ここでは、銀行を例にとりまして、Yubikeyによるネットバンキングの本人認証・ユーザビリティの強化 適用例をご紹介します。
今回適用例でご紹介する銀行では従来より顧客がインターネットを介しての振り込みなどの資金移動ができるようオンラインバンキングのサービスを提供していました。
その際のセキュリティ強化を行うべく、ハードウェアのワンタイムパスワード(OTP)の仕組みを使用していました。これは、利用者に配布したハードウェア上にワンタイムパスワード(OTP)を表示させ、顧客に入力させることで機密性を高める方式でした。
この方式の場合、暗号アルゴリズムで生成され、一定時間しか有効ではないパスワードを都度入力させることでセキュリティの強度を高めることができました。
セキュリティを高めることはできたのですが、以下のような課題が上がってきたので、認証セキュリティのリプレイスの検討を始めるに至りました。
<ハードウェアトークン利用時の課題>
・顧客が急ぎで資金移動が必要な際にハードウェアトークンの電池が切れてしまい、お客様に迷惑が掛かってしまった。電池切れが起こらない方式への切り替えが必要になってきた
・銀行の振り込みや資金移動のためだけなどにハードウェアトークンを持ち歩かなければならず、顧客の満足度低下の原因になっていた
そこで同社は以下を主な検討項目として複数の認証サービスを検討しました。
1)顧客は日常的にオンラインバンキングを行うため、ユーザビリティとセキュリティの強度の高さの両立が必要だった
2)法人向けの顧客には社内のパソコンからログインしやすく、異動時に引き継ぎやすいハード認証デバイスが好ましい
3)ハードウェア認証を行う場合、セキュリティ・キーが電池切れにならないこと
Yubikeyの採用理由
同銀行は個人口座の顧客にはモバイルアプリのセキュリティ認証を採用し、法人顧客にはYubikeyを採用しました。その理由は以下の通りです。
・法人顧客はスマートフォンによるオンラインバンキングより社内のパソコンからのオンラインバンキングの方が安心感があり、経理業務が行いやすかったため
・人事異動によりオンラインバンキングを担当する社員の引継ぎをする際に、物理的なハードウェア認証デバイスの方が引き継ぎやすいため
・Yubikeyは専用機が必要になりますが、モバイルアプリを見ながらの入力が必要なくなるため、セキュリティレベルを強化したうえでユーザビリティも向上できるため
・従来のOTP(内部リンク)よりもセキュアとされるFIDO2規格(内部リンク)に対応しているため
Yubikeyの採用メリット:
・社内のパソコンを使用したオンラインバンキングのセキュリティ・キーとして高いユーザビリティがあった
・社内引継ぎがしやすい
・オンラインバンキングに耐えうる高いセキュリティを実現できた
・導入後 Yubikeyの故障がゼロ
本適用例に興味がある方は以下の詳細をご覧の上、SCSKまでお問い合わせください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
でのYubiKeyの利用事例-300x169.png)
