基盤になっているのはRSAのソリューション「RSA Adaptive Authentication for Web」で、ネットバンキングの利用環境を総合的に判断して、取り引きしようとしているエンドユーザーが本人か、それとも不正利用者かを見極めるというもの。たとえば、いつもは決まって自宅のPCでネットバンキングを利用している人が、突然ネットカフェから、つまりいつもと違うPC環境で取り引きしようとした場合、そこでシステム側がガードをかけ、追加の認証を求めるというもの。追加認証に関しては、6月15日以降順次、契約者合い言葉と画像を登録してもらうということになっている。
「リスクベース認証はワンタイムパスワードほど強固ではない部分もありますが、利便性が落ちず、セキュリティが向上するものとして、全員のセキュリティレベルを向上することに貢献できると思います。このように全体のセキュリティレベルを向上し、さらに強いセキュリティをお望みの方に対しワンタイムパスワードを導入したということになります」
まずはリスクベース認証。そして、より高いセキュリティを求める人にはワンタイムパスワードという2段構えで対応するということだ。
コストとサービス向上の関係--安全性が“ウリ”
全員を対象としたリスクベース認証はこの6月から8月まで、それぞれ3回に分けて実施する。契約者には6~8月のいずれかのタイミングで、ログインした後でリスクベース認証の手続をしてもらうことになる。
その後、お客様番号を入れたところで、リスクベース認証が始まり、通常と違うPCからアクセスしようとすると合い言葉が必要になる。リスクが非常に高いと判断されればアクセスが拒否されるということにもなる。
「米国では2万~3万の銀行があるといわれていますが、そのうち8000くらいがこの方式を採用しているようです。しかし、国内の銀行で採用するのは当行が初めてです」(佐藤氏)というように、ここでもみずほは先陣を切った。
しかし、ネットバンキングに対するセキュリティ向上、そして顧客の利便性確保は、一方でもサービスコストの増大につながる。当然、銀行側の負担は増える。銀行にとって、スパイウェアやフィッシングとの“いたちごっこ”は、極力避けて通りたい課題ではないのか。
しかし、佐藤氏は「セキュリティの高さは銀行にとって最大のアピールポイントになります」と言う。
「セキュリティ対策には終わりがないというのは事実です。しかし、銀行を選ぶときの基準で、セキュリティの高さは上位にランクされています。常にセキュリティ対策を講じることが、お客様の拡大につながっているという感触を持っています」
やはり、銀行のとってのウリは“安全”ということにつきる。今後、モバイルバンキングも含め、オンライン取引が拡大することは間違いない。そこでのセキュリティ向上と利便性確保は、銀行の至上命題といっても過言ではない。