発表資料 - ソーシャルICT研究センター

東京大学ソーシャルICT研究センター第1回シンポジウム
新たな社会情報基盤を目指して
ー社会情報基盤における個人認証の役割―
「決済サービスにおける個人認証の現状と課題」
２０１３年10月28日
中央大学大学院　戦略経営研究科 教授
杉浦　宣彦
1
インターネット等を利用した金融サービスの安全
対策について
インターネットおよび携帯電話網を使用した金融サービス
⇒日本の金融機関の約80％が提供している。
n  平成23年　「固定パスワード」だけを認証方式とするＷｅｂ
サイトで不正事件発生
（平成23年３月末～11月24日　160口座　3億円以上
の不正送金があった。）
n 
平成24年1月「インターネットバンキングにおける
セキュリティ対策向上について」（全銀協）　⇒固定式のＩＤ・パスワードのみに頼らない認証形式の推奨
2
個人向け金融サービスの認証
①ロングイン時は70.5％が固定パスワード
ただし、パスワード生成機方式は、13.7％へ急上昇
②資金移動・証券取引時に使用する認証方式
ログイン時と異なる固定パスワード　４４％
ワンタイムパスワード　37％
⇒ワンタイムパスワードへの移行が進んできている
③メガバンク、信託、信金では、ワンタイムパスワード
認証方式を採用する傾向がある。
n 
（注）各数字は、金融情報システムセンター「平成23年度　金融
機関等のコンピュータシステムに関する安全対策実施状況調査報告書」より
3
法人向け金融サービスの認証
①電子署名形式が多い。
②ログイン時と異なる固定パスワードによる認証が
利用されるケースが全体の8割程度。
n  インターネット不正利用対策
①アカウントトロック機能を設ける
②長時間操作しない場合の強制ログオフ
③ソフトウエアキーボード
④ログオン履歴を参照可能とする
①～④の対策の実施率は８０％を超えている。
n 
4
不正送金方法の変化
ーこれまでのパターン
n 
（http://blog.zaq.ne.jp/secu/article/23/）
フィッシング対策（正当なサイトである確認手段の提供等）
は65％強の金融機関で行われている。
5
―最近のパターン
マルウェア（コンピューターウイルス）の利用型が増加
⇒インターネットバンキングでの不正引出し金額は　本年前半だけで総額2億円超。
6
n 
マルウエアへの対応状況
マルウエア対策ソフトの導入とパターンファイルの定期的適用
81.6％の金融機関が実施。
ただし、セキュリティパッチの適用は５９％程度。
また、有効な防衛手段は利用者の協力なしには
できないものが多い。
例）パスワードの定期的変更、IDやパスワードの
使い回しをしない
金融機関側だけの対策では限界がある。
7
利用者保護はどのように行われているのか
基本的な考え方　＝　『預金者保護法』
キャッシュカードや暗証番号の管理をしっかり行なっていれば、
n 
万が一キャッシュカードを偽造されたり盗難されて預金等を引出
されても、その損害は金融機関が負担し、預金者が負担を負うこ
とはない。
（全国銀行協会　HPより）
8
9
金融機関業務における本人認証と公的番
号制度
犯罪収益防止法4条＋6条＋7条等
「金融機関は、特定取引を行う顧客の『本人特性事項』
について主務奨励で定める方法により確認を行わなけれ
ばならない」
⇒金融機関にとって安心して使える本人確認手段とは？
n 
・日本：　公的機関が発行し、かつ付番された番号が記載
されている公的証明書を用いた確認。
世界的にもほぼ共通したプロセスとなっている。
・米国では過去にSSNを使った本人確認を認めていたが
なりすまし多発でSSN提示は必須ではない。　10
積極的に国民IDカードと銀行キャッシュカードの
統合を進めようとする動きも・・・。
銀行発行IC搭載カードやクレジットカードと電子国民IDカード
の一体化が可能。インターネットバンキングの本人認証の
セキュリティをUP　⇒様々な問題点も・・・
国民ID（PESEL番号）が公的身分証明手段だけでなく、金融
サービスにおける通常の本人確認手段として利用される。
わが国はどうあるべきか？
11
ご清聴ありがとうございました
中央大学大学院戦略経営研究科
杉浦　宣彦
http://www.chuo-u.ac.jp/chuo-u/cbs/index_j.html
[email protected]
12