みずほ銀行が生体認証FIDOを採用した理由と選定のポイント

IDとパスワードを使った認証は、ネットワークへのログインや銀行ATMの利用などで広く使われています。しかし、この認証法は使いやすい一方で、漏洩したり盗み取られたりした場合に、すぐに悪用されてしまうリスクがあります。そこで、生体情報を使ったFIDO(Fast IDentity Online:ファイド)認証の活用が広がり、利便性とセキュリティを両立させる認証法が注目されています。
【Fujitsu Insight 2017「セキュリティ」セミナーレポート】

増え続けるセキュリティ被害と、記憶に頼る本人認証の限界の今、注目を集める生体認証「FIDO」

富士通株式会社
イノベーティブIoT事業本部
フロントデジタルサービス事業部
事業部長 江尻 道彦

世界では約11.2億件の個人情報の漏えいが発生し(注1)、また、約40%の企業が1年間のうちに何らかのセキュリティ被害にあっている(注2)と言われています。個人では、特に課題となっているのが不正アクセスです。約90%がインターネットバンキングの不正送金やオンラインショップでの不正購入という、「なりすまし」による被害であるという実態(注3)が報告されています。この課題の解決には、本人である確認、つまり本人認証の強化が重要です。

本人認証の方法としては、ID/PW(パスワード)認証やPINコードなどの「記憶認証」、ワンタイムパスワードトークンをはじめとする「所持認証」、そして指紋や虹彩などの「生体認証」の3つがあります。

世の中の各種サービスで最も利用されているのはID/PW認証ですが、金融機関などを装ったメールを送り個人情報を取るフィッシングなどによって、盗み取られてしまうリスクを持っています。しかしPWの運用を複雑にしてセキュリティ強度を高めようとすると、利便性は低下してしまいます。また、所持認証や生体認証の組み合わせでセキュリティの強度は高められますが、これも利便性やコストなどの課題やリスクが生じます。

(注1)Symantec 2017年インターネットセキュリティ脅威レポート
(注2)Kaspersky Lab Report: Measuring the Financial Impact of IT Security on Businesses
(注3)経済産業省 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(2017年)

セキュリティと利便性を両立するFIDO認証とは

こうした中、セキュリティが担保され、信頼性が高く、利便性やUX(ユーザーエクスペリエンス)を損なわない、パスワードに代わる新たな認証として「FIDO」が注目されてきています。FIDOは、利用者が所有するPCやスマートフォンなど端末のセンサーを活用したオンライン生体認証です。特別な設備を必要とせず本人認証が可能になり、パスワード無しに簡単かつセキュアにログインや決済などのオンラインサービスを利用できます。

FIDOには、3つの特長があります。
1つ目は「生体情報をサーバで持たない」ことです。利用者の端末に保存してある生体情報を使い、端末の中で認証を行い、暗号化された認証結果のみをサーバに送ります。そのため、オンラインサービス事業者側で利用者の生体情報を持つ必要がなく、ネットワークやサーバから生体情報が流出しないため、漏えいリスクがなく安全です。
2つ目は、「様々な端末や認証方法で利用できる」ことです。スマートフォンをはじめタブレットやPCなど、利用者が日頃利用している端末を認証に使うため、専用のハードウェアは不要です。
3つ目の特長は、国際標準の規格ということです。FIDOの規格は、標準化関連団体をはじめ、世界250社以上が参画し、次世代オンライン認証の国際標準を目指す団体であるFIDO Allianceによって策定されており、今後のオンライン認証のデファクトスタンダードとなると期待されている、有望な規格です。

富士通のオンライン生体認証サービス「Finplex オンライン認証サービス for FIDO」は、このFIDOに準拠した認証機能を提供するSaaS商品です。スマートデバイスやセンサー、サーバ、クラウドの開発で培った技術を基に、また、FIDO Alliance創設メンバーであるNok Nok Labs社とのパートナーシップを活かし、グローバルにワンストップできめ細かなFIDO導入のご支援が可能です。

FIDOの想定活用シーン

FIDOを基盤に、みずほフィナンシャルグループの融合サービス展開へ

株式会社みずほ銀行
IT・システム統括第一部
須藤 泰自 氏

みずほフィナンシャルグループは、みずほ銀行とみずほ信託銀行、みずほ証券、その他グループを合わせまして様々な領域をカバーしながら、「One MIZUHO」というスローガンの下、グローバルで開かれた総合金融グループを目指しています。そして様々な経営の戦略を担っていく上で、Fintechへの対応にも力を入れて取り組んでいます。Fintechという中でも様々な技術要素がありますが、その中の1つとして、パスワード認証に代わる新たな認証であるFIDOをうまく活用していきたいと考えています。

FIDOでインターネットバンキングアプリに簡単ログイン

ご存知の通り、金融機関全体のインターネットバンキングにおける不正送金が増加しているという現状があり、みずほでもセキュリティ対策は非常に重要な経営課題として、様々な施策を打っています。ワンタイムパスワードの導入などもしていますが、その利便性については課題があると認識しています。また、スマホ利用者が増加している中、いままで主流だったPC向けの対策から、スマホ向けの対策が急務です。そういった事実のもと、みずほフィナンシャルグループでは、インターネットバンキングのスマホアプリである「みずほダイレクトアプリ」にFIDOを採用し、この10月からご提供を開始しました。

具体的には、端末にもよりますが、指紋、顔、虹彩といった生体情報を使って「みずほダイレクトアプリ」にログインができるようになっています。今はログインに特化していますが、ゆくゆくは出金や決済等にも使えればいいなと考えています。

富士通のFIDOを選定したポイントは?

FIDO選定のポイントは、まず利便性を損なわずにセキュリティが保てるということ、そしてお客様の生体情報をお預かりすることなくできるということ。新しいデバイスの準備をこちらでする必要がないのでスピード感をもって対応でき、コストも抑えられるという点もあります。

今回富士通のFIDOを採用したポイントはいくつかありますが、一番重要視したのはサポートや推進体制という面です。FIDO AllianceのボードメンバーであるNok Nok Labs社の仕様をキチッと押さえた開発ができる推進体制、さらにグローバルでのサポート体制もしっかりしているということ。また、金融機関としてはサービスを着実に提供する必要がありますので、今までの勘定系や営業系周りの導入実績からくる信頼というのもあります。

システム構成イメージ

このバンキングアプリのシステムへのFIDO導入には、富士通のオンライン生体認証サービスを活用しました。FIDO認証サーバは富士通のクラウド環境にあり、「FIDOクライアント」をバンキングアプリに組み込みます。生体認証でのログインでは、認証後にデータを削除するなどの機能も必要ですが、それらの機能も含めてサービスで提供されており、今回の導入では、要件を決めて着手してからリリースまで半年くらいのスピード感で行われました。

我々は、生体認証によるログインだけではなく、今後の展開をいろいろと考えています。まさにその中核となるFIDOの基盤としてこのサービスを活用し、行内のシステムをはじめ、店舗、ATMなど様々なサービスを連携させていきたい。また、銀行だけではなく信託、証券、クレジットを含めて、それらを融合したサービスとして考えていきたいと思っています。

登壇者
  • 株式会社みずほ銀行
    IT・システム統括第一部 須藤 泰自 氏

  • 富士通株式会社
    イノベーティブIoT事業本部
    フロントデジタルサービス事業部 事業部長 江尻 道彦