発表資料 - ソーシャルICT研究センター

東京大学ソーシャルICT研究センター第1回シンポジウム
新たな社会情報基盤を目指して
ー社会情報基盤における個人認証の役割―
「決済サービスにおける個人認証の現状と課題」
2013年10月28日
中央大学大学院 戦略経営研究科 教授
杉浦 宣彦
1
インターネット等を利用した金融サービスの安全
対策について
インターネットおよび携帯電話網を使用した金融サービス
⇒日本の金融機関の約80%が提供している。
n  平成23年 「固定パスワード」だけを認証方式とするWeb
サイトで不正事件発生
(平成23年3月末~11月24日 160口座 3億円以上
の不正送金があった。)
n 
平成24年1月「インターネットバンキングにおける
セキュリティ対策向上について」(全銀協) ⇒固定式のID・パスワードのみに頼らない認証形式の推奨
2
個人向け金融サービスの認証
①ロングイン時は70.5%が固定パスワード
ただし、パスワード生成機方式は、13.7%へ急上昇
②資金移動・証券取引時に使用する認証方式
ログイン時と異なる固定パスワード 44%
ワンタイムパスワード 37%
⇒ワンタイムパスワードへの移行が進んできている
③メガバンク、信託、信金では、ワンタイムパスワード
認証方式を採用する傾向がある。
n 
(注)各数字は、金融情報システムセンター「平成23年度 金融
機関等のコンピュータシステムに関する安全対策実施状況調査報告書」より
3
法人向け金融サービスの認証
①電子署名形式が多い。
②ログイン時と異なる固定パスワードによる認証が
利用されるケースが全体の8割程度。
n  インターネット不正利用対策
①アカウントトロック機能を設ける
②長時間操作しない場合の強制ログオフ
③ソフトウエアキーボード
④ログオン履歴を参照可能とする
①~④の対策の実施率は80%を超えている。
n 
4
不正送金方法の変化
ーこれまでのパターン
n 
(http://blog.zaq.ne.jp/secu/article/23/)
フィッシング対策(正当なサイトである確認手段の提供等)
は65%強の金融機関で行われている。
5
―最近のパターン
マルウェア(コンピューターウイルス)の利用型が増加
⇒インターネットバンキングでの不正引出し金額は 本年前半だけで総額2億円超。
6
n 
マルウエアへの対応状況
マルウエア対策ソフトの導入とパターンファイルの定期的適用
81.6%の金融機関が実施。
ただし、セキュリティパッチの適用は59%程度。
また、有効な防衛手段は利用者の協力なしには
できないものが多い。
例)パスワードの定期的変更、IDやパスワードの
使い回しをしない
金融機関側だけの対策では限界がある。
7
利用者保護はどのように行われているのか
基本的な考え方 = 『預金者保護法』
キャッシュカードや暗証番号の管理をしっかり行なっていれば、
n 
万が一キャッシュカードを偽造されたり盗難されて預金等を引出
されても、その損害は金融機関が負担し、預金者が負担を負うこ
とはない。
(全国銀行協会 HPより)
8
9
金融機関業務における本人認証と公的番
号制度
犯罪収益防止法4条+6条+7条等
「金融機関は、特定取引を行う顧客の『本人特性事項』
について主務奨励で定める方法により確認を行わなけれ
ばならない」
⇒金融機関にとって安心して使える本人確認手段とは?
n 
・日本: 公的機関が発行し、かつ付番された番号が記載
されている公的証明書を用いた確認。
世界的にもほぼ共通したプロセスとなっている。
・米国では過去にSSNを使った本人確認を認めていたが
なりすまし多発でSSN提示は必須ではない。 10
積極的に国民IDカードと銀行キャッシュカードの
統合を進めようとする動きも・・・。
銀行発行IC搭載カードやクレジットカードと電子国民IDカード
の一体化が可能。インターネットバンキングの本人認証の
セキュリティをUP ⇒様々な問題点も・・・
国民ID(PESEL番号)が公的身分証明手段だけでなく、金融
サービスにおける通常の本人確認手段として利用される。
わが国はどうあるべきか?
11
ご清聴ありがとうございました
中央大学大学院戦略経営研究科
杉浦 宣彦
http://www.chuo-u.ac.jp/chuo-u/cbs/index_j.html
[email protected]
12