オンライン・バンキングの普及には安全だけでなく利便性が大切

米Entrust
Sales Director
Fraud Detection & Risk Based Authentication
Terry Schoen氏

2009.01.20

　米Entrustは，PKI（公開鍵暗号基盤）関連ソフト・ベンダーである。鍵交換や電子署名といったピュアなPKIライブラリ製品に加え，2要素認証サーバーやシングル・サインオンなど，安全なWebアクセスに注力した各種のセキュリティ製品を提供している。同社で不正検知および認証関連製品のセールス・ディレクタを務めるTerry Schoen氏に，セキュリティを取り巻く社会情勢を聞いた。

（聞き手は日川佳三＝ITpro）

米EntrustでFraud Detection & Risk Based Authentication担当Sales Directorを務めるTerry Schoen氏

[画像のクリックで拡大表示]

認証/暗号化を取り巻く社会情勢について教えて欲しい。

　社会は今後，インターネットに熟達した世代によって構成されるようになる。今後は，検索エンジンのGoogleを当たり前のように使うのと同様に，インターネットを介した銀行口座の操作と取引が主流になっていく。銀行の営業店舗やATM（現金自動支払い装置）は減り続け，反対にインターネット・バンキング一色になる。

　ところが，実際には，潜在的な需要の大きさほどには，インターネット・バンキングは普及していない。需要からすれば，既存のバンキング取引は，もっと急激な移行カーブを描いてインターネット経由へと切り替わっていくはず。にも関わらず，現実には，本来の需要を下回るペースで緩やかに切り替わっているに過ぎない。

　なぜか。インターネット・バンキングの普及を妨げている要因はシンプルだ，セキュリティと使い勝手が，まだまだ未熟であるということだ。高いセキュリティを確保しようとすると使い勝手が犠牲になってしまうなど，改善点が多いのが実態。こうした現状では，インターネット・バンキングを利用しようとするエンドユーザーは，二の足を踏んでしまう。

　本来の需要通りにインターネット・バンキングを普及させ，エンドユーザーを満足させるためには，銀行などの金融機関は，IT投資によってセキュリティと利便性を両立させる必要がある。適切なIT投資を実施することが，他の銀行との間での差別化となる。

インターネット・バンキング向けのセキュリティとは何か

　インターネット・バンキング向けのセキュリティ技術/製品は，その対象が，いくつかの階層に分かれる。銀行内部の堅牢なシステムから，フロントエンドとなるWebシステム，インターネット，Webブラウザ環境，といった具合だ。このうち，もっとも危険な場所は，Webブラウザを動作させるエンドユーザーのパソコン条にあるWebブラウザ環境である。悪意のあるマルウエアに感染したり，中間者攻撃やフィッシング詐欺に引っかかる。

　従来，セキュリティ対策とは，バッファ・オーバーフロー対策やクロスサイト・スクリプティング対策などのような，サービス提供者側のセキュリティ・ホールを潰すというものだった。ところが，現在のインターネット・バンキングでは，「すべてのエンドユーザーのパソコンはマルウエアに感染している」という前提に立ったセキュリティ対策を考えるのが常識になっている。

　最近の組織犯罪は極めて先進的なので，注意しなければならない。まず，世の中の多くのパソコンは，利用者が気が付かないうちにマルウエアに感染しており，ボット・ネットに参加している。ボット・ネット内ではセキュリティ・アップデートさながらにマルウエアが20分ごとにアップデートされている。こうしたパソコンは，すべて悪人のコントロール下に置かれている。エンドユーザーから搾取/窃盗した現金をロンダリングしてキレイなカネとして再利用できるようにするネットワークも整備されている。

その状況に対する具体的な製品戦略を教えて欲しい。

　大きく5つのステップに分けて製品を提供している。

　1つめは，EV SSLサーバー証明書だ。証明書の発行基準を厳格にすることによって，Webブラウザの利用者は，アクセスしているWebサイトが，本物の銀行などのように信用できる機関であることを知ることができる。

　2つめは，2要素認証サーバー・ソフトの「IdentityGuard」だ。ID/パスワードとアクセス元IPアドレスによる認証，ワンタイム・パスワード（OTP）や乱数表による認証，いつもと違う行動を検知するリスク・ベース認証，携帯電話へのメッセージ通知など帯域外（Out-of-Band）の認証，登録画像を用いてユーザーがWebサイトを認証するサイト認証，といった機能を，一通り備えている。

　3つめは，HTTP/HTTPS通信をキャプチャして監視する「TransactionGuard」だ。URL文字列やPOSTで送信されたフォーム・メッセージなどHTTP通信の内容をセッションごとに監視/管理し，不正攻撃のパターンに照らし合わせる。検知した不正アクセスに点数を付けて認証サーバーのIdentityGuardに通知する。

　TransactionGuardとIdentityGuardの連携動作により，セキュリティと利便性を両立できる。ユーザーの利便性を下げてまで厳しい認証をかけるべきであるタイミングを発見できる。成りすましなど，不正アクセスらしさの高いアクセスに対しては複数の認証を組み合わせた厳しい認証をかけ，不正アクセスらしさの低いアクセスに対しては緩い認証をかける，といった動的な使い分けが可能になる。そのおかげで，ユーザーは必要のないときまで利便性が低下することはなくなる。

　4つめは，バックエンド・システムを含めたトランザクションに電子署名を施すソフト「TruePass」である。

　最後の5つめは，取引履歴書類の送付など，エンドユーザーあての電子メールを暗号化するためのメール・ゲートウエイ「Entelligence Messaging Server」である。

■変更履歴
リード部でTerry Schoen氏の名前を誤ってPhilip Black氏と表記していました。お詫びして訂正します。本文は修正済みです。 [2009/01/29 19:30]