みずほ銀行は2月22日,オンライン・バンキング・サービス「みずほダイレクト」の認証機能を強化すると発表した。ユーザーのアクセス履歴を管理して,普段とは異なるPCやネットワークから利用している場合に認証の強度を上げる「リスクベース認証」や,認証の度にパスワードが変わる「ワンタイム・パスワード」などを導入する。サービス開始は2008年春を予定している。
リスクベース認証は,ユーザーのIDやパスワードが盗まれた場合に「なりすまし」のアクセスが発生することを防ぐためのサービス。ユーザーが使っているPCやソフトウエアの種類,アクセス元の国情報やプロバイダ情報などのアクセス履歴を記録し,前回までのアクセス情報と違うアクセスがあった場合に,「リスクの高いアクセス」と判断する。リスクの高いアクセスの場合は,IDとパスワードだけなく,あらかじめ登録した「合い言葉」などを入力しなければ,オンライン・バンキングにログオンできないようにする。リスクベース認証は,RSAセキュリティの技術を導入した。RSAセキュリティによれば,米国で3500社の金融機関が,同社のリスクベース認証を利用しているという。
ワンタイム・パスワードは,振り込みなどを実行する際のユーザー認証に使用する。みずほ銀行は現在,ユーザーにあらかじめ6ケタの「第2暗証番号」を配布し,振り込みなどを行う場合に,「第2暗証番号の6ケタの数字の中から,そのつど変更される4個の数字」を入力させている。ワンタイム・パスワードは,この第2暗証番号を置き換えるツールとして導入する。
希望者に,ベルギーVASCO Data Security International製のワンタイム・パスワード・トークンを配布。振り込みの際にこのトークンに表示される数字を入力させる。入力させる数字は,認証のつど変更される。高齢者や視覚障害者にも対応できるよう,パスワードを読み上げる機能や大きな文字サイズで表示する機能などを搭載する卓上型のトークンも導入する。
リスクベース認証,ワンタイム・パスワードとも,手数料については「現在検討中」(みずほ銀行)としている。日本でも,既にワンタイム・パスワードを導入している銀行があるが,リスクベース認証を導入するのはみずほ銀行が初めてという。
