ネットバンキング・セキュリティ (三菱東京UFJがクラウド方式)

ニッキンの平成26年1月28日の記事です。BTMUがクラウドダイレクトという名称で新しいウィルス対策を26日から開始したそうです。銀行のネットバンキング・システムと利用者のPCとの間に、クラウドダイレクトと呼ぶセキュリティ・サーバーを入れます。このサーバーから利用者のPCに画像データのみを送るのでページ偽造ができません。シンクライアント方式と同じです。更に、許可されたサイト以外には接続できません。利用者の操作方法は従来と変わらず、申込も手数料も不要です。

何故、こんなややこしいことをと思う人が多いでしょうが、筆者はよくよく考えた策だと感心します。というのは、銀行のセキュリティに対する姿勢が、余りにはっきしないので、クラウドベンダー数社に「皆さんが、銀行と利用者の間にセキュリティ・クラウドを構築して、利用者と取引の認証を代行しないか?」と提案しだしたばかりでした。しかし、BTMUのように、銀行がそのサービスを無料で行うとなれば、筆者の案はビジネスとして成立しません。BTMUが、他行IB利用者にもこのセキュリティ・ゲートウェイを提供すれば、IBの制空権を握れることでしょう。有料でも構わない。

IBセキュリティで頭の痛いことは、銀行が利用者の利用環境を制御できないことです。銀行は、これまでネットワークを閉鎖的にすることでセキュリティを確保してきました、ところがネットバンキングによって、開放的ネットワークとの接点が出来てしまいました。その接点をID、PWで出入り管理することになりました。今は、ここを狙われています。OTPや電子認証は、こうした手法の一種です。ログイン後に、不正操作を組み込まれると、銀行としては対処できません。現時点の主な対策は、二つで @利用者側のセキュリティを強化する。(ウィルスチェックや本人認証、サイト認証など)A正規のログイン後の不正操作に対しては取引認証です。

ネットバンキング不正取引被害が膨大な欧米金融業界では、一斉に取引認証を採用しつつあるそうです。わが国でも、日本銀行が強く推奨しています。ところが、民間銀行は、口を揃えて、利便性の悪化、コスト負担、システム変更の負荷を並べ上げ、最後には顧客の協力が得られないとして、取引認証の採用を拒みます。日銀としても、強制できませんし、取引認証で完全に防御できる訳でもないので、そうは強く奨めることもできません。

利用者のリテラシーは、極めて幅広いにも関わらず、銀行はかつての護送船団方式で全顧客一律でしか考えません。変化を嫌うミドルアップの意思決定が弊害とも言えます。それでいて、世間の風向きが変わると、今度は事業性を無視して一斉に走り出すのです。経営トップが、何故、ウチはやらんのか?と言うからでしょう。

銀行の自発的対応を待っていたのでは、ラチがあかないと思って、上述のように、セキュリティ管理のゲートウェイ・サービスの開発をクラウド事業者に提案しました。事業性に自信がもてず消極的なベンダーもありましたが、セキュリティ・ベンダーや損害保険会社と提携して、法人や個人向けのサービスとして検討を始めるベンダーもあります。

多数の利用者と複数の銀行の間に入って、利用者の為のセキュリティ・ガードをマルチバンクで提供するのです。クラウドには、米国で稼働したばかりのSoltra Edgeシステムのような最新脅威情報をセキュリティ・クラウドに取り込み、自動的に条件設定を変更できる機能を盛り込み、認証方式も生体情報やイラスト/写真マッチングなど多様な手法を取り込みます。リスクの高いIBサービスは、接続対象から外せば良い。

こうなると、利用者に対する接点は、このクラウド・サービスが握ります。接続先は、銀行に限らず、証券でもカード会社でも構わない。ネットワーク時代の特徴であるサービス・アンバンドリングと水平分散化と同じ流れです。垂直統合の銀行が遅れをとるのは仕方ないと思います。

11月にセコムトラストが、IB専用のOSを記憶させたUSBメモリーを販売しているとの報道がありました。利用者のPCを汎用OSではなく、専用OSにすることで外部からの攻撃を防ぎ、更に、徹底してセキュリティ対策を施したセコムのDC経由で銀行のシステムIBと接続します。きらやか銀と仙台銀が採用を決めたそうです。これも、IBサービスのアンバンドリングであり、銀行が好きなアウトソーシングですが、このサービスをIB利用者に直接提供すれば、他業による銀行サービスへの新規参入です。

こう考えると、本件記事にあるBTMUのクラウドダイレクトは、クラウドという名称が適切かどうかは別として、なかなか良い所に、手を打ったということになります。11月26日に開始ですから、この案を決めたのは昨年か今年春迄でしょう。流石にリーディングバンクで、先を読んでサービスを開発します。メガバンクを除けば、こうしたサービスを新たに立ち上げることは難しい。昔なら、すぐに共同云々となりますが、IB利用者が多くはない地銀以下の業態では、足並みをそろえるのは難しいでしょう。やはり、クラウドベンダーとセキュリティ・ベンダーの参入を推進することが、IBセキュリティの強化に避けられないようです。

                                  (平成26年12月15日 島田 直貴)