セキュリティー・インテリジェンス

FIT2017(金融国際情報技術展) イベントレポート ~オープンAPI時代の金融機関におけるセキュリティーとは~

記事をシェアする:

2017年10月26日、27日にFIT2017(金融国際情報技術展)が、東京国際フォーラムで開催されました。27日の特別セミナーのセッションにおける、セキュリティー事業本部テクニカルセールスの甲斐崎 由加子の講演をご紹介します。

日本アイ・ビー・エム
セキュリティー事業本部
テクニカルセールス
甲斐崎 由加子

オープンAPI時代の金融機関におけるセキュリティーとは

満席の会場で、特別セミナー「金融デジタル時代におけるオープンAPIを含むオムニチャネル相関分析による異常検知」はスタートしました。登壇したのは、日本アイ・ビー・エム、セキュリティー事業本部テクニカルセールスの甲斐崎 由加子です。

銀行法が改正され、FinTechのオープン APIを提供する努力が義務化されました。このように金融機関と利用者が直接つながることができない状況で、金融機関はどのような対策を取れば良いのでしょうか。

初めに、サイバー攻撃の変遷について説明しました。「サイバー脅威の目的は、当初はいたずらや顕示でしたが、現在は営利目的が主体になっています。それでも2014年ごろまでは、金融機関への攻撃については対策は難しくありませんでした。さらに言葉の問題もあり、日本には新しい攻撃手法が3年遅れて入ってくるような猶予期間がありました。しかし2015年ごろからは状況が大きく変わり、ボーダーレス化が速いペースで進んでいます」。攻撃の手法についても、ワーム、フィッシング、キーボードの打鍵情報を盗むのっとり、不正なコードで自動的に偽サイトへ誘導、電話やSMS(ショート・メッセージ・サービス)を使った詐欺など多岐にわたるようになってきました。

「多くの金融機関では、サーバー側にリスクエンジンを搭載し、普段利用者がご利用になっているのと異なる端末からのアクセスは不正な可能性があると判定しています。これを逆手にとって利用者の端末を遠隔操作でのっとる手口が増えています。リスクエンジンからは完全に普段の利用者と同じに見えるため、回避できません」とリスクエンジンだけでは対策は不十分であることを語りました。

昨今は、犯罪者がまるで企業のように組織化された体制で攻撃しています。「さまざまな部署があって組織化され、どの金融機関のどのアプリを攻撃すると一番儲かるか、事前にROI分析をしています。日本への攻撃についても、十分な日本語スキル、日本のホスティング・サービスの契約など、手間もコストもかかるはずですが、それだけの投資対効果があると思われているようです。もはや日本にとっての猶予期間はないと言って良いでしょう」(甲斐崎)

今年の動向について、「今年話題になったWannaCryのようなワームを使った脅威は、特に金融機関を狙ったものではありませんでしたが、今は金融機関も狙われ始めています。スマートフォンを感染させるマルウェアが仕込まれた金融機関とは関係のないアプリが、公式アプリストアに公開されてしまった例もあります。感染したスマートフォンからオンライン・バンキングのアプリを使用すると、パスワードを盗まれてしまいます」と語り、継続的な注意を喚起しました。

今後API経由のアグリゲーション・サービスが増えてくると予想されます。利用者にとっては、ますます選択肢が増え利便性が高まりますが、銀行やクレジットカード会社にとっては、利用者と直接つながることができないため、今までとは違った対策が必要になります。こういった環境での本人確認について甲斐崎は、「パスワード、生体認証、ワンタイム・パスワードなどは、一点突破されてしまう危険性をはらみます」と述べ、「例えばマウスの動かし方の癖によって本人を識別する、行動バイオメトリクスという技術があります。行動パターンは簡単に真似してなりすますことはできません。このような高度な技術を組み合わせることが必要になってくるでしょう」と新しい技術の必要性を強調しました。

そして不正検知の精度を上げつつ、利用者の利便性を極力損なわないための仕組みを次のように説明しました。「1つ目が履歴データによる利用者のプロファイリングです。利用者のデバイス、感染履歴、ログインした後のページ遷移などを次々と蓄積し、プロファイルの精度を上げていきます。2番目がセッション・データです。取引のセッションにおいて、もしデバイス情報が取れれば、マウスの動きやキーボードのタイピングの特徴などのデータを取得します。3番目は世界中のセキュリティーの知見です。日々新しい犯罪ロジックが用いられますので、こういった動向を常にアップデートしていきます」(甲斐崎)

これら3種のデータや知見を包括的に相関分析して、正確に検知していく仕組みが必要です。さらにリアルタイムで継続的なアクティビティー評価を行い、「一点突破されてしまったらもう防げない」ということがないようにします。

最後に、これらを実装するソリューションをご紹介しました。サイバー犯罪詐欺防止ソリューションIBM Security Trusteerは、金融不正の防御だけに特化したソリューションです。SaaSで提供しているため、メンテナンスはほぼ不要で、セキュリティー・アップデートは毎日自動で行われます。本人確認とサイバー攻撃リスク、顧客プロファイルと取引に見られる異常、これらを相関分析して検知精度を上げる仕組みになっています。

ソリューションの詳細などはお気軽にお問い合わせください。

More stories
2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む

2019-08-09

「The Forrester Wave: Data Security Portfolio Vendors (2019 年 Q2 版)」に関する IBM の洞察

データ・セキュリティーは、数十年にわたって企業の防衛戦略の中核を成してきました。しかし、連続するサイバー攻撃や […]

さらに読む