公開日: |更新日:
オンラインバンキングやフィンテックサービスの普及に伴い、金融機関のセキュリティ対策は重要性が高まっています。本記事では、金融機関における多要素認証の導入状況や求められる要件について解説します。
日本ネットワークセキュリティ協会(JNSA)によると、金融機関への不正アクセス事案は2020年から2022年にかけて約40%増加しています。特にフィッシング詐欺やパスワードリスト型攻撃による被害が報告されており、ID・パスワードのみの認証では防止が困難な状況です。
参照元:日本RA株式会社(https://www.nrapki.jp/blog/blog20210126/)
2020年に金融庁が公表した調査結果によると、銀行口座と決済サービスを連携した契約の約7割に多要素認証が導入されています(※)。ただし一要素認証しか導入していない金融機関も存在しています。例えばパスワードと秘密の質問の組み合わせでは一要素認証(知識認証)となり、セキュリティの脆弱性が高いです。
※参照元:【PDF】金融庁「「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」の調査結果について」
(https://www.fsa.go.jp/news/r2/ginkou/20201225/01.pdf)
EU加盟国の金融機関では、PSD2(改正決済サービス指令)に基づき、生体認証や物理トークンを組み合わせた多要素認証が一般的になりつつあります。
日本でも、国際的な基準に合わせた認証に関する対策の強化が促されています。
金融機関がセキュリティ対策として多要素認証を導入する際には、以下のような要件が必要とされています。
金融機関の多要素認証では、以下の3要素から少なくとも2つ以上を組み合わせることが求められています。
特に、取引金額が大きい場合や機密性の高い操作を行う場合には、複数要素を組み合わせた厳格な認証手段の導入が望まれます。
参照元:サイバートラスト(https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/security-guideline.html)
金融庁が公表している「金融機関におけるサイバーセキュリティ対策の向上に向けた取組方針」によると、取引のリスクレベルに応じて認証強度を変えるリスクベースド認証の導入が促進されています。
具体的には、以下のような要素に基づいてリスク評価を行い、認証方法を切り替えるなどの対応が求められます。
参照元:【PDF】金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」(19-20ページ)(https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf)
同じく金融庁の取組方針では、認証情報の保護対策として以下の点が挙げられています。
これらの対策により、認証情報が漏洩した際の影響を抑制する効果が期待されます。
参照元:【PDF】金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」(19-20ページ)(https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf)
金融機関における多要素認証の導入は、サイバー攻撃からお客様の大切な資産を守るために重要な対策の一つとされています。ID・パスワードによる単純な認証から、生体認証や物理トークンなどの複数要素を組み合わせた認証方式へ移行することで、不正アクセスのリスク軽減が期待されます。
今後も技術の進化に合わせて認証方式を見直し、継続的に適したセキュリティレベルの維持に努めることが求められます。金融機関の担当者の方は、自社のセキュリティ体制を再確認し、必要に応じて多要素認証の強化を検討しましょう。
多要素認証の基本から近年の動向までさらに詳しく知りたい方は、以下のページも併せてご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
