NTTデータ、ネットバンキングのセキュリティ強化で「ワンタイムパスワード」サービスを開始
日本初! 携帯アプリを利用した「ワンタイムパスワード」サービスを
個人向けインターネットバンキングに採用
~ スパイウェア等による不正取引防止を強化 ~
(株)NTTデータでは、個人向けインターネットバンキングサービス「ANSER-WEB(アカウントアクセス)(R)」(注1)にてスパイウェア等による不正取引を防止するセキュリティ強化策として、平成19年5月から携帯電話のアプリケーションを利用した「ワンタイムパスワード」サービスを開始します。
これまで個人向けインターネットバンキングサービスでは、ID、パスワードや乱数表などによる認証を実施しておりましたが、利用毎にパスワードが変わるワンタイムパスワードによる認証方式を利用することで、本人認証を強化しセキュリティ向上を図ることが可能となります。
これまでのワンタイムパスワード認証は、パスワード発生のために専用ハードウェアを利用者に配布する必要がありましたが、今回新たに提供するワンタイムパスワードサービスでは、NTTデータで開発した携帯アプリ(携帯電話上のソフトウェア)にてパスワードを生成する方式を採用します(注2)。この方式の採用により、利用者は専用ハードウェアを持ち歩く必要がなくなるとともに、金融機関は専用ハードウェアの配送コストや管理に伴うコストなどの運用負荷が大幅に軽減されます。
平成19年5月から4金融機関の導入が確定しており、NTTデータでは今後3年間で約30金融機関の導入を見込んでいます。
1.背景
近年インターネットバンキングサービスの利用が増加している一方で、インターネットバンキングを利用するためのIDとパスワードなどの認証情報をフィッシング(注3)、スパイウェア(注4)といった手口により不正に取得し、正当な利用者になりすまして預金を引き出すという事件が発生しており、金融機関ではこれらの不正行為への対策が急務となっています。
現状、金融機関では、ソフトウェアキーボードを用いたパスワード入力の実施や市販のスパイウェア対策ソフトなどを導入し、これら不正行為に対処しておりますが、これらに加えて本人認証をより厳格に、かつ容易に行える認証方式に対するニーズが高まっています。
2.サービス概要
このようなニーズに応えるため、現在、約80金融機関にご利用いただいているNTTデータの個人向けインターネットバンキングASPサービスであるANSER-WEB(アカウントアクセス)(R)(以下、「ANSER-WEB(AA)」)では、従来のIDとパスワードによる本人認証方式に加え、ワンタイムパスワードによる認証方式を平成19年5月から提供します。
これまでのワンタイムパスワードによる認証方式では、パスワードを発生させるための専用ハードウェアを用意し、利用者に送付する必要がありました。このため、すぐに使い始めることができない、常に持ち歩く必要があり不便といった問題点がありました。
そこでNTTデータでは、携帯電話にパスワード発生用の専用ソフトをダウンロードすることでワンタイムパスワードが利用可能になる方式を新たに採用しました。これにより利用者は、専用ハードウェアを持ち歩く必要がなくなり、すぐ使い始めることも可能となります。また金融機関は、専用ハードウェアを利用者に送付する負担はなくなります。
ANSER-WEB(AA)ワンタイムパスワード認証のサービス内容は以下の通りです。
利用者は、携帯電話にワンタイムパスワード発生用の専用ソフトをダウンロードします。インターネットバンキングを利用する場合には、従来から利用しているIDとパスワードに加え、携帯アプリに表示されているワンタイムパスワードを入力することにより本人認証を実施します(別紙図)。このワンタイムパスワードは利用者ごとのパスワードであり、また1分おきに新たなパスワードが生成されます。この機能により、万が一パスワード情報が不正行為などにより漏洩した場合でも、不正利用はできなくなります。
このように、IDとパスワードという利用者が記憶している情報と、利用者ごとのワンタイムパスワードによる認証を組み合わせた「二要素認証」と呼ばれる高いセキュリティレベルを実現します。
3.本サービス導入メリット
利用者、金融機関にとってのメリットは以下の通りです。
(1)利用者にとってのメリット
・通常の暗証番号に加えセキュリティの高いワンタイムパスワードを組み合わせることにより不正利用を防ぎ、インターネットバンキングをより安全に利用することが可能となります。
・従来ワンタイムパスワードを利用する場合に必要であった、専用ハードウェアを管理する必要がなく、携帯電話を持っていればワンタイムパスワードを利用することができます。
・インターネットバンキングからワンタイムパスワード利用開始の手続きをすることにより、すぐに使い始めることが可能です。
(2)金融機関にとってのメリット
・利用者へより安全なインターネットバンキングサービスを提供することが可能です。
・利用者が携帯電話を所有していればワンタイムパスワードによる認証方式の提供が可能となり、専用ハードウェアの保管管理、利用者への送付、利用者が紛失した際の対応などの事務負担を大幅に削減することが可能です。
・ワンタイムパスワードによる認証機能ならびに、携帯電話への専用ソフトのダウンロードサイトの構築・運営までをNTTデータが実施するため、開発や運用に関わるコストを大幅に削減することが可能です。
・NTTデータが提供するサービスを利用することで、導入の決定から利用者への提供まで最短2ヶ月で実現することが可能であり、より早いサービスの提供が可能です。
・セキュリティを強化することにより、利用者へ限度額の引き上げなど、より高度なサービスを提供することも可能です。
4.導入金融機関について
現在導入が決定している金融機関、ならびに今後導入を検討されている金融機関は下記の通りです(金融機関コード順)。
これら金融機関以外においても、現在導入を検討されている金融機関が多数あります。
(1)平成19年度第一四半期にサービス開始することが決定している金融機関様
岩手銀行、京都銀行、紀陽銀行(インターネット支店)(注5)、
関西アーバン銀行、京都信用金庫
(2)平成19年度中にサービス開始を検討されている金融機関様
荘内銀行、静岡銀行、愛知銀行、名古屋銀行、みなと銀行
5.今後について
NTTデータでは、今後もインターネット・モバイルバンキングの基盤を活用したセキュリティ対策を講じていく予定です。
(注1)個人向けインターネットバンキングサービスとは、個人が、インターネットに接続するWebブラウザと電子メールソフト、またはWebブラウザを搭載した携帯電話により残高照会、入出金明細照会、振込・振替といった各種バンキングサービスを利用することができるサービスです。NTTデータでは、個人インターネットバンキングサービスを実現する金融機関向け共同利用型サービスとして「ANSER-WEB(アカウントアクセス)」を提供しており、既に、地銀、信用金庫、信用組合ほか各業態で約80の金融機関がご利用されています。
(注2)本サービスでは、NTTデータとRSAセキュリティが共同で開発した独自技術により実現した「ワンタイムパスワード認証サービス(BizEmotion(R)-OTP)」を利用いたします。ワンタイムパスワード認証サービスは、コンシューマ向けに携帯電話上で動作するアプリケーションとして開発し、ワンタイムパスワード認証で必要なアプリダウンロード機能、認証機能、管理機能を備えた、共同利用型(ASP)認証サービスです。
(注3)フィッシングとは、金融機関などからの正規のメールや、Webサイトを装い、偽者のWebサイトに認証情報を入力するように誘導して、サービスにログインするために必要なIDやパスワードを搾取する不正行為です。
(注4)スパイウェアとは、パソコン内で動作し、ユーザの行動や個人情報を収集したりすることができるソフトウェアで、本機能を悪用し、インターネットバンキングサイトなどで入力したIDやパスワードを利用者が気づかないようにソフトの作成者に送信させて搾取してしまう不正行為が発生しています。
(注5)現行のインターネットバンキングサービスでは提供せず、新たに設立するインターネット支店でご提供されます。
*「ANSER」「ANSER-WEB(アカウントアクセス)」は株式会社NTTデータの登録商標です。
*その他の商品名、会社名、団体名は、各社の商標または登録商標です。
■ANSER-WEB(アカウントアクセス)のお問い合わせ先
株式会社NTTデータ 決済ソリューション事業本部
eBビジネスユニット eB商品企画担当 TEL.03-5484-4321
■ワンタイムパスワード認証サービスのお問い合わせ先
株式会社NTTデータ ビジネスソリューション事業本部
モバイル&ICメディアサービスユニット
モバイルソリューション企画担当 TEL.03-5546-8337
(※参考資料あり)