安全こそが銀行の“ウリ”--「みずほダイレクト」が2段構えで新たなセキュリティ強化策 - (page 2)

宍戸周夫(テラメディア)

2008-07-23 11:00

 ワンタイムパスワードは、パスワードを表示する装置である「トークン」に取引ごとに異なる“使い捨て方式”のパスワードを発生させ、それを入力することで資金移動などを行うというもの。これによって、スパイウェアやフィッシングによってパスワードを不正に盗まれても、次の取引では異なるパスワードでの認証が必要となるため、不正取引を防止することができる。

 みずほ銀行がワンタイムパスワードを導入するに当たって選択したのは、ベルギーのVASCO Data Security International製のトークン方式のソリューション。重さ14gという持ち運びに便利な小型トークンにその都度表示される。

 VASCOを選定した理由を、佐藤氏がこう説明する。

 「VASCOのトークンのデザインが優れているということが、大きな決め手の一つでした。採用したトークンはボタンを押すだけでパスワードが表示されます。また多彩なトークンを提供しているということも、もう一つの決め手となりました。私どもとしては当初の小型トークンに加え、イヤホンによるパスワード読み上げ機能付きの大きな文字サイズで表示される卓上型トークンなどの提供も検討していきたいと考えています。これなどはご年配の方や視覚に障害のある方にも便利ですし、いろいろなお客様環境に応じて展開できるという点を評価しました」

トークン みずほ銀行が採用するVASCO社のトークン

 VASCOの製品は特に欧州では豊富な導入実績を持っている。同行はデザイン性に加え、世界各国の3300社で採用されているという実績、さらには信頼性から導入を決めたという。

 もちろん、このトークンは持ち歩かなくてはならないが、お客様番号が書いていないので、たとえ落としても誰のものかわからず、使いようがない。他行のような複雑な乱数表に比べればよい、というのがみずほの考えだ。持ち歩くことさえ気にならなければ問題ない。

2段構えでリスクベース認証にも対応

 みずほ銀行がこのワンタイムパスワードの導入に当たって考えたのは、利便性とコスト。セキュリティが向上するのはいいが、利便性が損なわれるのはよくない。さらに、セキュリティ向上のため新たに費用が発生するのも問題だ。佐藤氏がこう言う。

 「セキュリティ向上の一方で、利便性も考慮する必要があります。ワンタイムパスワードではこのようにトークン方式を採用しましたが、しかしこれには初回の申し込みに2100円の費用がかかりますし、当然持ち歩くことをいやがるお客さまもいらっしゃいます。そこで、700万の契約者の皆様全員にトークンをお使いいただくのは不可能と考え、ワンタイムパスワードの導入に合わせてリスクベース認証も取り入れました。これは全員の方が対象です」

 このリスクベース認証は6月15日から、3回にわけて全契約者に適用している。佐藤氏は、その仕組みを次のように説明した。

 「これは、パソコンでの認証に近いセキュリティ対策です。しかし単純にパソコンを認証するだけではなく、IPアドレスから場所やプロバイダーを特定し、通常の環境と同じかどうかも含めて判断するというものです。パソコン認証についてもOSやブラウザ以外に、アドオンされているソフトウェアはどうかなど、いろいろな情報を総合的に分析し、取り引きしようとしている人が前回と同じパソコンからアクセスしているか、同じパソコンでも全然違う場所から来ているか、そのリスクに応じて追加の認証を求めるという形になっています」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]