開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

エントラストジャパン株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2018/06/08
 楠正憲氏 対談:認証基盤は「完璧を目指して先送り」してはいけない理由

ノートPCやスマートフォンを使って社外からクラウドサービスを活用し、社内の業務システムにアクセスすることは、もはや珍しくない。しかし、それを支えるセキュリティは本当に大丈夫なのか。特にセキュリティの土台となる「認証基盤」に課題はないのか。日本マイクロソフト、ヤフーを経て、現在はJapan Digital DesignのCTO、業務開発部長として金融業界の変革に取り組む楠正憲氏とPKIや認証ソリューションの開発・販売を手がけるエントラストジャパン(以下、エントラスト) カントリーマネージャーの堀川隆治氏に、クラウド時代の認証の最前線を聞いた。


仮想通貨流出の不正送金に見る現在の「認証」の課題とは

――最近の認証・アクセスのトレンド、特にフィンテックまわりのトレンドについて、ご意見をお聞かせください。

楠氏:ここ数年は、2017年に成立した改正銀行法の影響が大きく、金融機関によるAPIの提供がトレンドになっています。

 これは、電子決済等代行業を定義し、オープンAPIを通して、銀行とフィンテック企業がオープン・イノベーションを進展させることを目的とした法律です。フィンテック企業に対しては、登録制によって責任を明確にする一方で、銀行にはAPIの整備という努力義務を課しています。APIを提供するためには、当然、認証は重要な課題になります。

――具体的には、どのような課題があるのでしょうか。

楠氏:たとえば、銀行や証券などの金融機関に分散している個人の資産情報をワンストップで提供する個人資産管理(Personal Financial Management、PFM)の分野が、いま急速に拡大しています。

 こうしたサービスではこれまで、「スクレイピング」と呼ばれるセキュリティ的に課題のある手法が使われていました。しかし、APIが提供されれば、こうした問題も解決できます。

 ただし、銀行の振り込みなど、データを変更する際に使用される更新系APIでは、まだ課題は多いと思います。たとえばダイレクトバンキングであれば、従来は乱数表やワンタイムパスワードが使われてきたわけですが、APIだと利用者による操作を前提とした方法が使えませんので、別の手段が必要になります。

 また、直近では仮想通貨取引所での「なりすまし」による不正送金が相次いでいます。ログインに使うID・パスワードが盗まれ、メールを使った多要素認証を設定していても、ワンタイムパスワードを受信するメールアカウントに不正アクセスされているケースがあります。またAPIアクセスのために払い出したAPIキーなどの情報が盗まれているケースも少なくありません。

――他にもフィンテックの普及へ向けて認証の課題はありますか。

photo
楠氏は「更新系APIの課題はまだ多い」という

楠氏:もう1つの課題は、本人確認が非常に煩雑なことです。たとえば、金融機関の口座開設時には、マイナンバーの届出と本人確認が必要となります。そのためのUXが煩雑だと、多くのユーサーが登録の手前で離脱してしまい、せっかく作った新しいフィンテックのサービスを使ってもらえないという問題があります。ここの改善は、政府や多くの金融機関がいままさに取り組んでいるところです。

この記事の続き >>
・パスワードを使い回す「8割のユーザー」がもたらすリスク
・NASAジェット推進研究所にも採用された認証技術
・認証基盤構築は遅くなるほど後が大変、まずは「できるところから」

この続きは会員限定です

ここから先は「ビジネス+IT」の会員の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!