――ひとつのベンダーですべての対策を一括管理できるようなツールを利用するとずっとその製品を使い続けなければならない可能性もあるが、統合型のメリットはそこまで大きいものなのか。
複数のベンダーの製品を組み合わせる従来型のアプローチでは、それぞれのベンダーの機器やサービスを統合するという作業に、時間も労力もかかります。その結果、対応が後手後手になるという問題があります。また、特に日本の場合は、情報漏えいと不正送金の犯罪モデルがまったく違います。情報漏えいは企業の社員を狙いますが、不正送金はエンドユーザーを狙います。
フィッシングメールでフィッシングサイトに誘導し、そこからエンドユーザーのPCに侵入。本人になりすましオンラインバンキング経由で、中間者攻撃により送金データを改ざんします。この場合、ログインするのは本人のIDとパスワードであり、本人のデバイスを使用します。そのため、金融機関が検知することは非常に困難です。
しかし、統合型のサービスであれば、フィッシングメールの傾向やフィッシングサイトの出現、トランザクション、犯罪者やユーザーの振るまいなどを関連づけて、不正な動きを検知することができます。そのためには、統合された共通基盤がないと非常に難しいわけです。
安価なSaaSなどで「犯罪に対応できる」と謳っているところもありますが、どのような金融機関・銀行であっても、詐欺は重大な問題として深刻にとらえるべきです。詐欺はITやネットがなかった時代から存在している脅威です。それがIT化やインターネットの発達によって、犯罪者にとってはチャンスが増えているわけです。詐欺が成功すれば、莫大な損失が発生するわけですから、セキュリティ対策もそれに見合った投資額で考えるべきです。
私は顧客に、もしベンダーが「これが万能薬」「これさえあれば何も心配することはない」「一発で効く」というようなことを言ってきたとしたら、そことの付き合いはやめてくださいと申しています。そんなことはあり得ないので、戦略に対する問題意識が必要です。常に進化し続けるベンダーを探しなさいと勧めています。
問題が進化していくということに関して、多くの金融機関は詐欺のサイクルのすべての段階に対処する方が効果的なのだという考え方を過小評価しています。しかし、段階ごとに対策をしていくことで、早期に阻止して詐欺のサイクルを断ち切ることができます。全体のサイクルでみたときに、より効果的な対処ができる。トータルで考えることによって、異常検知の効果が上がり、誤検知を減らし、よりトランザクションに対する効果的な備えができると認識しています。
――攻撃は今後さらに巧妙化するだろうが、その対応は。
確かに犯罪者は常に手口を研究して、さらに巧妙化しており、われわれの責務は、高いレベルの保護を提供して顧客を守り、信頼に応えるということだと思います。
例えば、従来の対策方法では、犯罪者がある特定の地域で行ったデータを流用して、他の地域も攻撃することを防ぐことができません。顧客に関連するデータは分析ツールの中でのみ有効だからです。そこでわれわれは、ドイツで起こった犯罪を日本で展開できないようにしていきます。
現在、研究開発に投資を継続していますが、従業員は170人に対し50%は研究開発に携わり、投資額でも売り上げ対比25%を研究開発に投じており、セキュリティ関連企業の中では高い割合だと自負しています。研究開発センターの拠点はコロンビアの首都ボゴタに置いており、シリコンバレーに同じような組織を置くよりも、(物価などの問題から)3倍の価値があると考えています。研究開発によってネット詐欺の対策を常に先手を打って、迫り来る波にも対抗し続けることができると思っています。
