［米国］
政府の新ガイドラインだけではオンライン・バンキングの脅威は防げない──アナリストが警告

（2006年11月27日）

　米国のITマネジャーやアナリストによると、オンライン・セキュリティの強化に取り組む金融機関は、来年1月1日から施行されるエンドユーザー認証に関する米国政府の新ガイドラインを見据えた対策が必要になるという。

　連邦金融機関検査協議会（FFIEC）が昨年策定したこのガイドラインは、身元情報の盗難など、さまざまなタイプの不正行為からオンラインの顧客を守るため、強力な認証手段を導入するよう銀行や信用組合に求めている。

　米国ガートナーのアナリスト、アビバ・リタン氏は、FFIECがガイドラインを策定したことで、金融サービス業界がオンライン・セキュリティの問題に注意を向けるようになったと評価している。

認証機能は“特効薬”にあらず

　しかし、パーダ連邦信用組合のCIO（最高情報責任者）、メリッサ・オークター氏は、「（強力な認証機能を導入したからといって）問題解決の決め手になるわけではない。認証機能は出入り口を守る手段にすぎず、顧客の資産を守るためには、包括的なアプローチの中でさらに強力な対策を講じる必要がある」と指摘する。

　パーダでは今年11月初頭に、米国バイオパスワードが開発した多因子認証ツールの導入を完了した。このツールは、標準的なログイン信用証明情報とユーザーのキーボード入力リズムに関する情報を組み合わせることで、ユーザーの口座に対するアクセスを管理する。なお、オークター氏によるとパーダではほかにも、トランザクション・レベルの不正行為を監視する機能を含む一連の防衛システムの導入も検討しているという。

　ウィスコンシン大学信用組合は、ログイン中にオンライン・ユーザーを認証し、トランザクション段階でもある程度認証を行えるようにするため、昨年から米国コリリアン製の認証ソフトウェアを利用している。同信用組合のインターネット・サービス担当ディレクター、エリック・バンガーター氏は、同ソフトウェアを導入したことで、ユーザーが使用しているシステムとオンライン上での行動に関するプロファイルを作成し、通常と異なる動きが検知された場合に、本人しか知りえないような身元確認情報を追加で質問できるようになったと語っている。

　バンガーター氏によると、同信用組合は、「アウト・オブ・バンド方式」によるより強力な認証プロセスの追加も計画しているという。この認証プロセスは、口座所有者の身元確認を行った際に疑うべき何らかの事由が残っていた場合、その人物に対して自動的に電話をかけるというものである。

　バンガーター氏は、このような認証プロセスを追加する理由として、本人しか知りえない質問を出すという、これまで最も強力とされていた認証機能を破る方法が、フィッシング詐欺犯の間でついに発見されたことを挙げている。同氏は、「本人しか知りえない質問を使った身元確認機能は今後、セキュリティ強化に役立たなくなるため、完全に廃止したいと考えている」と語る。

　FFIECのガイドラインによると、銀行と信用組合は、年内に単因子認証プロセス（通常、ユーザー名とパスワードをベースにしたもの）を増強するのが望ましいとしている。

　このガイドラインは正式な命令ではないが、FFIECは来年以降、金融機関の監査を実施し、ガイドラインの順守状況を調査する予定だ。

　米国ジャベリン・ストラテジー＆リサーチのアナリスト、ドン・ファン氏によると、オンライン詐欺犯は、一部の銀行が新たな認証機能として導入し始めている1回限り有効なパスワードを破る方法をすでに発見しているという。

　ファン氏は、FFIECのガイドラインが銀行に求めているのは、基本的にフロントエンドのアクセス管理であるとして、「これだけでは顧客の安全を十分に確保することは難しい。金融機関は目標をもっと高く設定すべきだ」と指摘する。同氏は、ログイン時や、アカウント所有者がオンラインで行う作業をリアルタイムに監視することが可能なリスク評価／警報機能の導入を勧告している。

　エント連邦信用組合のIT担当バイスプレジデント、チャッド・グレーブス氏は、FFIECのガイドラインについて、「フィッシングなど、昨今問題になっている脅威に対処するには十分かもしれないが、電子手形交換や電信送金などのトランザクションを守る場合には、トランザクション・レベルの管理機能を追加する必要がある」との見解を示している。

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)