金融機関の統合認証の事例

オンラインバンキングやフィンテックサービスの普及に伴い、金融機関のセキュリティ対策は重要性が高まっています。本記事では、金融機関における統合認証の導入状況や求められる要件について解説します。

金融機関に統合認証システムが必要な理由

日本ネットワークセキュリティ協会（JNSA）の調査によると、金融機関への不正アクセス事案は増加傾向にあり、フィッシング詐欺やパスワードリスト型攻撃による被害が相次いでいます。IDとパスワードのみの認証では防御が困難であり、金融庁の調査でも銀行口座と決済サービスを連携する契約の多くで多要素認証（MFA）が導入されています。

しかし、業務システムやクラウドサービスが増加する中、個別に多要素認証を設定するだけでは管理が煩雑になり、かえってセキュリティの抜け漏れを生む恐れがあります。

そのため、金融機関には単なる多要素認証の導入にとどまらず、社内外のあらゆるシステムへのアクセスを紐付け、一元的にIDを管理する「統合ID管理」や「SSO」を含めた『統合認証システム』全体の整備が求められています。

統合ID管理×金融機関の事例

オンプレミスとクラウドのID管理を一本化｜三井住友ファイナンス＆リースの事例

三井住友ファイナンス＆リースは、事業買収に伴うシステム統合において、オンプレミスとクラウドが混在する環境のID管理基盤として「Okta」を導入しました。従来は組織変更のたびにExcel台帳を用いて手作業でID更新を行っていましたが、OktaをIDマスタとしActive Directoryへユーザーを自動同期する仕組みを構築。ID管理プロセスの完全自動化により、運用負荷の大幅な削減とセキュリティ強化を実現しています。

日々のID管理作業を「1時間から5分」へ大幅短縮｜近畿労働金庫の事例

近畿労働金庫は、メールやワークフローなど増加する社内システムの運用負荷を軽減するため、ID統合管理システム「EntryMaster」を導入しました。従来は手動でのデータ加工や個別の連携スクリプト開発が必要でしたが、新システムではActive Directory等との複雑なデータ連携をほぼすべて自動化。毎日1時間かかっていたIDのメンテナンス作業がわずか5分で完了するようになり、人事異動時の深夜残業も解消されました。

SSO（シングルサインオン）×金融機関の事例

SAML非対応アプリの壁を越えSSOを実現｜福岡ひびき信用金庫の事例

福岡ひびき信用金庫は、認証基盤のクラウド移行に伴い、SAML認証に未対応のレガシーな業務アプリへの連携が課題となっていました。そこでクラウド認証サービス「Soliton OneGate」を導入することで、SAML非対応のアプリを含む約30種類の業務アプリへのSSOを実現しました。デジタル証明書とWindows Helloの生体認証を組み合わせることで、職員を煩雑なパスワード管理から解放し、生産性向上と強固なセキュリティを両立させています。

多要素認証（MFA）×金融機関の事例

証券業界初となるIDaaS採用で多要素認証を導入｜カブドットコム証券の事例

カブドットコム証券（現：auカブコム証券）は、社内ユーザーのアクセス権限管理を強化するため、日本の証券企業として初めてIDaaSの「OneLogin」を採用しました。社内のActive Directoryと同期させ、ログイン時には多要素認証を併用。OneLoginから社内ADへログイン認証の可否を確認する仕組みを取り入れたことで、変更・失効したユーザーによるアクセスを確実に遮断し、安全性の高いシステムを構築しています。

投資情報アプリにスピーディで安全な顧客認証を実装｜野村證券の事例

野村證券は、自社が提供する投資情報アプリ「FINTOS!」において、安全な顧客認証と利便性の向上を両立させるため、グローバルで実績のあるIDaaS「Auth0」を導入しました。金融業界が定める厳しいセキュリティ基準に準拠しつつ、スピーディな認証基盤を短期間で実装。顧客に対して安全な多要素認証・利用者認証を提供することで、タイムリーな投資情報の配信を支えています。

金融機関が統合認証システムを導入する際の要件

金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」等に基づき、金融機関が統合認証システムを整備する際には、主に以下の要件を満たすことが重要です。

認証の3要素をカバーする認証方式

金融機関の多要素認証では、以下の3要素から少なくとも2つ以上を組み合わせることが求められています。

• 知識情報：パスワードや暗証番号など、利用者が知っている情報
• 所持情報：ICカードやスマートフォンなど、利用者が所持している機器
• 生体情報：指紋や顔認証など、利用者固有の生体的特徴

特に、取引金額が大きい場合や機密性の高い操作を行う場合には、複数要素を組み合わせた厳格な認証手段の導入が望まれます。

リスクベースド認証の導入

金融庁が公表している「金融機関におけるサイバーセキュリティ対策の向上に向けた取組方針」によると、取引のリスクレベルに応じて認証強度を変えるリスクベースド認証の導入が促進されています。

具体的には、以下のような要素に基づいてリスク評価を行い、認証方法を切り替えるなどの対応が求められます。

• アクセス元IPアドレスの変更
• 普段と異なる時間帯のログイン
• 過去に利用していない端末からのアクセス
• 通常とは異なる取引パターン
• 高額な資金移動

認証データの保護対策

同じく金融庁の取組方針では、認証情報の保護対策として以下の点が挙げられています。

• パスワードなどの認証情報は暗号化処理を施したうえで保管
• 認証情報を格納するデータベースへのアクセス制限
• 定期的な認証情報の変更を促すための仕組み
• 不正アクセス検知システムの導入

これらの対策により、認証情報が漏洩した際の影響を抑制する効果が期待されます。

多要素認証で金融機関のサイバーセキュリティを確保しよう！

金融機関の大切な情報資産や顧客データをサイバー攻撃から守るためには、多要素認証の導入だけでなく、統合ID管理やSSOを組み合わせたシステマチックな運用が不可欠です。技術の進化に合わせて認証方式を見直し、継続的に適したセキュリティレベルの維持に努めましょう。

多要素認証の仕組みや、おすすめのソリューションについてさらに詳しく知りたい方は、ぜひ以下のページもあわせてご覧ください。

多要素認証
システム・ソリューション
おすすめ製品を見る