オンラインゲーム スマートフォンゲームの ムの JOGAセキュリティシステムについて 2011 年 11 月 サードネットワークス 株 式 会 社 Page 1
JOGAとは 日 本 オンラインゲーム 協 会 は オンラインゲーム 市 場 やオンラインゲームから 派 生 したソーシャルゲーム 等 新 しいゲームサービスビジネスの 更 なる 発 展 のため オンラインゲームビジネスに 関 わる 企 業 が 共 にオンラインゲーム 産 業 およびIT 産 業 の 振 興 と そのための 啓 発 認 知 向 上 活 動 調 査 研 究 活 動 情 報 交 換 などを 通 し 経 済 社 会 の 発 展 国 民 生 活 など 広 く 公 益 の 増 進 に 寄 与 するために 活 動 しています 正 会 員 23 社 準 会 員 16 社 賛 助 会 員 2 社 URL http://www.japanonlinegame.org/ Page 2
システム 立 ち 上 げの 背 景 < 社 会 的 背 景 > RMT(リアルマネートレード)を 原 因 とするハッキングの 急 増 2008 年 から2009 年 にかけて 全 国 の 警 察 署 への 被 害 届 け 急 増 < 警 察 庁 生 活 安 全 局 の 要 望 > PC 上 での 本 人 確 認 と 安 全 なID パスワードが 発 行 できるシステムの 実 現 共 通 認 証 基 盤 のニーズの 高 まり <JOGA 会 員 会 社 からの 要 望 ;2009 年 6 月 実 施 のアンケート 結 果 > 不 正 ユーザー 防 止 のための 共 通 した 認 証 システムの 構 築 不 正 課 金 防 止 のための 共 通 したセキュリティシステムの テ 構 築 <JOGAにおける 状 況 > アカウントハッキング 被 害 にあった 100% サーバーへの 不 正 アクセスにあった 80% 不 正 課 金 の 被 害 にあった 87% Page 3
最 近 のアタック 状 況 リスト 型 アタックの 猛 威 ID/PWのリストに 基 づくアタック ユーザーは 同 一 ID/PWを 複 数 サイトで 使 う 傾 向 があり CPでの 対 策 が 困 難 2009 年 ごろから 急 増 多 いところでは200,000 件 以 上 / 月 のアタックも! 某 社 における 調 査 (2011 年 8 月 3 日 ~5 日 ) アタック 総 数 2,522 回 ;2,469ID 2,430ID(98.4%)がログインに 成 功 対 策 1,545IDのパスワードを 強 制 変 更 IPとプロバイダの 変 更 を 実 施 結 果 しかしIDの 強 制 変 更 を 実 施 しても 再 度 被 害 にあう CPとユーザーのメール 等 の 連 絡 手 段 もアタックされていると 推 測 固 定 ID/PWの 限 界 を 露 呈 Page 4
オンラインゲーム 業 界 におけるセキュリティ 事 故 セキュリティ 強 化 の 必 要 性 ID 詐 取 による 本 人 なりすまし=ゲームサイトへのログイン 時 の 認 証 リスク 他 人 になりすまして 他 人 のゲーム 上 のプロパティを 売 却 善 良 なユーザーのゲームサイト 離 れが 発 生 アカハク 被 害 の 補 填 に 対 する 手 当 偽 造 カードによる 不 正 課 金 =カード 決 済 時 の 認 証 リスク ゲーム 利 用 代 金 を 偽 造 カードで 支 払 い カード 会 社 からのゲーム 利 用 代 金 を 回 収 不 能 (3-D Secureに 加 入 しているのにチャージバックが 発 生 ) セキュリティ 強 化 は 経 営 上 の 課 題 売 上 減 少 リスク コスト 増 大 リスク 売 掛 金 未 回 収 リスク 業 界 のニーズに 応 えるためには セキュリティ 強 化 だけでなく 強 固 なセキュリティと 連 携 した 決 済 システムとの 連 動 更 にセキュリティが 破 られたときの 補 償 が 必 要 Page 5
警 察 庁 の 指 導 と 反 応 警 察 庁 広 報 資 料 (2010 年 3 月 4 日 ) 不 正 アクセス 防 御 上 の 留 意 事 項 アクセス 管 理 者 の 講 ずべき 措 置 ワンタイムパスワード 等 により 個 人 認 証 を 強 化 する 警 察 の 今 後 の 対 応 事 業 者 への 働 き 掛 け オンラインゲーム 事 業 者 インターネット 銀 行 等 に 対 しては 個 人 認 証 方 法 等 の 改 善 を 要 請 する Page 6
JOGAセキュリティシステムの 特 徴 オンラインゲーム 会 社 のニーズと 警 察 庁 の 要 請 と 指 導 を 反 映 して JOGAセキュリティシステムが2010 年 3 月 に 稼 動 開 始 共 通 認 証 基 盤 共 通 基 盤 参 加 CPのゲームを 一 つのワンタイムパスワードトークンで 認 証 強 固 な2 要 素 認 証 世 界 で 最 も 多 く 使 われているワンタイムパスワード 認 証 を 採 用 認 証 トークンは 携 帯 電 話 (スマートフォン ガラケー) 低 廉 なCAPEX OPEX SaaS 方 式 でCPのシステム 投 資 はゼロ CP 各 社 はトークンの 在 庫 負 担 や 引 き 取 り 責 任 を 一 切 なし ユニークID 数 による 課 金 認 証 + 補 償 のダブルガード 充 実 のカスタマサポート 補 償 のついた 決 済 (オプション) ユーザーニーズに 立 脚 した Page 7 従 来 のワンタイムパスワードソリューションの 概 念 を 覆 す 発 想 によるサービスと 運 営
マスコミの 反 応 Page 8
共 通 認 証 基 盤 CP 各 社 のコスト 負 担 の 軽 減 認 証 システムの 投 資 コストがCP 各 社 単 体 には 負 担 が 大 きい CP 各 社 単 体 で 保 険 の 加 入 は 困 難 ;アカハク 補 償 に 対 する 原 資 の 問 題 ゲームユーザーの 利 便 性 の 追 求 ユーザーは 複 数 のCPを 利 用 しており 各 CPがバラバラのシステムでは ユーザーのコスト 負 担 やトークン ID PWの 管 理 が 煩 雑 業 界 独 自 の 認 証 強 化 と 決 済 スキームを 待 望 する 声 Page 9
ワンタイムパスワード 認 証 とは 世 界 で 最 も 広 く 採 用 されている2 要 素 認 証 30 秒 ごとに 使 い 捨 てのパスワードを 生 成 強 固 な2 要 素 認 証 ワンタイムパスワード 認 証 携 帯 アプリによるワンタイムパスワード 認 証 通 信 に 拠 らないので 安 全 でコスト 0 ガラケー;3キャリア 対 応 スマートフォン iphone android ハードウェアトークンも 対 応 可 能 Amazonでゲームユーザーが 直 接 購 入 CP 各 社 のトークンの 在 庫 責 任 j 引 取 責 任 なし Page 10
利 用 者 2OTP 発 行 password 206869 1ログイン 画 面 表 示 3 認 証 ユーザID : matana 固 定 パスワード : bbbbb OTP : 206869 6ログイン 完 了 CPサイト 強 固 な2 要 素 認 証 認 証 の 仕 組 み ユーザ シリアル 固 定 ID 番 号 パスワード takada 00100001 Aaaaa matana 00100002 bbbbb 4 IDと 固 定 パスワードチェック matana + bbbbb 5OTP 認 証 シリアル 番 号 : 0010002 OTP : 206869 JOGAセキュリティシステム OTP 認 証 サーバ Page 11
低 廉 なCAPEX OPEX SaaS 方 式 によりシステム 投 資 ゼロ トークンの 在 庫 責 任 買 取 責 任 ゼロ 課 金 体 系 ;ユニークIDに 対 する 課 金 CP 各 社 の 月 次 利 用 者 実 数 に 対 する 課 金 同 一 利 用 者 が 当 該 月 に 複 数 回 ログインにOTPを 利 用 しても 重 複 カウントなし 従 来 ソリューションでは 自 社 で 認 証 サーバーを 持 ち トークンの 買 取 が 必 要 Page 12
認 証 + 補 償 のダブルガード 損 害 保 険 によるアカハク 事 故 を 担 保 ( 当 社 のシステムの 瑕 疵 に 起 因 するアカハク 事 故 ) 年 間 10 億 円 まで 補 償 ( 免 責 0 円 ) JOGAセキュリティシステムの 加 入 により 1 技 術 的 に 万 全 なアカハク 対 策 2 万 一 の 事 故 時 のアカハク 補 填 費 用 の 原 資 の 確 保 Page 13
充 実 のカスタマサポート 本 人 認 証 に 関 わるカスタマサポートは すべてソリューションプロバイダにて 対 応 オンラインゲーム 会 社 は 対 応 不 要 土 日 祝 日 を 問 わず24 時 間 365 日 対 応 Page 14
補 償 のついた 決 済 (オプション) 決 済 トランザクションに 対 する 補 償 JOGAセキュリティシステムでOTP 認 証 した 決 済 トランザクションは JOGAセキュリティシステムの 補 償 対 象 *JOGAセキュリティシステムの 瑕 疵 に 起 因 する 事 故 が 保 険 金 支 払 対 象 ソフトバンクペイメントサービス 社 とのタイアップによるサービス 仮 想 通 貨 サービス(ゲーム 通 貨 ゲームポイント) 発 行 運 営 管 理 サービス( 資 金 決 済 法 対 策 )との 連 携 JOGAセキュリティシステムでOTP 認 証 した 仮 想 通 貨 のトランザクションは JOGAセキュリティシステムの 補 償 対 象 *JOGAセキュリティシステムの 瑕 疵 に 起 因 する 事 故 が 保 険 金 支 払 対 象 仮 想 通 貨 の 購 入 だけでなく 仮 想 通 貨 の 消 費 も 補 償 対 象 ゲームユーザーは 安 心 して 仮 想 通 貨 をチャージし 貯 めることが 可 能 ソフトバンクペイメントサービス 社 とのタイアップによるサービス Page 15
導 入 実 績 JOGAセキュリティシステム 導 入 企 業 における (=すべてのワンタイムパスワードユーザーにおける)アカハク 事 故 ゼロ Page 16
導 入 事 例 2009 年 12 月 ゲーム 業 界 初 SecureOTP 導 入 Page 17
導 入 事 例 2010 年 4 月 SecureOTP 導 入 Page 18
導 入 事 例 2010 年 12 月 SecureOTP 導 入 Page 19
今 後 の 課 題 ユーザーにおけるセキュリティ 意 識 の 醸 成 警 察 庁 や 監 督 官 庁 との 連 携 の 展 開 業 界 団 体 CPにおける 啓 蒙 活 動 ワンタイムパスワードの 操 作 性 の 向 上 シークレット 認 証 認 証 後 のサービスとの 連 携 Page 20
お 問 い 合 わせ 先 JOGA 事 務 局 ; 川 口 kawag@japanonlinegame.orgorg 03-3780-4760 サードネットワークス( 株 ); 雨 宮 ame@thirdnetworks.co.jp 03-3500-3030 Page 21
ご 清 聴 頂 き ありがとうございました Page 22