海外金融機関の対策
ここで海外のネットバンキングのトレンドとして、欧州とシンガポールの状況について簡単に紹介したい。ネットバンキングの被害が増えているのは全世界共通だが、欧州およびシンガポールの大手金融機関が取っている施策は日本にとっても参考になる部分が少なくないはずだ。
まず欧州、特に北欧における大きなトレンドは"モバイルファースト"という考え方がネットバンキングにも現れてきていることだ。例えば北欧最大のメガバンクであるノルディア銀行は、金融危機以来の成長を続けている。
その背景には同行の明確なミッション「ネットバンキングが成功しなければ金融機関は生き残れない」がある。そしてネットバンキングのためのデバイスはいまやPCからスマートフォンなどのモバイルデバイスに確実に移りつつある。
つまり金融機関側とユーザー側をつなぐ接点はインターネットとモバイルだ。この2つを安全に使えなければ、ユーザーと信頼関係を築くことはできないという考えのもとでシステムを構築するので、必然的にセキュリティはトッププライオリティになる。
日本ではようやくワンタイムパスワードが普及し始めたところだが、北欧や英国、フランス、オランダといった国民のITリテラシーの高い国々ではすでに、非接続型のICカード(EMV CAP)で個人を認証するという強固な二要素認証を導入し、ワンタイムパスワードだけでなくトランザクション署名まで導入している。
取引画面に点滅しているバーコードから署名対象のデータを読み取るタイプのEMV CAPリーダー(ジェムアルト提供)
ちなみにドイツでは取引画面に点滅しているバーコードから、署名対象のデータを読み取るタイプのEMV CAPリーダーを用いることが多い。ワンタイムパスワードしか導入していないという金融機関はとても少ないという状況だ。
欧州は地政学上、ロシアおよび東欧諸国を抱えており、また中東とも陸続きで、テロ組織がハッキングにより威信を得ている。これらの国にはオンライン犯罪のプロ組織がいくつも存在し、欧州各国の金融機関に対し日々高度なハッキングを仕掛けている。それを受けて立ってきた経験が、逆に欧州各国のセキュリティスキルと国民のリテラシーを高めた面は否定できないだろう。
一方、アジアの金融センターであるシンガポールもインターネットバンキングの普及とその安全性の確保に力を入れていることで知られている。シンガポール金融管理局(MAS)は、シンガポール市民に対してサービスを提供しているすべての金融機関を対象にリスクマネジメントの指針である「 Internet Banking Technology Risk Management Guideline:IBTRM」を出しており、全金融機関はこのIBTRMに準拠しなければ免許取り消しとなる。
最初のIBTRM 1.0が出された2001年3月以来、何度かの改定が重ねられているが、ニ要素認証を取り入れた2003年6月のIBTRM 2.0以来、インターネットバンキングにおける被害はほとんどなくなったという実績を誇っている。シンガポールの各金融機関は、エンドツーエンドの暗号化やトランザクション署名といった技術も積極的に導入しており、金融が国策そのものである国のセキュリティに対する本気度がうかがえる。
