開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • 金融機関が担う「ITリテラシーが低すぎる顧客」の運用モデル、現実解は何か?

  • 会員限定
  • 2021/01/08

金融機関が担う「ITリテラシーが低すぎる顧客」の運用モデル、現実解は何か?

大野博堂の金融最前線(30)

デジタルトランスフォーメーション(DX)推進に伴い、金融機関はデジタルチャネルへと顧客を誘導しつつある。他方、昨今顧客を狙ったサイバー攻撃やフィッシング詐欺などが相次いでおり、たとえ金融機関側のセキュリティ環境を高度に講じたとしても、顧客側のリスクが増大する格好となりかねない。そこで本稿では、インターネットバンキングを題材に、サイバーセキュリティへの対処方針としての「リスクのある顧客」を抽出する考え方や運用モデルを例示する。

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

photo
金融機関は顧客のITリテラシーとどのように向き合うべきか
(Photo/Getty Images)

金融機関における「敵からの」防御対象

 金融機関における攻撃にさらされる可能性のあるリソースとチャネルを俯瞰した図を示そう。これまで金融機関のサイバー対策として注力されてきたのは、「外接系システム」「内部ネットワーク」「外部ネットワーク」「顧客の接続環境」「金融機関職員のリテラシー」の5つだ。

 もちろん、最近はここに「サードパーティリスク」として委託先などが新たなチャネルとして重視されている。ただし、エンドユーザー、とりわけ「エンドユーザーのリテラシー」については、現状で多くの金融機関で踏み込んだ対策が進んでいない可能性がある。法人顧客もさることながら、敵のターゲットは、ITリテラシーの低い個人顧客なのだ。

 他方、金融庁のこれまでの取組対象からは、顧客そのものへの“目配せ”は点検ポイントとして重視されていない。わずかに、「金融機関がサイバー攻撃を受けた場合の顧客への速やかなる周知」、といったものが限定的に取り上げられているにとどまっているのが実態だ。

 また、実際に顧客がサイバー攻撃の被害者となり、金銭的な被害を負った場合、顧客から「被害届を出したいので詳細な情報を教えて欲しい」と金融機関に通知しても非協力な姿勢を示す例もあると聞く。

 これは、金融機関が「サイバー保険」などを通じて被害額を金銭的に賠償するケースが多く、「顧客に実損を与えていないから」と考える金融機関が存在するためだろう。

画像
図1:金融機関の防御対象
(出典:NTTデータ経営研究所作成)

金融機関が強固なセキュリティを具備しても、顧客から情報は漏洩する

 最近は、ニュースサイトやYouTubeなどで「有名なブランド品を激安販売」などとして広告を出稿し、顧客から金品を窃取する手口が広まっている。

 「高級腕時計がなんと2万9800円!」「本革コートが2980円。2枚買うともう1枚プレゼント」といったものが中心で、表示された事業者名に実在する企業名を名乗るものも存在するなど、誤認を前提とした手口とも言える。コロナ禍で在宅時間が増加し、オンラインショッピングが志向されがちな環境を敵はターゲットにしているのだろう。

 実際に購入してしまうと、商品自体が送られてこなかったり、高級ブランド品のニセモノが送られてきたりするようだ。これだけであれば従前から存在する単なる詐欺行為なのだが、なかには「販売価格は1円」、というケースもある。この場合の敵の目的はなんだろうか?

 商行為すら装っていないこうしたケースでは、敵は「顧客が入力したクレジットカード番号」そのものを窃取することを目的としている。カード番号が入手できてしまえば、すぐさま他サイトで顧客を装ってモノを購入するのだ。

 金融機関としては、常に、自行のフィッシングサイトが立ち上がっていないかを確認することが必要となるが、これだけではもちろん対応は不足する。上述のように顧客が頻繁に利用するであろう通販会社や流通企業のホームページなどを偽装したサイトに顧客が誘導されるケースが相次いでいるためだ。

 すなわち、すでに金融機関側の対応には限界があり、ボトルネックは「顧客側のITリテラシーそのもの」の時代に突入しているのである。

【次ページ】必要となる顧客側ITリテラシーのアセスメント

お勧め記事

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!