地域金融機関が、法人インターネットバンキングサービスに、電子証明書認証を実現する「ANSER-WEB(AAC)認証局代行サービス」を相次いで導入開始 〜スパイウェア・フィッシング等による不正利用への対策強化〜

ニュースリリース/NTTデータ

2005年12月26日

株式会社NTTデータ

 (株)NTTデータの法人向けインターネットバンキングサービス注1を利用する地域金融機関がセキュリティ強化策として、電子証明書(クライント証明書)を用いた本人認証機能(「ANSER-WEB(AAC)認証局代行サービス」)を相次いで導入することになりました。
 従来の多くのインターネットバンキングでは、サービス利用時にIDとパスワードを入力して正当な本人であることを認証していましたが、電子証明書を用いた認証は、万一、IDやパスワードが漏洩しても、電子証明書が格納されたパソコンを使用しない限りサービスを利用することができないため、本人認証を強化するセキュリティ対策として極めて有効な手段となります。
 ANSER-WEB(AAC)認証局代行サービスは現在都銀4行が利用していますが、平成18年3月末までに、8金融機関の利用開始が決定しています。今後、電子証明書を利用した本人認証機能は、法人向けインターネットバンキングの基本機能になると考えており、平成18年度末までに約40金融機関の導入を見込んでいます。

1.背景
 法人インターネットバンキングサービスの利用が増加している一方で、フィッシング注2やスパイウェア注3といった不正ソフトにより、インターネットバンキングサービスの認証情報を不正に取得し預金を引き出すという事件が発生しており、金融機関はこれらの不正行為への対策が急務となっています。
 従来はIDとパスワードを不正に取得することにより不正利用される危険性がありました。昨今被害が発生しているフィッシングやスパイウェアといった不正行為も、IDとパスワードといった認証情報を不正に取得するものです。特に、最近は、利用企業の顧客を装ってスパイウェアソフトを利用企業に対して送りつけるなど、手口がより一層巧妙化してきています。
 そこで、なりすまし対策として、本人確認をより厳格に、かつ容易に行える仕組みへのニーズが高まってきております。

2.サービス概要
 このような状況を踏まえ、法人インターネットバンキングを実現するNTTデータの「ANSER-WEB(アカウントアクセス)コーポレートエディション(以降「ANSER-WEB(AAC)」)」では、平成16年10月よりインターネットバンキングのASPとしては初めて電子証明書を用いた本人認証機能をANSER-WEB(AAC)認証局代行サービスとして実現し、同サービスの推進を行っています。
 ANSER-WEB(AAC)認証局代行サービスの内容は以下のとおりです。

  1. 電子証明書による認証機能の実現
     電子証明書を利用者のパソコンに格納します。インターネットバンキングサービスを利用する際には、この電子証明書を提示後、パスワードを入力することにより本人確認を実施することになります。
     電子証明書により利用者ごとに操作可能なパソコンが特定されることから、万一、パスワード情報が不正行為などにより漏洩しても、他のパソコンからサービスを利用することはできなくなります。
     このように、利用者が覚えている情報(=パスワード)と、本人のみが所持しているもの(=電子証明書)を組み合わせて認証する「多要素認証」を実現することにより、極めてセキュリティ強度の高い本人認証を実現することができます。

  2. 認証局の構築・運営の代行
     電子証明書を発行し利用者のパソコンに格納する為には、認証局を構築する必要がありますが、NTTデータでは、金融機関の認証局の構築・運営の代行をあわせて実施しています。

3.導入メリット
 利用企業、金融機関にとってのメリットは以下の通りです。
  1. 利用企業にとってのメリット
    • 電子証明書により、利用するパソコンが特定され、オフィス以外の場所からの不正アクセスを防ぐことができ、インターネットバンキングサービスをより安全な環境で利用することができます。
    • 電子証明書は、企業内の利用者ごとに発行される上、利用者ごと各サービスの操作権限を設定できるため、厳格に利用者を管理することができます。
    • 電子証明書の発行や1年ごとの更新、またパソコンが壊れた場合の再発行処理は、全てインターネット経由で実施することができるため、速やかにサービスを利用もしくは再開することができます。
    • 金融機関によっては、セキュリティ強度の高い電子証明書認証を利用している企業には、振込限度額の引き上げ、不正取引被害にあった場合の補償額の引き上げなどを行っており、セキュリティが強化されることにより、より高度なサービスを受けることができる場合があります。
  2. 金融機関にとってのメリット
    • 取引先企業へより安全なインターネットバンキングサービスを提供することが可能です。
    • セキュリティが強化されることにより、振込限度額の拡大など、取引先企業に対してより高度なサービスを提供することが可能です。
    • 電子証明書による本人認証機能ならびに電子証明書を発行する認証局の構築・運営は、NTTデータにて実施するため、開発あるいは運用にかかる労力やコストを大幅に低減することが可能です。
    • NTTデータのサービスを利用することにより、金融機関は導入を決定してから3ヶ月程度で、電子証明書を用いた認証機能のサービスを開始することができるため、早期に安全なインターネットバンキングサービスを提供することが可能です。
    • ANSER-WEB(AAC)では、NTTデータが提供する他のサービスに認証を引き継いでシングルサインオン連携することができるため、1枚の電子証明書で様々なサービスを提供する形態を実現することが可能です。既に、総合振込や給与振込といったデータ伝送系業務を実現する「InterFB」や、取引先企業へ様々な情報を電子帳票化して提供・通知することができる「ANSER-M@IL」といった各種サービスと認証を連携できるようになっています。

4.導入金融機関について
 ANSER-WEB(AAC)認証局代行サービスを導入される金融機関は下記のとおりです。
  1. 平成17年度第4四半期にサービス開始することを決定している金融機関
    東京都民銀行、横浜銀行、静岡銀行、京都銀行、東京スター銀行、八千代銀行、京都信用金庫、長野県信用組合
  2. 平成18年度第1四半期にサービス開始することを予定している金融機関
    千葉銀行、千葉興業銀行、福井銀行、西日本シティ銀行
  (上記はいずれも金融機関コード順)

 上記以外にも検討中の金融機関があり、平成18年度末までには約40金融機関の導入を見込んでいます。

5.今後について
 NTTデータでは、ANSER-WEB(AAC)をご利用する全ての金融機関へ、ANSER-WEB(AAC)認証局代行サービスの採用を積極的に働きかけてゆく予定です。
 今後は、電子証明書のもつ電子署名機能などを活かして、紙での契約行為をインターネット上でのやりとりに置き換える電子契約の実現などについても検討していきます。


注1 法人向けインターネットバンキングサービスとは、企業が、インターネットに接続するWebブラウザと電子メールソフトのみで残高照会、入出金明細照会、総合振込、給与振込といった各種バンキングサービスを利用することができるサービスです。NTTデータでは、法人インターネットバンキングサービスを実現する金融機関向け共同利用型サービスとして「ANSER-WEB(AAC)」、「InterFB」を提供しており、既に、都銀、地銀、信用金庫、信用組合ほか各業態で約80の金融機関に利用されています。
注2 フィッシングとは、金融機関などからのメールや、金融機関のWebサイトを装い、偽者のWebサイトに認証情報を入力するように誘導して、サービスにログインするために必要なIDやパスワードを搾取する不正行為です。
注3 スパイウェアとは、パソコン内で動作し、ユーザの行動や個人情報を収集したりすることができるソフトウェアで、本機能を悪用し、インターネットバンキングサイトなどで入力したIDやパスワードを利用者が気づかないようにソフトの作成者に送信してしまう不正行為です。

* 「ANSER」「ANSER-WEB(アカウントアクセス)」「InterFB」は株式会社NTTデータの登録商標です。
* 「ANSER-M@IL」は株式会社NTTデータの商標です。
* その他の商品名、会社名、団体名は、各社の商標または登録商標です。
本件に関するお問い合わせ先
報道関係のお問い合わせ先
株式会社NTTデータ
広報室 宗像
TEL:03-5546-8051
その他お問い合わせ先
株式会社NTTデータ
決済ソリューション事業本部
eBビジネスユニット eB商品企画担当
森谷・小島
TEL:03-5484-4321