記事をお気に入りリストに登録することができます。
ノートPCやスマートフォンを使って社外からクラウドサービスを活用し、社内の業務システムにアクセスすることは、もはや珍しくない。しかし、それを支えるセキュリティは本当に大丈夫なのか。特にセキュリティの土台となる「認証基盤」に課題はないのか。日本マイクロソフト、ヤフーを経て、現在はJapan Digital DesignのCTO、業務開発部長として金融業界の変革に取り組む楠正憲氏とPKIや認証ソリューションの開発・販売を手がけるエントラストジャパン(以下、エントラスト) カントリーマネージャーの堀川隆治氏に、クラウド時代の認証の最前線を聞いた。
仮想通貨流出の不正送金に見る現在の「認証」の課題とは
――最近の認証・アクセスのトレンド、特にフィンテックまわりのトレンドについて、ご意見をお聞かせください。楠氏:ここ数年は、2017年に成立した改正銀行法の影響が大きく、金融機関によるAPIの提供がトレンドになっています。
これは、電子決済等代行業を定義し、オープンAPIを通して、銀行とフィンテック企業がオープン・イノベーションを進展させることを目的とした法律です。フィンテック企業に対しては、登録制によって責任を明確にする一方で、銀行にはAPIの整備という努力義務を課しています。APIを提供するためには、当然、認証は重要な課題になります。
――具体的には、どのような課題があるのでしょうか。
楠氏:たとえば、銀行や証券などの金融機関に分散している個人の資産情報をワンストップで提供する個人資産管理(Personal Financial Management、PFM)の分野が、いま急速に拡大しています。
こうしたサービスではこれまで、「スクレイピング」と呼ばれるセキュリティ的に課題のある手法が使われていました。しかし、APIが提供されれば、こうした問題も解決できます。
ただし、銀行の振り込みなど、データを変更する際に使用される更新系APIでは、まだ課題は多いと思います。たとえばダイレクトバンキングであれば、従来は乱数表やワンタイムパスワードが使われてきたわけですが、APIだと利用者による操作を前提とした方法が使えませんので、別の手段が必要になります。
また、直近では仮想通貨取引所での「なりすまし」による不正送金が相次いでいます。ログインに使うID・パスワードが盗まれ、メールを使った多要素認証を設定していても、ワンタイムパスワードを受信するメールアカウントに不正アクセスされているケースがあります。またAPIアクセスのために払い出したAPIキーなどの情報が盗まれているケースも少なくありません。
――他にもフィンテックの普及へ向けて認証の課題はありますか。
楠氏:もう1つの課題は、本人確認が非常に煩雑なことです。たとえば、金融機関の口座開設時には、マイナンバーの届出と本人確認が必要となります。そのためのUXが煩雑だと、多くのユーサーが登録の手前で離脱してしまい、せっかく作った新しいフィンテックのサービスを使ってもらえないという問題があります。ここの改善は、政府や多くの金融機関がいままさに取り組んでいるところです。
この記事の続き >>
・パスワードを使い回す「8割のユーザー」がもたらすリスク
・NASAジェット推進研究所にも採用された認証技術
・認証基盤構築は遅くなるほど後が大変、まずは「できるところから」
・パスワードを使い回す「8割のユーザー」がもたらすリスク
・NASAジェット推進研究所にも採用された認証技術
・認証基盤構築は遅くなるほど後が大変、まずは「できるところから」
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
