金融高度化セミナー「金融機関における情報セキュリティの高度化に向けて」における岩下参事役講演要旨

2006年 1月26日
日本銀行金融機構局

講演に使用した資料は、PDF形式でご利用頂けます。ダウンロードはこちら（fsc0601c.pdf 1,450KB）。

目次

• １．金融業界における情報セキュリティ対策の何が問題か
• ２．偽造キャッシュカード問題　──被害の拡大とその教訓
• ３．インターネット・バンキングのセキュリティを巡って
• ４．金融機関のセキュリティに対する信頼を取り戻すために

１．金融業界における情報セキュリティ対策の何が問題か

　古い銀行の建物や金庫にみられるような堅牢な構造は、地震・火災・強盗などの物理的な脅威に対する高い安全性をアピールするものであり、顧客からの信頼の象徴といえるものであった。しかし、ATMに仕掛けられた隠しカメラによる偽造カード被害やインターネット・カフェのパソコンに仕掛けられたキー・ロガー、フィッシング詐欺など相次ぐ金融ハイテク犯罪の発生によって、銀行のセキュリティに対する顧客の信頼は揺らぎつつある。情報セキュリティを取り巻く環境の変化に応じて、金融機関はその対策を変化させる必要があるが、インターネットなどを経由して遠隔地から情報システムを攻撃する新しい脅威（金融ハイテク犯罪）に対して、有効な対策が採られているだろうか。最近では、こうした金融ハイテク犯罪はテレビなどでも頻繁に取り上げられており、その報道のトーンは、「金融機関は新しい金融犯罪に対して有効な手立てを講じていないのではないか」といった雰囲気になっているように思われる。

　振り返ると、わが国において、コンピュータによるネットワーク・システムを最も早い時期に整備した業種は、金融業であった。1970年頃に構築された第2次オンライン・システム以来、銀行のオンライン・システムは、これまで頑健性、安全性に疑いを持たれることなく、キャッシュカードとCD/ATMの基本フォーマットや全銀プロトコルといった基本設計は30年間にわたって維持されてきた。

　この間、金融業界におけるコンピュータ・システムのセキュリティ対策の基本ポリシーは、日本銀行が運行する日銀ネットも同様であるが、「閉じたシステム」、「閉じたアーキテクチャー」を前提としていた。外部から物理的に隔離されたシステムが構築され、他行システムとの間の連動はあまり考慮されなかった。このため、セキュリティ対策としては、専用回線等による物理的なアクセス制御やシステムダウン時のバックアップ手段の充実などが中心であり、セキュリティ対策に関する情報も対外秘とされてきた。しかし、最近の情報技術の発達に伴い、従来の前提が崩れつつある。例えば、STP（Straight-Through Processing）化やインターネット・バンキングの普及など「オープン」なネットワークを介して、様々なシステムが相互に連動し合う仕組みとなってきている。金融機関は、システムのオープン化を前提に、システム全体のデザインとセキュリティ対策を考え直す時期に来ている。

　それでは、金融機関のセキュリティ対策はどうあるべきであろうか。従来、企業内の重要情報資産の分布は「たまねぎ型」（同心円状）と考えられ、中心部（メインフレーム）にある重要情報資産を保護するために、外部からの物理的な遮断のほか、システム監視や侵入検知システムの導入、組織内でのアクセス制御などの「層状」のセキュリティ対策が講じられてきた。しかし、情報技術革新に伴い、実際の重要情報資産の分布は「ザクロ型」（分散状）に近いものとなってきており、それに応じたセキュテリィ対策が求められている。

　金融機関の情報システムの基幹である勘定系システムは、引き続きレガシー技術を利用して構築されている。このため、金融機関は、セキュリティ対策の重心をレガシー系に置きがちであった。しかし、基幹システムにレガシー技術を利用していても、ネットバンキングなど顧客とのインターフェース部分や営業店支援システムなど身の回りシステムに分散系システムの技術が広く利用されている以上、仮にそこに問題があれば、業務全体が滞ってしまうだろう。金融業界は、レガシー系のみならず、分散系も含めたシステム全体のセキュリティ対策を強化していく必要があると思われる。

　金融機関は、顧客の財産を預かり管理する立場にある。このため、預金取引の安全性確保はもとより、個人情報保護、不正侵入対策、ウィルス対策等の情報セキュリティ対策について、他の産業よりも高い水準を達成することが要求されているといえる。攻撃者（犯罪者）はシステムのメインフレームではなく、金融機関側の防御の手薄な領域を攻撃してくる可能性が高い。インターネット上でのシステム運行において、攻撃者から身を護るためには、金融機関側も十分に情報を収集し「賢く」なっている必要がある。こうした犯罪への対策を進める上では、金融機関内部においてセキュリティ対策に関する議論をタブーにしないことが大切である。つまり、脅威を脅威として正しく認識することから対策が始まるといえる。

２．偽造キャッシュカード問題　──被害の拡大とその教訓

　全国銀行協会によれば、偽造キャッシュカードによる預金等の不正引出しは、平成15年度以降急増し、16年度の被害金額は10億円弱（前年度比約3倍）となっている（被害件数は400件余りと前年度比約4倍の増加）。もっとも、17年度入り後の被害金額はやや減少しており、被害規模もクレジットカードやプリペイドカード（パチンコ、ハイウエイカード）の偽造によるものに比べればかなり小さい。にもかかわらず、キャッシュカード利用者のうち約9割がキャッシュカードの利用に対して何らかの「不安」を感じているのが実態である。これは、偽造キャッシュカードの被害者が、金銭的な負担を求められてきた（被害負担の分担が曖昧であった）ことが背景にあると思われる。

　それでは、利用者の「不安」を解消するためにはどうすればよいだろうか。ここでは「安心と安全」のマトリクス（下表）で考えてみたい。

• 

　キャッシュカードを利用した預金取引については、従来は、潜在的な犯罪のリスクはあったものの、それがほとんど顕現化しなかった（社会が安全で犯罪が発生しなかった、あるいは、犯罪が発生しても利用者に実害が生じなかった）ため、利用者は預金取引に不安を感じていなかった（上表の「知らぬが仏」状態）。しかし、ハイテク金融犯罪が多発し、一部の利用者に実害が生じたため、利用者が強い不安を感じるようになっている（上表の「危険で不安」な状態）。

　金融機関が被害の補償を表明し、昨年には議員立法で預金者保護法が成立した結果、利用者の不安感は鎮まりつつある。しかし、今後利用者に実害が及ぶ事件が多発すれば、不安感は再燃しかねない。今後、目指すべきなのは、かつての「知らぬが仏」状態に戻ることではなく、本当の意味で「安全で安心」な状態を実現することである。しかし、一歩間違えば、「折角セキュリティ対策を講じて、安全となっても、利用者がそれを信頼しない」という「疑心暗鬼」状態に陥りかねない。これは不幸な状態である。そうならないためにも、「利用者に不確かな情報しか与えず、安全と錯覚させる」のではなくて、「実効性のあるセキュリティ対策を講じた上で、利用者に正確な情報を伝え、信頼を勝ち得ていく」努力が必要となる。

　ここで偽造キャッシュカード問題の原因について考えてみたい。

　現在のキャッシュカードについては、磁気ストライプの偽造の容易さ（安価なスキミング機器が出回っている）や4桁暗証番号の限界（誕生日や電話番号を暗証番号にするなど利用者による不適切な設定・運用を排除できないため、金融機関以外から漏洩してしまうリスクがある）などがかねてより指摘されており、金融業界でも偽造のリスクは認識されていた。それでは、問題があることは分かっていたのに、何故、システムの見直しなど適切な対策を講じることができなかったのだろうか。当時、金融業界はICカード導入の準備は進めていたが、(1)過去30年間利用され続けてきた技術を新しい技術に移行するきっかけが掴めなかったこと、(2)システム全体の基本インフラを変更する業界内の幅広い合意が得られなかったこと、等から、ICカードや生体認証などの新技術の導入にかかる意思決定が先送りされてしまった。こうした対応が、金融機関の情報セキュリティに対する利用者の信頼を大きく損なう結果を招いたわけである。

　偽造キャッシュカード問題に際して、金融業界は、被害の補償を表明し、ATMの引出限度額を引き下げるなど、被害を限定する対策を講じている。しかし、キャッシュカードとATMのセキュリティ対策としては十分とはいえず、現在も状況は余り変わっていないように思われる。例えば、犯罪の未然防止対策として、ICカード化、生体認証の導入等が表明されているものの、実際に対策を実施した先は限られており、また、実施した先でも、普及率は高くない。このため、金融機関における預金引出しにおいては、引き続き、磁気ストライプカードと暗証番号による認証が主流であり、スキミング犯罪の根は絶たれていないのが実情である。

　それでは、キャッシュカードとATMのセキュリティ対策を抜本的に見直すにはどうすればよういだろうか。ここでは、4つの対策を指摘したい。

　第一に、「ICカード化」によってキャッシュカードの偽造を防ぐことが考えられる。現在国内で数億枚発行されている磁気ストライプ型のカードをすぐに失効するのは不可能ではあるが、磁気ストライプが並存する限り、偽造が容易な状況が変わらないのも事実である。カード、ATM両方のICカード対応が全て完了し、磁気ストライプが廃止されて初めて実効性が確保されるといえる。また、偽造被害を金融機関が預金者に補償することを前提とすると、利用者にはあえてコストを掛けてICカードに切り替えるインセンティブはあまり働かないため、ICカードをどのようにして普及させるかが問題になるだろう。さらに、ICカードであれば何でも安全という訳ではない点にも留意が必要だろう。実際に、欧州ではICカードが偽造された事例が報告されている。ICカードの導入に当っては、ICカードの安全性評価が必要であり、ICカードが解析されたとしても、システム全体のセキュリティが損なわれないような設計にすることも大切なポイントになる。

　第二に、「通信回線の暗号化等」により暗証番号漏洩を防ぐことが考えられる。過去、通信回線から暗証番号が盗聴された事例は殆どないが、仮に漏洩して不正引出しが発生した場合でも、「金融機関側からは漏れてない」といえるためには、暗証番号の生成から廃棄まで、水も漏らさぬ機密保護が必要となる。例えば、預金口座開設時の書面から、ATMの通信回線まで、全ての局面で暗証番号の機密が保護されているか確認する必要があるほか、通信回線において機密を保護するためには、適切な暗号アルゴリズム・鍵長の選択と、適切な実装が不可欠になるだろう。

　なお、暗号技術の高度化については、ISO/TC68が規定している国際標準ISO 9564が参考になる。ISO/TC68（国際標準化機構・金融専門委員会）は、金融分野で利用される情報通信技術の国際標準化を担当する委員会であり、預金者の安全確保、金融システムの安定のために、金融機関が採用すべき適切なセキュリティ対策等について、国際標準の審議・検討を行っている。国際標準ISO 9564では、銀行取引カード（キャッシュカード、クレジットカード、デビットカード）などと共に利用される暗証番号について、その設定、保管、入力、送信等に関する一般的なルールを取り決めてあり、暗証番号を送信する場合には、トリプルDESによる暗号化を義務付けている。しかし、実は、ISO 9564等で利用されている現在の国際標準暗号(2key-トリプルDES、1024bit RSA、SHA-1)は、暗号技術的に見ると、既に時代遅れのものになりつつあり、2010年には、米国の政府機関による「お墨付き」が失効してしまう点には留意が必要である（暗号技術の「2010年問題」）。こうした環境変化を踏まえて、先を読んだ対策を講じていく必要がある。

　偽造対策としてキャッシュカードをICカード化したとしても、盗用までは防止できない。このため、第三の対策として、盗用による成りすましを防ぐ観点から、暗証番号よりも高度な本人確認手段である「生体認証」を導入することが考えられる。ただし、生体認証にもいくつかの問題点がある。まず、金融機関相互のCDオンライン提携が普及している状況の下で、生体認証技術間の相互運用性、互換性の問題が指摘されている。また、膨大な導入コストや代替手段との比較において、預金取引に対する信頼を取り戻す手段として、生体認証による安全性を適切に評価する必要がある。現在、「生体認証は究極のセキュリティ対策」というイメージが先行している一方で、実際のシステムに実装した場合の運用面を含めたセキュリティを正確に評価することが困難であるため、対応方針を決めかねている金融機関も多いのが実情であろう。

　生体認証の安全性については、安価な材料で作製された人工指が、市販の指紋認証装置において高い受入率を示したとの報告もある。生体認証を安心して利用していくためには、生体認証による安全性を、正確に評価するための枠組み作りと、正しい理解が重要である。特に、生体認証を利用したシステムに固有の「身体的特徴の偽造による攻撃」に対する安全性評価と、その対策（例えば、生体検知機能の導入）などを考えていく必要がある。

　第四の対策としては、ICカード化の先の中期的な課題となるが、「CD/ATMネットワーク・インフラの再構築」が考えられる。中期的にも有効な対応を考えるのであれば、単にカードの耐偽造性を向上させ、カード保有者の本人認証を強化するだけではなく、システム全体のセキュリティ向上を図る必要があるだろう。そのためには、ICカードを用いて生成する認証のための電文情報を、通信ネットワーク・インフラを通じて金融機関側と送受信する仕組みを構築していくことが必要である（現状では、CD/ATM端末から金融機関に送られる電文情報は磁気ストライプのものと同じものとなっている）。金融機関向け通信ネットワーク・インフラの世代交代のタイミングをはかって、こうしたコンセプトを金融機関間で共有していくことが重要だろう。

　以上の対策について、どの段階まで対応することが適当か、実際に犯罪が発生するリスク、ビジネスとしての採算性、レピュテーション上の問題等を考慮して、各金融機関が立ち位置を定めていく必要がある。その場合、「望ましい対策のあり方」の基準をどこに求めるべきであろうか。具体的な答えを提示することは難しいが、相対的に金融機関をターゲットとしたハイテク犯罪の事例の多い海外の金融機関における取り組み事例や、金融機関のセキュリティ対策に関する国際標準を参考にしながら、単なる「横並び」ではなく、各金融機関が有効な対策を具体化していく必要があるだろう。

　また、もう一つの視点として、利用者の協力を得ることも重要なポイントである。セキュリティ対策は「足し算」ではなくて「掛け算」で効いてくるとよく言われる。金融機関側が万全の対策を講じていても、利用者が不注意であれば被害が発生し得る（金融機関の対応100％×顧客の対応0％＝0％）。このため、セキュリティ対策には利用者の協力が不可欠となる。もし、利用者が「金融機関が補償してくれるから」というモラル・ハザード的な認識でいると、いずれは行き詰ってしまう。また、(1)セキュリティ・レベル、(2)利用者の管理負担（例えば、利用限度額の引き下げによる提供サービスの低下）、(3)システム構築コストには、トレードオフの関係があることを認識すべきである。金融機関がビジネスとして金融サービスを提供する以上、システム構築コストには限界があるのだから、利用者にも一定の管理負担を求めていかないと、必要なセキュリティ・レベルを確保できない。従って、預金者保護法の下で、利用者に適切な管理負担を担って貰えるようなルール作りが、今後の重要な論点となるだろう。

３．インターネット・バンキングのセキュリティを巡って

　最近のインターネット・バンキングの利用者拡大の背景には、利用者の認証方式が、複雑なものから簡便なものに変更されたことがある。1997年頃にインターネット・バンキングが開始された当時は、SET/SECEを利用した比較的厳格な利用者認証方式を採用していたが、利用者が専用のソフトウエアをパソコンにインストールしたり、公開鍵証明書を取得してパソコンに組み込んだりするための作業負担が大きく、あまり普及しなかった。2000年以降に、パソコンにあらかじめ組み込まれている暗号プロトコル（SSL）とパスワードを組み合わせて認証を行う「SSL＋パスワード認証方式」が主流となり、急速に普及した。

　SSLは守秘や認証のためのさまざまな機能を有しているが、多くのインターネット・バンキングでは、暗証番号やパスワードの盗聴を防ぐための守秘機能のみが使われている。金融機関側における利用者認証はパスワードのみによって行われる。また、利用者側における金融機関サーバーの確認には、サーバー証明書が使われているものの、それが有効に確認されるか否かは、利用者のＩＴリテラシーに依存する。

　「SSL＋パスワード認証」については、インターネット・バンキングにおいて、無権限者による成りすましなどの攻撃を防止し、正規の利用者や金融機関自身に損害が生じる事態を回避するうえで、十分なセキュリティ対策とはいえないのではないか、との指摘がある。例えば、(1)考えられる全ての番号を試してみる（4桁なら、0000〜9999まで1万通り）、あるいは、(2)パスワードに良く使われる単語を辞書から選び、次々に試してみるなど、暗証番号・パスワードに対する基本的な攻撃への脆弱性がある。また、インターネット・バンキングの特殊性として、(1)世界中からアクセスが可能なため、不正行為の監視が難しいほか、(2)コンピュータに指示して大量の試行を繰り返させることができるため、従来、金融機関の店舗内で金融サービスを提供していた頃には問題とならなかった攻撃が、現実的な脅威となる。金融機関側のシステムで、パスワード相違の認証エラーが一定回数を超えると入力を制限するといった防御機構が採用されている場合であっても、様々なIDとパスワードをランダムに組み合せて大量の試行を行えば、防御機構を回避してIDとパスワードの組み合せを推定できてしまう可能性がある。

　最近のインターネット・バンキングでは、認証手段を二重化し、ログイン用のパスワードに加えて、特に重要な取引に関する操作については、「乱数表によるチャレンジ・レスポンス方式」による認証が導入されることが多くなっている。

　残念ながら、乱数表によるチャレンジ・レスポンス方式にも問題点はある。乱数表の導入は、ある取引における認証データ（チャレンジと利用者のレスポンス）が何らかの理由で漏洩してしまい、攻撃者に察知されたとしても、他の取引の認証におけるチャレンジが、漏洩したチャレンジとたまたま一致する確率は低いため、攻撃者による成りすましが困難となる、という効果を期待したものである。しかし、金融機関側のシステムにおいて、攻撃者が取引入力のキャンセルを繰り返すことによって、自分にとって都合のよいチャレンジが出るまで「チャレンジの出させ直し」を行うことが可能な仕組みとなっていた場合、１回の取引における認証データが漏洩しただけで成りすましが可能となってしまう危険性がある。また、攻撃対象者を次々に変更しながら当て推量の入力を繰り返す攻撃により、認証エラーが一定回数を超えたら入力を制限するという防御機構を回避して、乱数表の一部のデータを推定できてしまう危険性などが指摘されている。

　最近、インターネット・バンキング、ファームバンキングの利用者を、フィッシング、スパイウエア、キー・ロガー等によって陥れ、パスワードを盗み取ろうとする事件が相次ぎ、実際に不正送金による被害も発生しているが、そもそも、「パスワードが漏洩してしまうと、巨額の不正送金が可能となる」というシステムの仕様自体が問題である。こうした仕様は、フィッシング等の手口が現れる以前に考案されたものであり、新たな脅威を防ぎきれていないといえる。この点、海外の金融機関の中には、利用者に「ワンタイム・パスワード」の生成機を配付している事例もある。わが国においても、一部の大手銀行が採用を決定したようだが、今後より抜本的な対策が必要ではないだろうか。

４．金融機関のセキュリティに対する信頼を取り戻すために

　ここまでみてきたように、わが国の金融機関が情報セキュリティに関する顧客からの信頼を回復するために取り組むべき課題は少なくない。海外では、暗証番号はATMで暗号化することが一般的だが、日本では暗号化は必須とは考えられていない（最近では、海外のクレジットカードブランドからの批判もあり、国内でも暗号化を実施している金融機関が出てきている）。また、現在、回線暗号やICカードで一般的に使われている暗号アルゴリズムは、あと5年で安全性の保証が切れる見込みにある。さらに、キャッシュカードをICカード化し、生体認証を導入しても、それに対応していない磁気ストライプを利用したキャッシュカードは引き続き大量に流通しており、スキミング犯罪の根は絶たれていない。生体認証技術についても、生体情報の偽造を用いた攻撃法の存在が指摘されているが、中身がブラックボックスのため、どのようなリスクがあるのか評価が難しい。インターネット・バンキングやファームバンキングでは、フィッシングやスパイウエアによって暗証番号や乱数表情報の一部が漏洩し、不正な送金が行われるリスクが一部で顕現化している。

　金融業界が巨大な情報システムを管理する装置産業になっている以上、そこで利用されている技術を分析・研究し、脅威を未然に取り除くことは、金融業界自身の当然の責務である。とはいえ、現在、金融機関の抱えている情報セキュリティ上の問題点は多方面にわたっており、巨額の投資費用を要したり、業界内の調整に時間を要するものも多く、一朝一夕に対応することは難しいだろう。セキュリティ対策にどれだけの金額を投資するかという判断とは別に、とり得る対策の有効性についての詳細な評価が必要となる。その上で、各金融機関は、情報セキュリティ上の要請を自ら判断し、それをビジネスとの折り合いをつけながら実施していくことが必要とされている。また、これらの対策については、業界全体として取組んでいかなければ実効性の得られないものも多い。業界内で話し合いを進めていくための共通認識を固めていくことが大切である。

　最後に、海外の金融業界や他業態の取り組みを紹介する。フランスでは、国を挙げてICカード化に取り組んだ結果、国内の銀行取引カードを全てICカード化することに成功している。ドイツでは、磁気カードに独自の偽造防止技術を組み入れることによって、スキミングの被害を抑制している。米国では、金融業界を挙げて、情報セキュリティ技術の検討と実装を推進。業界内で脆弱性情報を検知、共有する仕組みとして、FS/ISAC（Financial Services / Information Sharing and Analysis Center）と呼ばれる組織を設立している。国内の他業態においても、情報通信業界が、2002年7月にTelecom-ISAC Japanを組成し、活動を開始している。

　海外では、暗号技術やICカード等のセキュリティ技術について、「金融機関が採用していること」が信頼の証とされている。例えば、米国のマイクロソフト社は、自社商品に利用されている暗号アルゴリズムの安全性をアピールするために、「この暗号アルゴリズムは米国の金融機関がATMで利用している」ことを宣伝文句に使っている。わが国の金融機関は、そのように認識されるだけの「情報セキュリティ技術に対する眼力」を持っているだろうか。わが国においても、各金融機関は情報システムを適切に運行していくために、情報セキュリティ技術の検討・分析に一定の経営資源を割り当て、情報セキュリティ分野の専門家を育成していくことが必要である。そうした専門家の評価に基づいて、情報システムのセキュリティ対策について経営における優先順位を明確にしたうえで、戦略的に対応していくことが重要である。また、各金融機関の個別の対応と並行して、金融業界全体にかかわる情報セキュリティ問題に対処するため、業界内で適切に情報を共有する体制を整備・強化していくことも必要であろう。

以上