日 本 銀 行 金 融 研 究 所 第 15 回 情 報 セキュリティ シンポジウム 2014 年 3 月 5 日 日 本 銀 行 本 店 キーノート スピーチ 多 様 化 するリテール 取 引 の 安 全 性 Ⅱ モバイル 化 クラウド 化 を 支 える 情 報 セキュリティ 技 術 を 中 心 に 松 本 勉 横 浜 国 立 大 学 大 学 院 環 境 情 報 研 究 院 1
これまでの 情 報 セキュリティ シンポジウムのテーマ 開 催 回 ( 開 催 年 度 ) テーマ 第 1 回 (1998) 金 融 分 野 における 情 報 セキュリティ 技 術 の 現 状 と 課 題 第 2 回 (1999) 金 融 業 務 と 認 証 技 術 第 3 回 (2000) 情 報 セキュリティ 技 術 の 評 価 と 信 頼 性 第 4 回 (2001) インターネットを 利 用 した 金 融 サービスの 情 報 セキュリティ 対 策 第 5 回 (2002) デジタル 署 名 の 長 期 的 な 利 用 とその 安 全 性 第 6 回 (2003) 金 融 分 野 における 人 工 物 メトリクス 第 7 回 (2004) 金 融 業 界 における 情 報 システムの 脆 弱 性 検 知 と 情 報 共 有 第 8 回 (2005) 金 融 機 関 の 情 報 セキュリティ 対 策 のあり 方 第 9 回 (2006) リテールバンキングのセキュリティ 第 10 回 (2007) 金 融 業 務 と 情 報 セキュリティ 技 術 :この10 年 の 経 験 と 今 後 の 展 望 第 11 回 (2008) 偽 造 防 止 技 術 の 新 潮 流 : 金 融 業 務 における 人 工 物 メトリクスの 可 能 性 第 12 回 (2009) 環 境 変 化 に 耐 える 情 報 セキュリティ システムとは 第 13 回 (2011) 金 融 分 野 における 情 報 セキュリティ 技 術 の 最 新 動 向 と 今 後 の 方 向 性 第 14 回 (2012) 多 様 化 するリテール 取 引 の 安 全 性 -モバイル 化 を 支 える 情 報 セキュリティ 技 術 を 中 心 に 2
多 様 化 するリテール 取 引 の 安 全 性 Ⅱ モバイル 化 クラウド 化 を 支 える 情 報 セキュリティ 技 術 を 中 心 に 講 演 3 暗 号 化 状 態 処 理 技 術 暗 号 化 した まま 処 理 オンラインサービス (クラウド 等 ) 講 演 2 パスワード 等 管 理 技 術 暗 号 化 データ 提 サ 供 ー 者 ビ ス サーバ DB ID, 決 済 情 報 等 ECサイト モハ イルハ ンキンク サイト 加 盟 店 決 済 端 末 NFC 対 応 POS スマホ 決 済 スマホ POS 処 理 依 頼 処 理 結 果 暗 号 化 データ 本 人 確 認 ロ グ イ ン ハ ネル 決 済 情 報 決 済 情 報 データの 復 元 デバイス ユ ー ザ 生 体 認 証 モバイル ハ イオメトリクス 講 演 1 専 用 / 汎 用 アプリ NFC おサイフ ケータイ スマートフォン カート 3
アジェンダ 本 シンポジウムのテーマの 背 景 とディスカッ ションのねらい 多 様 化 するリテール 取 引 と 情 報 セキュリティ 技 術 の 動 向 各 ご 講 演 テーマとパネル 討 論 の 位 置 づけ 金 融 機 関 へのメッセージ 4
IPA 2013 年 版 10 大 脅 威 一 覧 1 位 クライアントソフトの 脆 弱 性 を 突 いた 攻 撃 2 位 標 的 型 諜 報 攻 撃 3 位 スマートデバイスを 狙 った 悪 意 あるアプリの 横 行 4 位 マルウエアを 使 った 遠 隔 操 作 5 位 金 銭 窃 取 を 目 的 としたマルウエアの 横 行 6 位 予 期 せぬ 業 務 停 止 ( 組 織 内 部 の 管 理 に 起 因 する 脅 威 ) 7 位 ウェブサイトを 狙 った 攻 撃 8 位 パスワード 流 出 の 脅 威 9 位 内 部 犯 行 ( 組 織 内 部 の 管 理 に 起 因 する 脅 威 ) 10 位 フィッシング 詐 欺 オンラインバンキングに 関 係 する 脅 威 が 多 くを 占 めている 5
オンラインバンキングにおける 不 正 送 金 (1/3) 被 害 額 [ 億 円 ] ( 出 典 : 全 銀 協 ) 9 8 7 6 5 4 3 2 1 0 900 800 700 600 500 400 300 200 100 0 ( 予 測 値 ) オンラインバンキング インターネット バンキング 偽 造 キャッシュカード ( 予 測 値 ) 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 (4-12 月 分 ) ( ) 警 察 庁 まとめでは オンラインハ ンキンク の2013 年 被 害 は32 行 で 計 14 億 600 万 円 単 位 : 億 円 盗 難 通 帳 盗 難 キャッシュカート 偽 造 キャッシュカート オンライン バンキング 不 正 2012 年 度 0.5 4.3 5.6 0.9 2013 年 度 (4-12 月 分 ) 0.6 3.4 0.5 6.8 6
オンラインバンキングにおける 不 正 送 金 (2/3) パスワードの 漏 えいや 不 正 送 金 の 主 な 原 因 フィッシングサイト ソーシャル エンジニアリング キーロガー ECサイトや 銀 行 で 同 じパスワードを 使 い 回 し 銀 行 以 外 のサイトからパスワードが 漏 えい(パスワードリスト 攻 撃 ) ユーザのブラウザの 感 染 (Man-in-the-Browser:MitB 攻 撃 ) 正 規 の 銀 行 サイトに 表 示 される 偽 画 面 正 規 ユーザのログイン 後 に マルウエアが 不 正 送 金 を 指 示 正 規 ユーザによ る 送 金 指 示 をマルウエアが 改 ざん これまでの 金 融 機 関 の 対 応 ログイン 時 のセキュリティ 強 化 いつもとは 異 なる 端 末 からのログインの 場 合 には 追 加 の 認 証 要 素 (Eメール やSMSで 送 ったOTP 等 )を 求 める 等 (リスクベース 認 証 2 段 階 認 証 ) オンラインバンキング 専 用 のマルウエア 対 策 ソフトの 無 償 配 布 取 引 時 のセキュリティ 強 化 振 込 先 の 事 前 登 録 乱 数 表 振 込 時 のワンタイムパスワード(2 要 素 認 証 ) 不 正 取 引 パターンの 検 知 7
オンラインバンキングにおける 不 正 送 金 (3/3) 前 回 シンポジウムでは ユーザ 端 末 (PC 等 )がマルウエア 感 染 す ることを 前 提 に 不 正 送 金 を 防 ぐ 対 策 を 議 論 具 体 的 には 個 々の 取 引 内 容 を 本 人 が 確 認 する 取 引 認 証 を 取 り 上 げ 安 全 な3つの 構 成 方 法 を 示 した PC 1 取 引 指 示 銀 行 銀 行 銀 行 PC 1 取 引 指 示 PC 1 取 引 指 示 携 帯 電 話 2 取 引 内 容 の 確 認 要 求 3 取 引 承 認 本 構 成 については 国 内 ネット 銀 行 が2014 年 2 月 から 導 入 邦 銀 初 の 取 引 認 証 の 事 例 とみられる 3 認 証 コード 2 取 引 内 容 認 証 コード SMS 等 受 信 機 ( 携 帯 電 話 等 ) ユーザ 4 認 証 コード 2 送 金 先 情 報 3 認 証 コード スタント アローンの 専 用 HW 8
( 背 景 1) 最 近 のリテール 取 引 を 取 り 巻 く 状 況 の 変 化 1スマートフォン タブレット 等 のモバイルデバイスの 普 及 スマートフォン 等 は 従 来 のフィーチャー フォンよりも 高 性 能 で より 多 様 な 用 途 に 利 用 可 能 ( 利 用 例 ) 安 価 なカードリーダを 装 着 したスマート フォンをカード 決 済 端 末 として 利 用 (ス マホ 決 済 ) スマートフォンに 搭 載 された 生 体 認 証 で 決 済 時 の 本 人 確 認 を 行 う PC タブレット 端 末 スマートフォン 等 の 複 数 のデバイスをシチュエーションによって 使 い 分 けるユーザも(マルチデバイス 対 応 へのニーズが 発 生 ) 1 モバイル デバイス の 普 及 2アプリの クラウド 化 マルチデバイス 対 応 3 通 信 コスト の 低 下 9
( 背 景 1) 最 近 のリテール 取 引 を 取 り 巻 く 状 況 の 変 化 2アプリのクラウド マルチデバイス 対 応 複 数 のデバイスの 使 い 分 けだけでなく データをクラウド 上 で 管 理 することで どのデバイスからアクセスしてもシーム レスに 同 じサービスを 受 けることが 可 能 PCで 閲 覧 していたWebサイトの 続 きを スマートフォンで 閲 覧 再 開 する 情 報 蓄 積 ツール(Evernote) 共 有 ドライブ(Dropbox, Skydrive<One Drive>, GoogleDrive) Webブラウザの 同 期 機 能 (お 気 に 入 り 履 歴 パスワード 等 の 同 期 )< Google Chrome> icloudキーチェーン< ios7.1 >(ID/パスワード クレジットカード 情 報 等 の 同 期 ) ( 参 考 )クラウド 対 応 ソフト Baidu IME(かな 漢 字 クラウド 変 換 )=> 殆 どキーロガー 類 似? マルウエア 対 策 ソフト(クラウドベースのスキャン) 10
( 背 景 1) 最 近 のリテール 取 引 を 取 り 巻 く 状 況 の 変 化 2アプリのクラウド マルチデバイス 対 応 金 融 関 連 アプリも クラウド マルチデバイス 対 応 金 融 関 連 アプリはもともと サーバないしクラウドでの 処 理 が 前 提 のオンラインサービス 資 産 管 理 ツール MoneyFoward MoneyLook Agurippa 家 計 簿 管 理 ツール Zaim RECERECO トレーディングツール 証 券 会 社 アプリ インターネットバンキングツール 銀 行 アプリ 前 回 シンポジウムでは スマートフォン 用 のモバイルバンキング アプリの 安 全 性 を 議 論 した 11
( 背 景 1) 最 近 のリテール 取 引 を 取 り 巻 く 状 況 の 変 化 3 高 速 な 無 線 接 続 環 境 の 浸 透 ( 通 信 コスト 低 下 ) スマートフォン 使 用 時 は 常 時 接 続 が 通 常 LTE 等 高 品 質 の 通 信 環 境 WiFi 接 続 ポイントの 増 大 家 庭 内 無 線 LANの 一 般 化 12
( 背 景 2) 引 き 続 き 増 大 巧 妙 化 する 脅 威 1 脆 弱 なサイトからの 情 報 漏 洩 および 脆 弱 なサイトの 改 ざん あるサイトからのユーザの 認 証 情 報 (パスワード 等 )の 漏 えいが 別 サイトへの 不 正 ログインにつながりうる(パスワードリスト 攻 撃 ) 各 サイトに 複 雑 なパスワードを 個 々に 設 定 することは ユーザ にとって 大 きな 負 担 パスワードの 使 い 回 しが 発 生 別 サイト の 運 営 者 にとっては 自 分 の 管 理 の 範 囲 外 で 情 報 漏 えいが 生 じており 防 止 することは 困 難 脆 弱 な 正 規 サイトが 改 ざんされ 同 サイトを 閲 覧 したユーザがマ ルウエアに 感 染 ( 水 飲 み 場 攻 撃 ) 特 定 の 条 件 を 満 たすユーザのみを 狙 って 感 染 活 動 を 行 うため こうした 感 染 活 動 が 行 われていることを 検 知 しづらい 13
( 背 景 2) 引 き 続 き 増 大 巧 妙 化 する 脅 威 ( 例 )パスワードリスト 攻 撃 ( 従 来 )しらみつぶし 辞 書 攻 撃 ( 最 近 )パスワードリスト 攻 撃 攻 撃 者 ID1, PW1 ID1, PW2 URL https:// ID PW A 銀 行 脆 弱 なサイト ID, PW IDを 固 定 して 有 りがちなパスワード を 順 番 に 試 していく 攻 撃 者 ID1, PW1 ID2, PW1 URL https:// ID PW A 銀 行 攻 撃 者 有 りがちなパスワード( 例 12345678 Password ) に 固 定 して IDを 変 えて 不 正 ログインを 試 す ID1, PW1 ID2, PW2 URL https:// ID PW A 銀 行 ユーザがパスワードを 使 い 回 していることを 前 提 に あるサイト から 漏 えいしたID, PWを 使 って 別 サイトでの 不 正 ログインを 試 す 14
( 背 景 2) 引 き 続 き 増 大 巧 妙 化 する 脅 威 2 金 銭 窃 取 を 目 的 としたマルウエアの 横 行 不 審 なメールを 介 したマルウエア 感 染 ( 添 付 ファイル 不 審 なURL 等 ) マルウエアによるパスワード 漏 えい 送 金 指 示 の 改 ざん( 海 外 事 例 ) 3 金 融 機 関 を 騙 るフィッシングの 報 告 件 数 増 加 平 成 26 年 1 月 は 4,656 件 と ひと 月 で 前 年 1 年 分 を 超 えた ( 出 典 :NHK) 大 手 検 索 サイトにおいて 検 索 連 動 型 広 告 に 金 融 機 関 のフィッシングサイト に 誘 導 する 広 告 が 表 示 された 検 索 結 果 において 偽 サイトが 本 物 サイトよりも 上 位 に 表 示 される 可 能 性 15
クラウド 端 末 (PC, スマートフォン) いずれの 安 全 性 も 大 事 クラウド 不 正 アクセス インターネット ID,PWDのリストが サーバから 漏 洩 フィッシング マルウエア ユーザ 端 末 ID,PWDが ユーザ 側 から 漏 洩 (フィッシング マルウエア 等 ) 16
第 一 部 の 各 講 演 の 論 点 講 演 1 新 崎 様 スマートフォン 等 のモバイルデバイスで 生 体 認 証 が 利 用 可 能 になってきた そうした 生 体 認 証 (モバイル バイオメトリクス)には どういったものがあるのか? 従 来 のパスワード 認 証 と 比 べて モバイル 環 境 下 で 生 体 認 証 を 利 用 する 利 点 や 課 題 は 何 か? 講 演 2 鈴 木 様 クラウドに 預 けたデータ(パスワード 等 )を マ ルチデバイス 対 応 させつつ マスターパスワードで 利 用 制 御 する 用 途 を 想 定 1 短 いマスターパスワードを 利 用 した 場 合 の 脅 威 ( 全 数 探 索 )や 2 不 正 なクラウド 管 理 者 等 へのデータ 漏 えいに 対 して 安 全 な 実 現 方 法 を 検 討 講 演 3 清 藤 様 クラウドにデータを 預 け クラウド 上 で 処 理 を 行 い その 結 果 を 受 け 取 るといった 用 途 を 想 定 クラウド 管 理 者 にデータや 処 理 内 容 を 秘 匿 するために クラ ウドにデータを 暗 号 化 した 状 態 で 預 け 暗 号 化 した 状 態 のま ま 処 理 を 行 う 技 術 暗 号 化 状 態 処 理 の 動 向 を 整 理 17
( 第 二 部 :パネル)の 論 点 スマートフォン 等 を 使 ったモバイル 決 済 サービスが 一 段 と 広 がりをみせつつある 例 えば スマートフォンに 簡 単 に 接 続 できる 安 価 な カードリーダーデバイス(ドングル)を 用 いた 新 たなモ バイル 決 済 サービス 等 が 台 頭 し その 手 軽 さゆえに 多 くの 関 係 者 の 注 目 を 集 めている こうした 新 しいサービスについては 従 来 とは 異 なる 発 想 のビジネスモデルであることも 多 く その 安 全 性 が 何 を 前 提 にどのように 確 保 されているのかが 分 か りにくい ビジネス 要 件 と 絡 めてセキュリティを 議 論 し 将 来 的 なモバイル 決 済 の 在 り 方 を 模 索 したい 18
店 舗 側 でのモバイルの 利 用 モバイル 決 済 の 広 がり Square[1] 楽 天 スマートペイ[2] PayPal Here[3] Coiney[4] 顧 客 側 でのモバイルの 利 用? おサイフケータイ[5] [1] https://squareup.com/jp [2] http://smartpay.rakuten.co.jp [3] https://www.paypal.jp/jp/contents/service/paypal-here/ [4] http://coiney.com/ 顔 パス 支 払 い[6] LevelUP[7] (QRコード) [5] http://www.nttdocomo.co.jp/service/convenience/ [6] http://www.paypal.jp/jp/cp/np/ [7] https://www.thelevelup.com [8] https://en.bitcoin.it/wiki/main_page Bitcoin[8] 19
モバイル 決 済 とは モバイル 決 済 とは コンセンサスを 得 た 共 通 の 定 義 はまだ 存 在 しないと 思 われる 広 義 には 店 舗 側 の 決 済 端 末 または 顧 客 の 端 末 の 少 なくとも 一 方 において スマートフォンをはじめとす るモバイル 端 末 を 用 いた 決 済 サービス であると 考 えられる 広 義 には 下 記 を 含 む 実 店 舗 での 対 面 取 引 (インストアモバイルペイメント 近 接 型 モバイルペ イメント 等 ) インターネット 上 の 仮 想 商 店 での 非 対 面 取 引 (モバイルリモートペイメン ト Mコマース 等 ) 携 帯 電 話 を 使 った 送 金 (SMS 送 金 等 ) ここでは 実 店 舗 での 取 引 を 取 り 上 げて 各 決 済 方 法 が 登 場 し た 背 景 の 分 析 や 決 済 情 報 (カード 情 報 プリペイド 残 高 等 )の 保 管 場 所 や 処 理 場 所 に 注 目 したモデル 化 を 試 みる 20
クラウド/ サーバ 型 決 済 環 境 変 化 を 基 にした 分 析 新 たな 加 盟 店 の 開 拓 (スマホ 決 済 ) 決 済 処 理 のサーバシフト 店 舗 側 決 済 端 末 の の 変 化 シンクライアント 化 新 たな 業 種 の 開 拓 包 括 加 盟 店 として 個 々の 加 盟 店 単 位 で 異 常 ( 不 正 )を 検 知 従 来 は カート 発 行 者 が 個 々の 顧 客 単 位 で 検 知 安 価 な 決 済 端 末 の 提 供 常 時 接 続 のコスト 低 下 環 境 変 化 スマートフォン の 普 及 顧 客 側 の 変 化 従 来 の 電 子 商 取 引 がモバイル 上 でも 可 能 に 予 め アカウント(ID)に 決 済 情 報 を 紐 付 ける 本 人 確 認 のみで 決 済 決 済 情 報 を 取 引 時 に 入 力 しない (ID 決 済 ) 決 済 情 報 : クレカ 情 報 フ リカ 残 高 等 スマホ 等 への 決 済 情 報 の 格 納 NFCやQRコード 等 で 決 済 情 報 を スマホ 等 から 店 舗 端 末 に 送 る (ウォレット) 21
モバイル 決 済 に 関 わる 技 術 モバイルデバイス: スマートフォン(アプリ SIM) フィーチャーフォン 端 子 付 ICカード 非 接 触 ICカード タブレット ノートPC 通 信 チャネル: NFC IC 端 子 SMS WiFi QRコード カメラ 電 子 メール インターネット Bluetooth (LE) 赤 外 線 モバイル デバイス 通 信 チャネル 決 済 端 末 決 済 サービス 提 供 者 カード 会 社 等 顧 客 ( 支 払 者 ) 店 舗 ( 受 取 者 ) 個 人 個 人 法 人 22
受 取 側 の 変 化 スマホ 決 済 顧 客 カート (1) 決 済 情 報 (2) 本 人 確 認 スマホ ( 端 末 ) 加 盟 店 (3) 決 済 情 報 決 済 サーヒ ス 提 供 者 (4) 照 会 カード 会 社 等 加 盟 店 の 決 済 端 末 が 従 来 の 据 置 型 専 用 端 末 から スマホ+ 周 辺 機 器 (MS/ICリーダ PINパッド 等 ) 等 に 置 き 換 わった 形 態 周 辺 機 器 の 形 態 :ドングル 専 用 端 末 (Bluetooth 接 続 等 ) クラウド/サーバ 型 決 済 顧 客 カート (1) 決 済 情 報 (2) 本 人 確 認 シン クライアント ( 端 末 ) 加 盟 店 (3) 決 済 情 報 クラウド/サーバ 決 済 方 法 に 応 じた 処 理 決 済 サーヒ ス 提 供 者 カード 会 社 等 決 済 情 報 の 処 理 を 加 盟 店 の 端 末 (シンクライアント)ではなく クラウド/サーバ 上 で 実 施 原 理 的 には 加 盟 店 には 顧 客 のデバイス(カード スマホ 等 )を 読 み 取 るI/Fのみがあ ればよく クラウド/サーバ 側 のUPDATEで 様 々な 決 済 方 法 に 対 応 可 能 オンライン 環 境 が 前 提 23
ウォレット (1) 本 人 確 認 顧 客 モハ イルテ ハ イス 顧 客 (ウォレット) ID 決 済 モバイル デバイス (3) 本 人 確 認 (+ 注 文 ) 支 払 側 の 変 化 (2) 決 済 情 報 端 末 加 盟 店 (1)IDと 決 済 情 報 の 事 前 登 録 (2)チェックイン: 本 人 確 認 利 用 の 意 思 表 示 (+ 注 文 ) (3) 決 済 情 報 決 済 サーヒ ス 提 供 者 ID, 決 済 情 報 (4) 照 会 カード(MS, IC, 非 接 触 )に 格 納 されている 決 済 情 報 を モバイルデバイスに 格 納 した 形 態 ウォレット(アプリ 等 )の 起 動 時 にデバイス 上 で 本 人 確 認 例 :おサイフケータイ ISIS(アイシス 米 3キャリア 主 導 の 方 式 SIMに 決 済 情 報 を 格 納 し NFC 経 由 で 加 盟 店 端 末 に 送 信 ) 端 末 加 盟 店 (4) 確 認 済 ID 決 済 サーヒ ス 提 供 者 カード 会 社 等 (5)IDに 紐 付 いた 決 済 情 報 に 対 して 決 済 処 理 決 済 情 報 を 決 済 サービス 提 供 者 に 事 前 登 録 加 盟 店 での 購 入 時 には 本 人 確 認 のみ で 決 済 を 済 ませる 形 態 決 済 情 報 を 加 盟 店 に 必 ずしも 提 出 する 必 要 はない 加 盟 店 スタッフがカード 等 を 確 認 しないという 観 点 からは 非 対 面 取 引 とも 考 えられる チェックイン 時 に 注 文 まで 行 う 場 合 EC 取 引 を 行 い 商 品 を 自 宅 ではなく 店 頭 で 受 け 取 るイメージに 近 い 例 : 顔 パス 支 払 い 24
多 様 化 するリテール 取 引 の 安 全 性 Ⅱ ( 再 掲 ) モバイル 化 クラウド 化 を 支 える 情 報 セキュリティ 技 術 を 中 心 に 講 演 3 暗 号 化 状 態 処 理 技 術 暗 号 化 した まま 処 理 オンラインサービス (クラウド 等 ) 講 演 2 パスワード 等 管 理 技 術 暗 号 化 データ 提 サ 供 ー 者 ビ ス サーバ DB ID, 決 済 情 報 等 ECサイト モハ イルハ ンキンク サイト 加 盟 店 決 済 端 末 NFC 対 応 POS スマホ 決 済 スマホ POS 処 理 依 頼 処 理 結 果 暗 号 化 データ 本 人 確 認 ロ グ イ ン ハ ネル 決 済 情 報 決 済 情 報 データの 復 元 デバイス ユ ー ザ 生 体 認 証 モバイル ハ イオメトリクス 講 演 1 専 用 / 汎 用 アプリ NFC おサイフ ケータイ スマートフォン カート 25
管 理 機 関 が 存 在 しない 決 済 P2P 型 M2M 型 決 済 Bitcoin 等 の 仮 想 通 貨 / CryptCurrency 26
ポイント: 使 われている 技 術 や 環 境 オンライン/オフライン リアル 店 舗 /バーチャル 店 舗 物 理 媒 体 あり/なし ICカード/ 磁 気 カード/QRコード 位 置 確 認 技 術 (Geofence) GPS/Bluetooth/ 音 /NFC 個 人 間 送 金 可 否 (C2Cでの 利 用 ) 個 人 も 加 盟 店 になれる ID 決 済 ( 生 体 認 証 顔 パス 支 払 い) 加 盟 店 が 決 済 情 報 (カード 情 報 等 )を 扱 う 必 要 がない 27
金 融 機 関 へのメッセージ(1) 近 年 の 革 新 的 なIT 技 術 として クラウドやスマートフォン タブレット 等 のキーワードが 大 事 である 金 融 サービスとの 関 連 には 注 意 が 必 要 マルウエアはますます 巧 妙 化 し(PCごとの 異 なるマルウエアの 動 的 生 成 等 ) マルウエア 対 策 ソフトでの 検 知 には 限 界 がある マルウ エア 感 染 を 前 提 にどう 対 処 したら 良 いかを 考 えることが 必 要 金 融 機 関 の 事 案 発 生 に 備 えた 組 織 対 応 は 進 んできた(メガバンク がCSIRTを 保 有 するに 至 った) さらにこうした 動 きが 広 まることを 期 待 する 今 後 は 事 案 発 生 後 何 が 起 こったかを 正 しく 理 解 し 対 外 的 にも 説 明 できるように 事 後 対 応 としての 証 拠 保 全 も 重 要 であろ う 学 界 と 実 務 の 橋 渡 しは 依 然 として 重 要 学 界 では 研 究 成 果 が 実 用 レベルに 達 しているのに 適 用 事 例 を 見 つけられな いケースあり 一 方 実 務 界 では 実 務 で 適 用 できる 優 れた 技 術 があるのにそ れを 知 らないため 安 全 性 やコスト 面 で 損 をしている 可 能 性 もあり 28
金 融 機 関 へのメッセージ(2) パスワードは 限 界 に 近 付 きつつあるとの 意 見 があるが その 利 便 性 を 勘 案 すると 当 面 の 間 は 補 完 的 な 位 置 づけであっても 無 くなることはないと 思 われる ただし 何 らかの 工 夫 が 必 要 であ り 例 えば 複 数 の 端 末 を 使 った2 段 階 認 証 はスタンダードになり つつある 最 後 に 本 シンポジウムの 本 題 ではないが 新 しい 技 術 やアイ デアを 使 って 金 融 機 関 抜 きでグローバルに 金 融 サービスが 展 開 されるようになってきている 金 融 機 関 としてどうすべきか? 仮 想 通 貨 :Bitcoinのような 新 しい 仮 想 通 貨 CryptoCurrenciesが 出 現 してき たが 今 後 どのような 形 で 金 融 機 関 のサービス( 決 済 送 金 )に 影 響 する か 予 想 することは 難 しい が CryptoCurrencies の 経 済 学 および 情 報 学 的 研 究 は 爆 発 的 な 勢 いで 進 みつつあり 注 視 が 必 要 であろう クラウドファンディング kickstarter 等 ソーシャルレンディング(Person2Person Lending) 29