FinTech(フィンテック)で劇的に変わる金融サービス~経営の最優先事項となるセキュリティー~
FinTech(フィンテック)サービスを提供する金融機関や事業者にとって、セキュリティーは経営の最優先事項となります。
FinTech(フィンテック)におけるセキュリティーを考える上では、「システムを守る技術」と「正確な本人確認を行うための技術」とに大別することができます。
リアルな正解に置き換えてみると、銀行の支店やATM、現金輸送車などを外部の悪意ある侵入者から守る技術が前者に当たり、窓口で本当に取引しようとしている人が本人であるかを運転免許証などで本人確認する技術が後者に当たります。
前者はいかなる業種、業界にも求められるものですが、命の次に大事とされる資産を扱う金融機関には、よりいっそうの堅牢性が要求されます。
この部分については、専門家による書籍が数多く出版されていますし、セキュリティーの強度を高める取り組みはFinTech(フィンテック)の前からよく取り上げられているテーマの一つでもあります。
FinTech(フィンテック)1.0のフェーズでは、金融機関の窓口における印鑑や暗証番号での本人確認に値していたのは、ネット上でユーザーが入力するIDとパスワードでした。
窓口では振込金額が一定以上の金額になると本人確認のために運転免許証などの本人確認書類の提示を求められますが、FinTech(フィンテック)1.0でそれに相当するのは、ワンタイムパスワードや乱数表などでした。
ワンタイムパスワードとは、スマートフォンや専用のデバイスでサービスを使うたびに新しいパスワードを発行し、それが正しく入力された場合に本人確認が担保されたと判断するものです。
乱数表は、事前に配付された乱数を表示する紙などから、一定の組み合わせを聞くことで、「本人しか知らない情報」という確認作業を担保していました。
しかしこれでも、IDと発効される文字列を知り得る立場にいる人なら誰でも、”本人”になりすませます。また、ワンタイムパスワードの仕組みはユーザーに多大な手間をかけさせるものですし、乱数表はそれ自体が盗まれてしまうと意味のないものとなてしまいます。
そこで、セキュリティーと利便性を向上させるため、その人しか持っていないものをパスワードの代わりに使う試みが始まっています。
パスワードの代わりに本人の身体の一部を使う”生体認証”
まず、その人しか持っていない、ユニークなものとして真っ先に浮かぶのが身体です。指紋や静脈などを使う生体認証はATMでも導入されていますが、インターネットを介する場合はスマートフォンのカメラやマイクを用います。
カメラを用いる例の1つが、クレジットカード大手のマスターカードが採用したセルフレポート、いわゆる自撮りを使った本人確認です。買い物をする際に暗証番号を入力する代わりに、自分の写真を撮って送ることで、本人確認をするというものです。
米EyeVerify(アイベリファイ)では、目の部分のアップを撮影すると、その白目の部分を解析し、本人確認を行うサービスを提供しています。
■スマートフォンで撮影した目の部分で本人確認するEyeVerify(アイベリファイ)・・・http://www.eyeverify.com/
目を使った本人確認には網膜や虹彩のパターンを解析するものもありますが、スマートフォン付属のカメラではそこまでの精度で撮影できないので、白目のパターンを使うものが開発されたのです。
声を使うものもあります。オランダの金融機関ING(アイエヌジー)は、自社のオンラインバンキングに、米Nuance Communications(ニュアンスコミュニケーションズ)が開発した声紋認証ソリューション「Nina(ニーナ)」を導入しました。
電話の音質で本人確認をする試みは、米Pindrop Security(ピンドロップセキュリティー)も進めています。同社は2016年1月、米Google(グーグル)が出資するベンチャーキャピタルであるグーグルキャピタルから7,500ドル(約90億円)の出資を受けています。
もう1つ、本人しか持っていないものがあります。それは個人的な記憶です。
パスワードを忘れたときに使うパスワードリマインダーではよく「母親の旧姓は」「卒業した小学校の名前は」などと、個人的な情報をあらかじめ登録させておき、その質問に対する答えが正解だった場合、本人であると認めています。
しかしこれは、誕生日が正しく答えられれば本人確認がなされたと見なすのと同様に危険です。これらはソーシャルハックされらば、簡単に第三者に知られてしまう情報です。こういった情報は、今や誰もが知るものだと考えた方が良いでしょう。
しかし、自分のパソコンやスマートフォンに保存されている、ある集合写真の右から2番目の人は誰なのか、ある写真に写っている部屋はどの町に住んでいた時のものなのかなど、文字にしにくい情報はあまりソーシャルハックされません。
こういったエピソード記憶に基づいて自分専用クイズを作り、それを複数組み合わせて本人確認する方法があります。
また、「OAuth(オーオース)認証」を使い、本人確認はより信頼できる別の機関に任せるという方法もあります。
様々なウェブサービスやアプリを使う際に、「このサービスはFacebook(フェイスブック)のアカウントでログインできます」などといった文言を目にした方も多いかと思います。
こういったサービスを提供する組織では、ログインに際する本人確認をFacebook(フェイスブック)に委譲することにより、その正確性をFacebook(フェイスブック)レベルにまで引き上げようとするものといえます。
その理由は次のような仕組みで行われます。
Aというサービスを利用しようとしたら、Facebook(フェイスブック)のサイトに誘導されたとします。そこでは「Aを使いたければFacebook(フェイスブック)にログインしてください」という文言が表示されています。
ユーザーがログインすると、Facebook(フェイスブック)からAというサイトに「この人は確かにFacebook(フェイスブック)上のユーザーで、アクセス権限をAに付与しています」と知らせます。
すると、A側のその人は以後、Facebook(フェイスブック)からの通知をもって、アカウントを持つ本人だと認証します。このように、本人に直接ではなく、ほかのサービスでの認証結果を経由して自サービスの認証を行うことを、OAuth(オーオース)認証と呼ぶのです。
既にOAuth(オーオース)認証はSNSなど様々なウェブサービスやアプリで使われています。
今後、金融機関がFinTech(フィンテック)企業に対してAPI(Application Programming Interface)を提供していく際に、例えば金融機関のOAuth(オーオース)認証を外部のアプリ会社などで利用できるようになると、ユーザーの利便性が一層向上することになるでしょう。
