Comments
Description
Transcript
発表資料 - ソーシャルICT研究センター
東京大学ソーシャルICT研究センター第1回シンポジウム 新たな社会情報基盤を目指して ー社会情報基盤における個人認証の役割― 「決済サービスにおける個人認証の現状と課題」 2013年10月28日 中央大学大学院 戦略経営研究科 教授 杉浦 宣彦 1 インターネット等を利用した金融サービスの安全 対策について インターネットおよび携帯電話網を使用した金融サービス ⇒日本の金融機関の約80%が提供している。 n 平成23年 「固定パスワード」だけを認証方式とするWeb サイトで不正事件発生 (平成23年3月末~11月24日 160口座 3億円以上 の不正送金があった。) n 平成24年1月「インターネットバンキングにおける セキュリティ対策向上について」(全銀協) ⇒固定式のID・パスワードのみに頼らない認証形式の推奨 2 個人向け金融サービスの認証 ①ロングイン時は70.5%が固定パスワード ただし、パスワード生成機方式は、13.7%へ急上昇 ②資金移動・証券取引時に使用する認証方式 ログイン時と異なる固定パスワード 44% ワンタイムパスワード 37% ⇒ワンタイムパスワードへの移行が進んできている ③メガバンク、信託、信金では、ワンタイムパスワード 認証方式を採用する傾向がある。 n (注)各数字は、金融情報システムセンター「平成23年度 金融 機関等のコンピュータシステムに関する安全対策実施状況調査報告書」より 3 法人向け金融サービスの認証 ①電子署名形式が多い。 ②ログイン時と異なる固定パスワードによる認証が 利用されるケースが全体の8割程度。 n インターネット不正利用対策 ①アカウントトロック機能を設ける ②長時間操作しない場合の強制ログオフ ③ソフトウエアキーボード ④ログオン履歴を参照可能とする ①~④の対策の実施率は80%を超えている。 n 4 不正送金方法の変化 ーこれまでのパターン n (http://blog.zaq.ne.jp/secu/article/23/) フィッシング対策(正当なサイトである確認手段の提供等) は65%強の金融機関で行われている。 5 ―最近のパターン マルウェア(コンピューターウイルス)の利用型が増加 ⇒インターネットバンキングでの不正引出し金額は 本年前半だけで総額2億円超。 6 n マルウエアへの対応状況 マルウエア対策ソフトの導入とパターンファイルの定期的適用 81.6%の金融機関が実施。 ただし、セキュリティパッチの適用は59%程度。 また、有効な防衛手段は利用者の協力なしには できないものが多い。 例)パスワードの定期的変更、IDやパスワードの 使い回しをしない 金融機関側だけの対策では限界がある。 7 利用者保護はどのように行われているのか 基本的な考え方 = 『預金者保護法』 キャッシュカードや暗証番号の管理をしっかり行なっていれば、 n 万が一キャッシュカードを偽造されたり盗難されて預金等を引出 されても、その損害は金融機関が負担し、預金者が負担を負うこ とはない。 (全国銀行協会 HPより) 8 9 金融機関業務における本人認証と公的番 号制度 犯罪収益防止法4条+6条+7条等 「金融機関は、特定取引を行う顧客の『本人特性事項』 について主務奨励で定める方法により確認を行わなけれ ばならない」 ⇒金融機関にとって安心して使える本人確認手段とは? n ・日本: 公的機関が発行し、かつ付番された番号が記載 されている公的証明書を用いた確認。 世界的にもほぼ共通したプロセスとなっている。 ・米国では過去にSSNを使った本人確認を認めていたが なりすまし多発でSSN提示は必須ではない。 10 積極的に国民IDカードと銀行キャッシュカードの 統合を進めようとする動きも・・・。 銀行発行IC搭載カードやクレジットカードと電子国民IDカード の一体化が可能。インターネットバンキングの本人認証の セキュリティをUP ⇒様々な問題点も・・・ 国民ID(PESEL番号)が公的身分証明手段だけでなく、金融 サービスにおける通常の本人確認手段として利用される。 わが国はどうあるべきか? 11 ご清聴ありがとうございました 中央大学大学院戦略経営研究科 杉浦 宣彦 http://www.chuo-u.ac.jp/chuo-u/cbs/index_j.html [email protected] 12