個人インターネットバンキングシステムの概要
日本における個人インターネットバンキングサービスは、平成9年頃に都市銀行において開始されたのが最初とされており、当初は、簡易な機能のみが提供されていました。その後、自宅で利用できることや土日にも利用できるといった利便性が顧客に受け入れられ、様々な金融機関で本システムが導入されたほか、提供されるメニューも拡大を続けてきました。
現在のインターネットバンキングシステムでは、以下に示すような多種多様な業務が提供されるようになってきています。
区分 | 取引・機能の概要 |
普通預金等 | 残高照会、取引明細照会、振込、振替、振込予約 |
定期預金、積立定期 | 口座開設、預入、解約、明細照会、満期処理 |
カードローン | 申込、借入、随時返済、残高照会 |
住宅ローン | 借入明細照会、繰上返済、契約内容の変更 |
外貨預金 | 口座開設、入金、振替、残高照会、取引明細照会、為替予約、解約 |
投資信託 | 口座開設、ファンド購入、解約・買取・変更、ファンド情報照会、残高照会、取引明細照会、自動積立の申込・変更・解約、電子目論見書 |
諸届等 | 住所・電話番号変更申込、口座振替契約の申込、電子メールアドレス登録・変更、パスワード変更、振込上限金額変更 |
その他業務 | 海外送金、Pay-easy(ペイジー)料金払込、電子マネーチャージ、BIG/toto、宝くじ購入、FX(店頭外国為替証拠金取引)、公営競技決済、個人向け国債、証券仲介、資産運用シミュレーション |
システム面では、主要行やネット銀行では独自にシステムを構築する場合が多いようですが、地域金融機関ではインターネットバンキングの共同センターを利用する場合がほとんどです。
セキュリティ面(不正送金対策)
インターネットバンキングシステムは、その利便性から利用者数を急速に拡大させてきましたが、一方で2012年頃からインターネットバンキングを悪用した不正送金被害が増加してきています。具体的にはフィッシングサイトにおける乱数表の搾取や、MITB攻撃(中間者攻撃)による被害が発生しています。
このため、各金融機関ともマルウェア対策ソフトの配布、ハードウェアトークンやトランザクション認証の導入など、乱数表に依存しない本人認証方法の導入や、複数の技術的な対策の組み合わせを進めています。
個人インターネットバンキングシステムの概要図
以下に、共同センターを利用する場合の個人インターネットバンキングシステムの概要図を示します。
個人インターネットバンキングシステムの概要
(1) 個人インターネットバンキングシステムの概要
金融機関が個人インターネットバンキングの共同センターを利用する場合の概要について説明します。
共同センター側は、顧客への画面表示や取引の受付等を行いますが、実際の顧客情報や預金口座情報等は金融機関側の勘定系システムが管理しています。そのため、顧客情報の表示や資金の移動等のために、金融機関側の勘定系システムから顧客情報を入手したり、勘定系システムに資金移動の依頼を行う必要があります。
システム面では、各金融機関は勘定系システムと共同センター間を専用ネットワークで接続した上で、口座情報や取引情報等を送受信できるように勘定系システムや対外接続系システムに機能追加を行っています。
なお、接続方式としては、オンラインリアルタイム接続、ディレード接続(センタカット接続)、オフライン接続等の種類がありますが、現在は、オンラインリアルタイム接続方式を採用する場合が多いようです。
(2) セキュリティ機能
近年のインターネットバンキングの不正送金被害の増加を受けて、各金融機関・各共同センターとも、セキュリティ機能をさらに強化しています。
具体的には、各金融機関の状況に応じて、以下に示すような各種セキュリティ対策を実施しています。
主なセキュリティ対策
乱数表
ランダムな数字や文字を記載したマトリックス形式の乱数表を顧客に配布し、固定パスワードに依存しない本人認証を実現します。キーロガー等の攻撃に有効です。一方で、フィッシング攻撃等により乱数表内容を全て窃取される被害も多発していることから、乱数表に依存しない本人認証の高度化が求められています。
ワンタイムパスワード
ハードウェア型トークンやソフトウェア型トークン(スマートフォンアプリ等)により、1回限り有効なパスワードを発行し、固定パスワードや乱数表に依存しない本人認証を実現します。キーロガーやフィッシング攻撃に有効です。
一方で、MITB攻撃など、時刻同期型等のワンタイムパスワードでは防御できない攻撃も増加しています。このため、後述のトランザクション認証対応型のワンタイムパスワードトークンが普及し始めています。
リスクベース認証
顧客の利用環境(IPアドレス、クッキー、ブラウザ情報、OS情報等)を総合的に分析し、普段と異なる環境からのアクセスと判断した場合に、通常の認証に加え、合言葉やワンタイムパスワード等による追加認証を行う方法です。
フィッシング攻撃で、顧客の乱数表等が窃取された場合でも、第三者の不正利用を防止することができます。
セキュリティソフト配布
顧客のパソコンに専用のセキュリティソフトをインストールさせて、マルウェアの検知・駆除、通信の改ざん防止などを行います。MITB攻撃などのマルウェアに対して有効です。
顧客のパソコンにインストールしてもらう必要があることから、その普及率をどのように高めていくかが重要となってきます。
ホスト側マルウェア対策ソフト
センター側から顧客の利用環境や通信内容を分析して、マルウェア等に感染していないか確認し、必要に応じて通信を遮断するソフトです。顧客によるソフトウェアインストール作業は不要ですが、顧客インストール型ソフトウェアと比較すると、チェックできる内容に限界があると言われています。
2経路認証
2つの異なる経路を使って認証を行う仕組みです。パソコンから取引(第1経路)を行い、取引内容の確認・承認をスマートフォン等の別媒体(第2経路)で行います。第1経路でMITB攻撃を受けている場合があるため、第2経路では取引内容(振込先や金額)を表示・確認させるか、後述のトランザクション認証と組み合わせる必要があります。
トランザクション認証
顧客が資金移動取引を行った場合、顧客にハードウェアトークン等に取引内容(振込先口座番号等)を入力させ、トークン上で取引内容に応じたハッシュデータを生成した後に、顧客に当該ハッシュデータを取引登録画面に再度入力させる方式です。
乱数表や単純なワンタイムパスワード方式と比較すると、顧客側の入力回数が2回に増加し利便性が低下するというデメリットはあるものの、フィッシング攻撃やMITB攻撃に有効であることから、現時点では最も安全性が確保できる方法の1つと言われています。
製品・サービス一覧
個人インターネットバンキングシステムの製品・サービス一覧は、以下のページを参照ください。
参考文献
参考文献一覧
- 金融情報システムセンター(2015)『金融情報システム白書〈平成27年版〉』財経詳報社 417pp
- 土屋清美(2013)『ITエンジニアのための金融知識』日経BP社 232pp
- 山本統一(2010)『SEが基礎から学ぶ金融システムの教科書』日本実業出版社 328pp
- 小泉保彦(2010)『SEのための金融入門―銀行業務の仕組みとリスク』金融財政事情研究会 300pp
- 克元亮(2004)『SEのための金融の基礎知識』日本能率協会マネジメントセンター 341pp
- 室勝(2010)『図解で学ぶSEのための銀行三大業務入門』金融財政事情研究会 438pp
- 調査部(2015)「インターネットバンキングにおけるスマートデバイスの利活用とセキュリティの強化」『金融情報システム』No.337(平成27年秋号) pp.4-31. 金融情報システムセンター
- 研究会事務局(2007)「地域金融機関IT研究会報告書「地域金融機関におけるインターネットバンキングの活用」」『金融情報システム』No.293(平成19年秋号) pp.4-104. 金融情報システムセンター
- 調査部(2006)「個人利用者向けインターネットバンキングの最新動向」『金融情報システム』No.282(平成18年冬号) pp.106-131. 金融情報システムセンター
- Wikipedia「インターネットバンキング」<https://ja.wikipedia.org/wiki/%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%83%90%E3%83%B3%E3%82%AD%E3%83%B3%E3%82%B0>(2015/10/31 アクセス)
- キヤノンITソリューションズ(2015)「[特集] インターネットバンキングにおける不正送金の手口と対策について」<http://canon-its.jp/eset/malware_info/news/140522/>(2015/10/31 アクセス)
- 全国銀行協会「金融犯罪に関する全銀協の対応」<http://www.zenginkyo.or.jp/topic/correspondence/>(2015/10/31 アクセス)
- 警察庁(2015)「平成27年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について」<https://www.npa.go.jp/cyber/pdf/H270903_banking.pdf>(2015/10/31 アクセス)
- 日立製作所「インターネットバンキング共同センタサービス 「FINEMAX」」<http://www.hitachi.co.jp/products/it/harmonious/cloud/service/finemax/index.html>(2015/10/31 アクセス)
- 日立製作所(1999)「大手地方銀行から「インターネットバンキング共同センターサービス」を受注 」<http://www.hitachi.co.jp/New/cnews/9906/0622.html>(2015/10/31 アクセス)
- 富士通(1999)「地域金融機関向けアウトソーシングによるインターネットバンキングソリューションを提供開始」<https://pr.fujitsu.com/jp/news/1999/Nov/10.html>(2015/10/31 アクセス)
- NTTデータ(2013)「個人向けインターネットバンキング機能の提供サービスを全面刷新」<http://www.nttdata.com/jp/ja/news/services_info/2013/2013061001.html>(2015/10/31 アクセス)
- NTTデータ「AnserParaSol」<http://www.dokodemobank.ne.jp/anserparasol/>(2015/10/31 アクセス)
- 独立行政法人産業技術総合研究所 セキュアシステム研究部門 高木浩光(2014)「インターネットバンキング不正送金被害の根本的対策と監督当局の関わり方」<https://staff.aist.go.jp/takagi.hiromitsu/paper/fsa-20140919-takagi-handout.pdf>(2015/10/31 アクセス)
- 金融庁(2015)「主要行等向けの総合的な監督指針 平成27年6月」<http://www.fsa.go.jp/common/law/guide/city/index.html>(2015/10/31 アクセス)