。
- 13. オンラインバンキングレポートは、パスマークに”ベスト 2005”賞を与
えた。
コンサルティング企業フロスト&サリバンは、パスマークに“2006 年ネ
ットワークセキュリティリソースプロテクションテクノロジー賞”を与えた。
◎PassMark ソリューションの仕組み
PassMark では、デバイス認証と絵認証を組み合わせて提案。
①デバイス認証(2Factor)
デバイス認証(2Factor)
デバイス認証(2Factor
ユーザーがオンラインバンキングに利用する PC そのものが認証デバイ
スとなる。初回アクセス時に発行されるデバイス ID には、PC のスクリー
ン解像度やソフトウェアのバージョン、IP アドレスなどの情報がひも付け
られ、万が一ユーザーが普段 PC を利用する場所とは別の場所からオンライ
ンバンキングを利用しようとした場合や、通常 1 カ月に一度しかオンライン
バンキングを利用しないユーザーが 1 日に何十回もアクセスするなど違っ
たパターンが見受けられる場合には、「母親の旧姓は何ですか?」といった
別の質問を投げかけたり、ユーザーの携帯電話にアラートを送ったりするこ
とで、第三者からのアクセスを防止する。
②絵認証(2Way)
絵認証(2Way)
絵認証(2Way
ユーザーは、オンラインバンキングに最初にアクセスする際、1 万以上の
画像の中から好みの画像を選択する。その際、PC を特定するデバイス ID
が発行され、Cookie などに自動的に組み込まれる。その後ユーザーが銀行
のサイトにアクセスする際には、必ずユーザーが選択した画像が表示され、
サイトが偽物でないことを証明する。正しいサイトにアクセスした場合のみ
ユーザーの選んだ画像が表示されるので、フィッシングが防げる。
◎デバイス認証の対象物
- 14. Home Home
Computer Phone
ユーザーが既に所有する
デバイスが2要素認証の
ハードウエアトークン
Office
Computer
Office
Phone
Laptop
Computer
Cell Phone
PDA Smartphone
◎RSA Security
ハードウェア・トークンを提供。ワン・タイム・パスワードを発行するような暗
号機能を持った携帯用のデバイスである、
「RSA SecurID」を提供。2 要素認証とし
て、60 秒に 1 回変化する 6 桁の数字と、個人の暗証番号(PIN)を併用する。2要
素認証分野で採用。エンタープライズ市場で全米 80%のシェアを占めている。
当社ハードウエアトークン
RSA SecurID は、ネットワークのユーザー・アクセス制御用として、1987 年よ
り金融機関や研究所など情報管理に慎重な企業で利用されてきた。 インターネット
が普及した現在は、SSL-VPN、イントラネット/エクストラネット、ネットビジネ
スにおけるユーザー認証ならびにセキュリティ施策として利用されている。現在、
オンライン・バン キングや オンライン・トレーディ ングにお ける認証として
、クレディスイス、Washington Mutual 等 90
E*TRADE、AOL(America Online)
- 15. 社を超える企業が採用。日本でも三井住友銀行が 2006 年 1 月に採用を発表した。
世界で 2,000 万個出荷されており(2005 年時点)、米 Fortune 紙トップ 100 社中
の 80%、世界のトップ 50 の銀行の 84%が採用と、実績ある。
□ 欧州の銀行を中心に先行的に採用されているが、1 アカウントのコストが年間 10
ドル程度と高価であることから、主に預かり資産の大きな優良顧客を対象に提供し、
1 金融機関内での利用件数は少ない。ちなみに、E トレードでの普及率は 0.8%に留
まる。
◎Cyota
Cyota 社はニューヨーク市に本社を置く未公開企業。世界の金融機関に、オンラ
イン・セキュリティおよび不正行為防止技術を提供している。
Cyota の不正防止リューションは、オンラインバンキングの詐欺事件を減らすこ
とに特化している。一方でその他のテクノロジーをアウトソーシングすることで、
IT 投資を最小にしている。 クレジットカードでの不正取引の分析の経験が長く、
多階層コントロールに特徴を有する。
Cyota の詐欺発見、認証ソリューションは銀行の新しい FFIEC ガイドラインに
適合。
eRiskEngine:真正な取引者と怪しい取引者を多面的に、パターン分析す
るエンジン。
Cyota eSphinx:オンラインバンキングの見えない 2 要素認証技術。PC
などハードウエアを特定することで、 ユーザの利便性を損なうことなく、
銀行に 2 要素セキュリティを提供する。 新たなハードウエアを購入するこ
となく、低コストである。
Cyota eVision:オンライン詐欺の脅威のために設計された、オンライン
危機管理システムである。リアルタイムにオンラインバンキングとオンライ
ンサービス詐欺を発見、分析、記録し、管理する。オンライン銀行は、 eVision
を使うことで、最高詐欺事件を 80%縮小することができた。
- 16. ◎TriCipher
□ ワンタイムパスワードやデバイス認証など、さまざまなタイプのソリューションを
提供し、技術の幅が広い。もともと、日本企業の日本システムデベロップメント
(NSD)がインキュベーションして設立された経緯があり、今後日本へ導入される
ことが有力視されている。
Authenex(VeriSign)
◎Authenex(VeriSign)
One Time Password を発生するハードウエアトークンを提供。
エンジンは VeriSign の認証技術を採用。
銀行に対して、中華系の銀行への導入実績はある。
直接接触して、多階層コントロール技術について、問い合わせたが回答がなく、
金融での導入には力を持たないと思われる。
◎RSA による Cyota 及び PassMark 社買収の動き
RSA は、2005 年 12 月 Cyota を買収。更に、2006 年 4 月に PassMark 社を買収。
一連の M&A により、RSA は、One Time Password からデバイス認証、多階層
コントロールまで、オンラインバンキングの認証に関して、グループ全体で非常に
幅広いソリューションの提供が可能となった。
RSA は、二要素認証技術提供会社としては最大手であったが、2005 年 10 月 FFIEC
ガイドライン発表後、コストの問題から、デバイス認証を持つパスマークなどに押
されていた。
更に、RSA 自身もストレージ大手の EMC に 2006 年 6 月買収された。2007 年 2
月 RSA カンファレンスにて EMCCEO は「これからは、セキュリティ専業は存在
しえない。
」と、複合的なサービスの重要性を強調。
今後は、富裕層を主たるターゲットとして、RSA ソリューションを採用した金融機
関向けに 、一般ユーザを対 象とする廉価な ソリューションと して、Cyota と
PassMark が提供されることになった。
RSA の動きをウオッチすることは重要。特に、日本では三井住友銀行に続き、ジ
ャパンネットバンクが採用。
RSA の採用については、 「米国に比べ、日本の方が先を行っている。」
- 17. (RSA 日本営業)ことから、RSA 対応は非常に重要と思われる。
ガイドラインへの対応結果(
への対応結果
◎FFIEC ガイドラインへの対応結果(2006 年末の結果)
□ FFIEC ガイドライン制定により、オンラインバンキングにて特需が発生した。実際
に、オンラインバンクが何を採用したかであるが、最終的に、RSA が 75%のシェア
を占めたものと思われる。更にその内訳としては、大半が PassMark のデバイス認
証であった模様。
□ その理由としては、全口座を対象とすることから、コストを誰に転嫁するのかとい
う問題から、もっともコスト負担の少ない、旧パスマーク社の技術が採用された、
ということが大きい。更に、バンクオブアメリカでの実績が大きく物を言ったとい
うことも上げられる。
◎次の展開
□ オンラインバンキングでは、ガイドラインへの対応が急務であったことから、2 要素
認証がほぼ全部に渡り普及した。ほとんど旧パスマーク社のデバイス認証であった模
様である。一時よりも、フィッシング詐欺は減っているものの、現在でもなくなって
はいない。RSA カンファレンス 2007 では、二要素から多要素認証へとシフトする動
きが散見された。
「さて、本日から RSA カンファレンスは本格的スタートした。昨年と比較してみて、非
常に特徴的なことを感じた。セキュリティ対策がより複雑になり「組み合わせ」のステ
ージに突入してきたということある。つまり、セキュリティ対策は何か1つの方法で完
全と言うものはなくなっており、「多要素認証」(Multi-Factor Authentication:パスワ
ードなどによる一要素認証から、オブジェクト=デバイス認証、バイオメトリックスな
どによる、複数の要素での認証)「多階層コントロール」
、 (Multi Layer Control:疑わし
い取引相手を多面的に分析し、排除する)も含めて、さまざまなタイプのものを組み合
わせ、提案され、採用されていくということが、より鮮明になってきたということであ
る。(ZDNet;2007RSA カンファレンスレポート)
」
「
「組み合わせ」の事例だが、RSA ブースでいくつか新しい試みを発見した。まだプロト
タイプで発売していないという話であったが、生体認証の一つである、指紋認証と組み
合わせ、PIN コード入力を不要とするものや、ワイヤレス対応し入出管理などにも応用
できるタイプのトークンなどが参考展示されていた。
多要素認証のステージになると、二要素認証時代にはライバルであった企業と手を取り
- 18. 合い、セキュリティの「組み合わせ」ソリューションを提供していくことになるのであ
る。(ZDNet;2007RSA カンファレンスレポート)
」
□ これまで、採用に至らなかったトークンタイプの認証や、バイオメトリクスなど、デ
バイス認証のライバルであった方式も、多要素認証の一つの要素として併用されるケ
ースも出てきた。今後、バイオメトリクスが普及していく可能性も出てきた。
要素認証-
◎2 要素認証-まとめ
デバイス認証、One Time Password が2大ソリューション。デバイス認証としては、
PassMark 社、One Time Password としては、RSA が先行。米国では、PassMark
社が有望。RSA 以外の他の方式については、結果的に、有力的な企業 2 社を RSA
が買収したことから、RSA が大半のシェアを握ることとなった。
One Time Password は USB やハードウエアトークンで提供されるが、コストが高
く、一部優良顧客にしか普及していないが、それを補完するものとして、デバイス
認証が導入された。
日本においては、
「2007 年春に金融庁などから 2 要素認証の指針が出る可能性が高
まった。(複数ルート)という話が出ており、日本でも 2 要素認証が導入される可
」
能性が高まっている。その時点で、他の方式と並存で、バイオメトリクスが採用に
なる可能性がある。
- 19. コウジ)
徳田 浩司(トクダ コウジ)
Fusion Reactor LLC(在米国シリコンバレー)社長
三和銀行、三和総研、三菱商事証券などで、システムコンサルティング、ベンチ
ャー投融資などに従事。2004 年に独立、米国シリコンバレーで、ベンチャーサポ
ート、IT・金融ビジネスのコンサルティング、ワイヤレス・ブロードバンド・ソリュー
ションの開発・ベンチャー経営、老舗スポーティング・グッズ・メーカの米国代表
などに従事。
本件に関するご意見・お問い合わせ
Fusion Reactor LLC
代表;
代表; 徳田 浩司
050-5534- 国内電話で通じます)
電話 日本 050-5534-5314 (国内電話で通じます)
E-mail: info@fusion-reactor.biz
info@fusion-
http://www.fusion-
ホームページ http://www.fusion-reactor.biz/japanese