どこどこJP

English

ネットバンクにおける生体認証の先にあるものとは?
先進国アメリカ事情

世界的な不況下、企業が新しく利益を生み出すことが困難になるなかで、不正による損失を抑える重要性が増しています。 過去にマネーロンダリングやフィッシングの標的となったことがあるアメリカのネットバンクでの不正対策は、この不況でどんな動きをみせているのでしょうか?

2009年02月 弊社webサイトにて掲載
ネットバンクのセキュリティ対策
認証強化に関する海外ニュースによれば、この一年にネットバンクのセキュリティで、ハードウェアや生体認証など日本で広がりを見せつつある複雑な認証方法の人気は失墜しました。 銀行側はユーザーに見える形での(つまりユーザーに負担をかける)認証を取り入れない方向に進んだため、ユーザー側からはあまり変化がないように見えます。かといって、セキュリティ対策が進んでいないわけではなく、裏側での対策は随分進んでいます。
これまで認証強化によく使われたのは「知っていること」と「持っているもの」の確認で認証を強化する“デバイス認証”ですが、今は取引履歴から外れた行動をするとフラグを立てることができる仕組みである“IP Geolocation(ジオロケーション)技術”や“トランザクションモニタリング”の導入が進んでいるということです。
このうちIP Geolocation(ジオロケーション)について、アメリカのトップIP Geolocation(ジオロケーション)ベンダーQuovaは、不正を防止する5つの方法として以下を挙げています。
不正を防止する5つの方法
1. 匿名プロキシ利用有無のチェック
2. IPアドレスからわかる場所と、実際の請求先・送付先との比較
3. ドメイン情報のチェック。通常のインターネット接続時に使うISPの情報を収集
4. ユーザープロファイルの作成。過去の行動履歴と現在の行動を比較。
通常と外れる行動があった場合は不正の可能性が高い。
5. タイムゾーン情報をトランザクション速度の比較に利用。
直前のログインとの間に1000マイル以上の距離がある場合は不正の可能性が高いことが多い。
・ユーザーにとっての現地時間をリクエスト
・複数の場所からのアクセスには、「タイムゾーンジャンプ」の可能性があるとしてフラグをたてる
・過去の利用履歴と比較して違うパターンの時間帯に利用があった場合はアラートする。
日本でも同様の課題
2008年1末には、個人情報の売買市場が2億7600万ドルにも上ることがニュースになり、オンラインでの個人認証強化は非常に重要な課題になっています。
日本でも2009年に、情報漏えい防止の啓蒙活動を実施しているIPA(情報処理推進機構)職員のPCから業務情報などが漏えいする事故があるなど、「まさか」と思うところからの情報流出が起きています。 個人情報流出は他人事ではありません。個人情報は漏れるという前提にたって対策を講じる必要があります。では漏れた場合にどうするか?ネットバンクに限らず、会員登録などでIDとパスワードで管理されるようなサイトであっても、これからはIDとパスワードだけに頼らない個人認証の仕組みの整備が必須といえます。

Page Top