世界基準の安全性と利便性を両立 ポーランド生まれの金融ソリューション企業が日本進出：日本の金融セキュリティを世界の先行事例で支援

金融機関を狙うサイバー攻撃を防ぐには、ユーザーへの周知と技術的な対策の強化が必要だ。しかし既存のシステムでは検出精度や運用コストに課題がある。それらを解決する、金融分野に長（た）けたポーランドの企業が日本市場に進出している。

[PR／ITmedia]

PR

　新型コロナウイルス感染症の世界的大流行（パンデミック）を背景に、従来対面で提供されていたサービスの多くがオンラインに移行した。その変化を狙うのがサイバー犯罪者だ。特に金融取引において、本人性を証明する「認証」に使われるIDやパスワード情報を盗み取るフィッシング詐欺が激化している。2021年は携帯電話番号宛てにメッセージを送り、銀行の名前などをかたって偽サイトに誘導するスミッシング（SMS Phishing）が増え、警察や業界団体が注意を呼び掛けている。

　ユーザーに詐欺の手口を周知して意識を高めるのと同時に、技術的な対策の強化も必要だ。そう考える金融機関を支援するのが、ポーランド生まれのIT企業、Comarchだ。

金融業界に確固たる導入実績

　Comarchは、ポーランドのクラクフに本社を置く。1993年の創業以来、通信やテレコミュニケーションサービス、IoT＆ヘルスケア、公共機関など幅広い分野での導入実績を持ち、クラクフの本社キャンパス内にIoT研究所を設置してイノベーションにも取り組んでいる。

　同社は2017年にJETROの支援を受けて、日本法人のコマーチを設立し、日本市場に進出した。顧客に直接、あるいはSCSKなど複数のパートナー企業と共同でソリューションを提案している。

　コマーチが得意とする分野の一つに、銀行や保険、証券といった金融業界がある。コーポレートバンキングやファクタリング、ローンオリジネーション、資産運用など、金融に関する幅広いポートフォリオをオンプレミスとクラウドの両面で展開し、MUFGポーランド支社やBNP Paribas、Allianz、アクサ生命保険といった大手金融機関に採用された実績を持つ。

コマーチ　ジュリア・ポヤタ氏

　同社が近年力を入れるのが、サイバーセキュリティとアンチマネーロンダリング関連製品だ。コマーチのジュリア・ポヤタ氏（ビジネス開発マネージャー）は「金融機関の厳しいセキュリティニーズに応えてきました」と語る。厳しい個人情報規制が課せられる欧州での「EU一般データ保護規則」（GDPR）などの法規制や、クレジットカードの取引を保護する「PCI DSS」などの各種認証に対応してきた実績を基に、金融機関以外にも採用が広がっているという。

全てを自社開発、リモートアクセスのセキュリティと利便性を両立

　コマーチはサイバー脅威から端末を保護する製品や多要素認証、トランザクション認証、IDアクセス管理（IAM：Identity and Access Management）といった製品をソフトウェアとハードウェアの両面で提供し、顧客のセキュリティ水準を調査して課題や必要なものをアドバイスするコンサルティングサービスも用意している。それらの中核を担うのが、外部から銀行のサービスやシステムにアクセスする際のセキュリティを強化する一連のソリューションだ。

　「今やIDとパスワードだけでは十分なセキュリティを確保できません。コマーチの脅威保護ソフトウェア『Comarch Smooth Authentication』は、金融システムへのアクセスに対して『デバイスの状態は安全か、ルート化されていたりデバッグモードになっていたりしないか、マルウェアや不正なソフトウェアが潜んでいないか、過去に不正なアクセスに使われた痕跡はないか』などを参照し、AI（人工知能）を使ってスコアリングします」（ポヤタ氏）

コマーチが提供する多層防御の仕組み（出典：コマーチの提供資料）

　スコアが一定値を超えた場合は「リスクがある」と判断して二要素認証や多要素認証を要求する。さらに、IPアドレスにひも付いた位置情報とGPSの位置情報を参照し、それが一致しない場合はアクセスを拒否するといった制御が可能だ。

　コマーチは一連の多要素認証を実現するツール「tPro」を提供している。提供形態はハードウェアトークンとスマートカード、スマートフォンアプリ、ライブラリがあり、スマートフォンの生体認証機能と組み合わせたりユーザー企業が独自に開発したアプリケーションに組み込んだりといった使い方ができる。さらに認証を通過した後のアクセス制御によって、どのIPアドレスからどのIDを持つユーザーがアクセスして何を使ったかを包括的にコントロールし、その情報も保存して後の調査や監査に備えられる。

　「ユーザーに複雑なパスワードの管理を求めるのは、負担の押し付けになりかねません」とポヤタ氏は語る。コマーチは動的なリスクベースの認証を提供することで、ユーザーの利便性とセキュリティの両立を図る。

　セキュリティの課題から、金融機関におけるテレワークは難しいとされる。しかしコマーチは認証用のツールやアクセス制御、VPNを包括的に提供しており、テレワークセキュリティにも適用可能だ。同社自身、2020年のパンデミックの際は約5000人の従業員がtProの多要素認証とVPNを活用して3日間でテレワーク体制に移行したという。

　「デバイスもコードも、ポーランドにある拠点で全てコントロールしています。全てを自社開発することでサプライチェーンの中で海外から輸入した悪意ある部品やソフトウェアが混入するリスクを排し、コストを落とすと同時に高いセキュリティレベルが要求される分野に対応します」（ポヤタ氏）

AIを活用してマネーロンダリングを正確に検知し、効率的な不正対策を支援

　コマーチが提供する金融関連製品群の中で昨今注目を集めるのが、AIを活用したアンチマネーロンダリングソリューションだ。

　世界中の金融機関が不正送金対策に取り組んでいる。2008年に実施された第三次金融活動作業部会（FATF）の対日相互審査において49項目のうち25項目が「要改善」と評価されたことを受けて日本では犯罪収益移転防止法が改正され、金融機関は手続きやシステムの見直しによるアンチマネーロンダリングへの取り組みを進めている。

　しかし犯罪者との「いたちごっこ」は続いている。近年は内部に協力者を作ってアンチマネーロンダリングシステムのルールを把握し、正常な取引に見せかけて検知を擦り抜けようと試みる例もあったという。2021年8月に公表された「FATF第四次対日審査報告書」において、日本は「重点フォローアップ国」と位置付けられた。マネーロンダリングやテロ資金供与を防止するために優先して取り組むべき11の行動が指定され、5年後のフォローアップ評価の前に3回のフォローアップ報告が必要となる。

　世界的に対策が遅れがちであることを踏まえ、国内の金融機関はさらなる対策が求められる。課題は「いかに誤検知を減らし、効率的に不正取引を検知するか」だ。

　「現在、多くの銀行は『この国からこうした頻度で、このくらいの額の取引があればアラートを上げる』といった条件に基づくルールベースのシステムを採用しています。しかし、大量の誤検知を含めて毎月数千、数万件のアラートが上がり、アナリストはそれらを精査する仕事に追われています。この運用は非効率的でコストが高く、改善する必要があります」（ポヤタ氏）

　コマーチは、既存のルールベースのシステムにAIを活用した検知モジュールを組み合わせることで、この問題を解決する。

　「AIでパターンを分析してリスクをスコアリングし、ランキングして怪しいものから専門家に提供することで、効率的な不正対策が可能です。速やかな検知と報告によって、法執行機関などと連携した迅速な対処も可能になります」（ポヤタ氏）。システムはモジュール形式となっているため、既存のアンチマネーロンダリングシステムの入れ替えをせずに導入できる。

AIによる不正検知モジュール（出典：コマーチの提供資料）

　コマーチが顧客と実施した検証では、取引全体のうち6％が「不正取引の疑いあり」と判定され、精査の結果その89％がマネーロンダリングだった。「非常に高い精度を実現している」とポヤタ氏は自信を見せる。

　コロナ禍の先行きが不透明な中、企業が生き残るには新たなビジネスを展開する必要がある。しかし、それはセキュリティや不正対策の裏打ちがあってこそだ。ポヤタ氏は「世界中を見渡して最善の選択肢を導入しつつ、使いやすく安全な環境を整えていってほしいと思います」とし、ヨーロッパでの経験も交えて広く企業を支援していくとした。