ワンタイムパスより便利? 「スマホ認証」、常陽銀行がネットバンクに採用した新機能

サイバー攻撃での被害額が急増する中、金融機関はネットバンクサービスの安全性と利便性を高めるため、どんな対策を進めているか。常陽銀行がシマンテックの新機能「VIP Access Push」を導入した。

» 2014年12月11日 11時59分 公開
[岩城俊介,ITmedia]

 サイバー犯罪による金銭被害額が激増している。オークション詐欺、SNSにおける情報の盗聴やなりすまし、オンラインゲームにおけるゲームポイントの換金やID乗っ取りなど多様化する被害に加え、なによりMITB攻撃を中心とする不正送金マルウェアに乗っ取られた自身のPCで被る深刻な被害が拡大している。オンラインバンキングの不正送金被害額は、警視庁のまとめによると数年前の数億円規模から2013年は14億円規模に拡大。2014年は9月時点ですでに18億円に上り、昨年同期比で約9倍まで被害額が増えている。

 当然、セキュリティ対策は確実に強固にしなければならない。ただ、強固なだけではユーザーの利便性を損ねることもある。面倒なので使わない、そこがセキュリティリスクになる。お客様第一主義を掲げる茨城県の地方銀行「常陽銀行」(本店:茨城県水戸市)が、顧客への利便性と安全性を両立すべく、国内初となる「モバイルプッシュの二経路認証」を法人向けネットバンキングサービスの認証手段の1つに採用した。

photo 常陽銀行のWebサイト

経緯と課題:ワンタイムパスワードが顧客の手間になることも

 同行は、2008年9月にシマンテックのクラウドをベースにした認証サービス「Symantec Validation and ID Protection(VIP)」を導入し、自社の法人向けネットバンキングサービス「JWEBOFFICE」を使う法人顧客に向けて国内初となるワンタイムパスワードによるログイン認証サービスを提供。顧客の負担が大きかったこれまでの電子証明書による認証サービスに対し、導入・更新手続きを簡素化できた点が顧客に評価された。ワンタイムパスワードを発行するための生成ソフトをPCへインストールし、ネットバンキングを使うたびに通常パスワードと生成ソフトから都度発行されるワンタイムパスワードの2種類を入力する、二要素認証スタイルで運用していた。

 ただ、中には「安全性は高く評価するが、毎回ワンタイムパスワードを入力するのは手間がかかる」という顧客も存在し、当初の予想より利用者は増えなかった。小規模事業を営む顧客は、会社、自宅、それぞれの場所のPCでネットバンキングを使うことも多い。専用ソフトを入れるため、自宅のPCにもネットバンキングのIDを追加取得する必要などがあり、利用に若干手間がかかったのが理由の1つという。ワンタイムパスワードとは別に、安全性を高めつつ顧客の負担を解消する方法を模索していた。

対策と方法:スマートデバイスで認証する「モバイルプッシュ認証」の新機能を追加

 ソリューション提供社のシマンテックは、常陽銀行のこの課題に対し、Symantec Validation and ID Protectionの新機能「VIP Access Push(モバイルプッシュ認証)」(2014年2月リリース)の追加を提案。VIP Access Pushは、ログインの際、認証のための「プッシュ確認」をスマートフォンなど手元のモバイル機器(のアプリ)で認証できるようにした二経路認証の仕組みだ。

 顧客は固有のPCに依存することなく、会社でも、自宅からでも隔てなく安全性を高められる二経路認証を使えるようになる。「すでにSymantec Validation and ID Protectionによるセキュリティ基盤を構築済みだったこともあり、追加が容易だったのも決め手の1つになった」(常陽銀行 営業推進部法人営業グループ主任調査役の小林弘幸氏/出典:シマンテックのWebサイト、以下同)。2014年9月、わずか3カ月でVIP Access Pushでのサービスを開始した。「2014年2月に発表したVIP Access Pushをいち早く採用し、運用を始めた国内初の企業」(シマンテック)

photo モバイルプッシュ認証の流れ(出典:常陽銀行Webサイト)

効果と今後:安全性と利便性を両立、VIP基盤を軸に「トランザクション認証」の導入も検討

 「VIP Access Pushを採用したことで、常陽銀行のネットバンキングはシンプルな利用方法でありながら、マルウェアによるPC乗っ取りといった高度なサイバー攻撃にも対応できる、高いセキュリティ強度を提供できるようになった。使用するデバイスを認証する機能によって、以前使われたデバイスかどうかを確認してはじく処理などもできることで、不正アクセスの防止効果はさらに高まった。ワンタイムパスワードやワンプッシュ認証の安全性を安心できる顧客サービスとして広くPRし、利用率の向上に努めたい」(常陽銀行の小林氏)

 今後、送金実行時の認証強化のため「トランザクション認証」、VIP Access Pushに機能が追加される予定の「指紋認証」などの導入も検討し、安全・安心・便利な顧客サービスの向上に努めていくという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ