ICT総研は2月10日、インターネットバンキングサービスを提供している主要銀行123行のウェブサイトと、インターネットバンキングサイトのセキュリティ動向を調べた「インターネットバンキングのセキュリティ状況調査」の結果をまとめた。
個人向けネットバンキングの91%に認証レベルの高い証明書
インターネットバンキングサイトで利用されている証明書のセキュリティ状況を調べたところ(本調査では、認証レベルをEV SSL:Extended Validation Secure Sockets Layer証明書の取得で、暗号強度をSGC:Server Gated Cryptography対応で判定)、全体の4分の3にあたる75.8%がEV SSL証明書とSGCに対応済みとなっている。EV SSLのみ対応の銀行は15.3%、SGCのみ対応は8.1%で、残る0.8%はEV SSLにもSGCにも非対応となっている。
シェア1位はNTTデータ
インターネットバンキングサイトのサービス提供会社を調べたところ、NTTデータのサービスを利用している銀行が最も多く42.3%であった。次いで日立製作所が10.6%、NECが2.4%であった。その他の銀行は、自社でサーバを運用したり、複数の銀行でサーバを共同運営している形態が多く、全体の44.7%を占める。
銀行ウェブサイトの17%にセキュリティ上の課題も
銀行のウェブサイトなどで利用されているウェブサーバのセキュリティ状況について調査した結果、全体の17%にあたる21行のウェブサーバ(アプリケーション)にセキュリティ上の課題が見られた。一部の銀行のウェブサイトでは、ウェブサーバの情報が外部から見えやすい状況になっており、場合によっては攻撃を受ける可能性もある。
これらのウェブサーバは、セキュリティ上問題となる脆弱性があり、システム関連の情報が漏えいするなどのセキュリティ上の課題があるため、今後さらにウェブサイトを強化していく必要がありそうだ。
銀行ウェブサイトにおけるセキュリティの状況(ICT総研提供)
銀行ウェブサイトの84%がApacheを利用
銀行ウェブサイトでは、ウェブサーバのアプリケーションとしてオープンソースのApache HTTP Serverを利用するケースが最も多く、全体の83.7%で圧倒的シェアを誇っている。一方、IBMやMicrosoftのウェブサーバのシェアは2~3%となっている。
ICT総研では、インターネットバンキングの利用者は今後も拡大することが見込まれるため、銀行ウェブサイトのセキュティ対策がこれまで以上に重要になるとしている。
調査は、2013年8月から2013年12月に実施した。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。