前回はワンタイムパスワードに対するソーシャルエンジニアリングと、電子証明書(PKI)に対して有効なセキュリティ対策について解説した。最終回は、根本的に考え方を見直して導入できる対策や次世代の攻撃に備えてユーザーの利便性を高め、モバイル化の流れにも対応する次世代のセキュリティ技術について解説する。
新しいアプローチのセキュリティ対策
攻撃者は専門知識が豊富で、その攻撃手法は常に高度化しているのが現状である。残念ながら、「銀の弾丸」的なセキュリティ製品やサービスは存在せず、金融機関はマルチ層の防御対策を実施しなくてはならない。
マルチ層のセキュリティ対策とは城が何重の堀に守られているように、ユーザーと端末から、最終的にはトランザクションの内容までを複数のセキュリティの層で防御し、セキュリティ対策を総合的に実施するアプローチである。
マルチ層のセキュリティ対策を実施する際に重要なポイントは次の点である。
- マルウェアに感染していても有効な対策であること
- 不正をリアルタイムに防ぐこと
- 新たな攻撃手法に対して短時間で対応し、追随して対策を講じられること
- 全てのユーザーの利便性は損なわずに不正を防ぐこと
- PCだけではなく、モバイル、電話、ATMなどのマルチオンラインチャネルに対応できること
これから上記のようなことを考慮し、提供されている最新の製品やサービスを紹介する。
マルウェアが動作できない金融機関専用の環境
マルウェアは検知された場合には亜種がすぐに開発され、検知を逃れ不正を続ける。ウイルス対策ソフトで検知された時点でユーザーはもう既に被害にあっている可能性も高く、ウイルス対策ソフトだけで安全なインターネットバンキング環境を提供するのは困難になっているのが現状である。
こういったいたちごっこの状況からの逆転の発想で、昨今マルウェアに感染しているPC上でも、安全なインターネットバンキング環境を提供する特殊なサービスやアプリケーションが開発されている。
ハードニング(セキュリティ強化)された専用ブラウザや、キーロガー防止など、マルウェアが悪用するさまざまな脆弱性に対しての防御策が盛り込まれているのが、大きな特長だ。
こういったアプリケーションは、既存のインターネットバンキングサイトをそのまま活用できるため、短期間で導入することができ、リアルタイムに取引処理をのっとられる高度な中間者攻撃は不可能となり、即効的な効果が得られる。