ワンタイムパスワードは、パスワードを表示する装置である「トークン」に取引ごとに異なる“使い捨て方式”のパスワードを発生させ、それを入力することで資金移動などを行うというもの。これによって、スパイウェアやフィッシングによってパスワードを不正に盗まれても、次の取引では異なるパスワードでの認証が必要となるため、不正取引を防止することができる。
みずほ銀行がワンタイムパスワードを導入するに当たって選択したのは、ベルギーのVASCO Data Security International製のトークン方式のソリューション。重さ14gという持ち運びに便利な小型トークンにその都度表示される。
VASCOを選定した理由を、佐藤氏がこう説明する。
「VASCOのトークンのデザインが優れているということが、大きな決め手の一つでした。採用したトークンはボタンを押すだけでパスワードが表示されます。また多彩なトークンを提供しているということも、もう一つの決め手となりました。私どもとしては当初の小型トークンに加え、イヤホンによるパスワード読み上げ機能付きの大きな文字サイズで表示される卓上型トークンなどの提供も検討していきたいと考えています。これなどはご年配の方や視覚に障害のある方にも便利ですし、いろいろなお客様環境に応じて展開できるという点を評価しました」
みずほ銀行が採用するVASCO社のトークン
VASCOの製品は特に欧州では豊富な導入実績を持っている。同行はデザイン性に加え、世界各国の3300社で採用されているという実績、さらには信頼性から導入を決めたという。
もちろん、このトークンは持ち歩かなくてはならないが、お客様番号が書いていないので、たとえ落としても誰のものかわからず、使いようがない。他行のような複雑な乱数表に比べればよい、というのがみずほの考えだ。持ち歩くことさえ気にならなければ問題ない。
2段構えでリスクベース認証にも対応
みずほ銀行がこのワンタイムパスワードの導入に当たって考えたのは、利便性とコスト。セキュリティが向上するのはいいが、利便性が損なわれるのはよくない。さらに、セキュリティ向上のため新たに費用が発生するのも問題だ。佐藤氏がこう言う。
「セキュリティ向上の一方で、利便性も考慮する必要があります。ワンタイムパスワードではこのようにトークン方式を採用しましたが、しかしこれには初回の申し込みに2100円の費用がかかりますし、当然持ち歩くことをいやがるお客さまもいらっしゃいます。そこで、700万の契約者の皆様全員にトークンをお使いいただくのは不可能と考え、ワンタイムパスワードの導入に合わせてリスクベース認証も取り入れました。これは全員の方が対象です」
このリスクベース認証は6月15日から、3回にわけて全契約者に適用している。佐藤氏は、その仕組みを次のように説明した。
「これは、パソコンでの認証に近いセキュリティ対策です。しかし単純にパソコンを認証するだけではなく、IPアドレスから場所やプロバイダーを特定し、通常の環境と同じかどうかも含めて判断するというものです。パソコン認証についてもOSやブラウザ以外に、アドオンされているソフトウェアはどうかなど、いろいろな情報を総合的に分析し、取り引きしようとしている人が前回と同じパソコンからアクセスしているか、同じパソコンでも全然違う場所から来ているか、そのリスクに応じて追加の認証を求めるという形になっています」
