2017年9月12日8:05
個人向けには絵柄を用いた「スーパー乱数表」をいち早く導入
しんきん情報システムセンターは、信用金庫業界向けに「しんきんインターネットバンキングシステム」を提供している。同社では、ワンタイムパスワードを利用した二要素認証およびトランザクション署名を含めたオンライン取引サービスのセキュリティを強化し、2017年3月13日から、ハードウェアトークンやスマートフォンアプリを用いるインターネットバンキング用ワンタイムパスワード認証を導入した。また、個人の利用者に対しては、バンクガードの絵柄を使った個人認証システム「スーパー乱数表」を提供している。
法人・個人にワンタイムパスワード、トランザクション認証を提供
個人向けのスーパー乱数表は50種類から選択可能に
しんきん情報システムセンターは、信用金庫業界における全国信用金庫データ通信システムやCDオンライン提携システム等の独自のオンラインネットワークシステムの開発を行うとともに、全国で250以上の信用金庫が共同利用している「しんきんインターネットバンキングシステム」や「投信窓販共同システム」など各種システムサービスを提供している。
同社では、信用金庫向けにセキュアなインターネットバンキングのサービスを提供。インターネットバンキングは、さまざまなセキュリティレベルに対応できるように、認証強化を進めている。その中で、利用するインターネットバンキングシステムは、ハード・ソフトウェアのワンタイムパスワード、トランザクション認証など、信用金庫が好きなソリューションを選べるようにしている。
二要素認証については以前からサービスとして強化している。10年前に、他の金融機関がIDとパスワードが盗まれてインターネットバンキングでの不正送金が発生したことを受け、法人IDとパスワードは電子証明書方式を導入し、個人については乱数表で対応した。3年前から犯罪の手口が高度化したことを受け、個人についてもワンタイムパスワード、トランザクション認証を提供するとともに、バンクガードの絵柄を使った個人認証システム「スーパー乱数表」を開始している。
「スーパー乱数表」は、ランダムに配置された「画像」を活用するのが特徴で、ワンタイムパスワードのトークンに比べ、コストを抑えることができる。また、ハードウェアトークンは電池交換があるが、その必要もない。ただ、ワンタイムパスワードはパスワードの生成は無限に可能だが、しんきん情報システムセンターが提供するスーパー乱数表は50種類から選択となっており、仮に絵柄を全部盗まれてしまったら、悪用されるリスクは残るという(スーパー乱数表は法人非対応)。
ワンタイムパスワードについては、2016年2月からシマンテック社のサービスを採用していたが、トランザクション署名に対応していなかった。そのため、2017年3月13日から、そのインターネットバンキングシステムを再構築し、ジェムアルト(Gemalto)のワンタイムパスワードを利用した二要素認証およびトランザクション署名を含めたオンライン取引サービスのセキュリティを強化している。今後、新規の導入に関しては、ジェムアルトのサービスを利用することとなる。
ジェムアルトのワンタイムパスワード認証ソリューションは、しんきん情報システムセンターが運用する共用認証システムと、各信用金庫の利用者に配布されるクライアント用認証デバイスで構成されている。ジェムアルトは、認証のためのオープン規格であるOATH(オース)に基づくソフトウェア開発キット(SDK)を提供し、しんきん情報システムセンターの認証サーバに対するワンタイムパスワードの検証機能追加および各認証デバイスのカスタマイズ支援を行った。
4つの認証デバイスを用意
法人はハード、個人はソフトウェアを好む傾向に
認証デバイスは、キーホルダー型トークン、電卓型トークン、カード型、モバイル・アプリの4つを用意。各信用金庫は、企業のニーズに応じて、最適な認証ソリューションを選択して配布可能だ。
「法人の方にはハードウェアトークンの人気があります。また、ハードウェアトークン、モバイル・アプリ双方を導入可能です。ワンタイムパスワードはどれを選んでもいいですが、キーホルダー型に比べ、電卓型、カード型は値段が高いです。ただ、カード型はカードケースに入れることができるため、持ち運びに便利です。電卓型はトランザクション認証に対応しており、将来導入を検討されている信用金庫は選択されています」(しんきん情報システムセンター システムサービス第二部 部長 大城徹氏)
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりしんきん情報システムセンター事例の一部を紹介)
