2020年に金融機関と銀行がサイバーセキュリティの脅威と課題により良く備えるために、当社のトップクラスのセキュリティ、テクノロジー、業界の専門知識を集め、来たる年の予測をお伝えします。

新しい10年を迎えていますが、セキュリティに関してはまっさらな状態ではありません。フィッシング攻撃とモバイルマルウェアといった、同様の課題が多数、脅威を投げ掛け続けていくでしょう。その間、人工知能/AIや5Gモバイルネットワークといった急成長するテクノロジーが2020年に影響を与えようと構えています。規制の最前線では、暗号通貨が徐々に規制当局の焦点になりつつあり、またオープンバンキングが金融スペースに新しい機会を作る構えです。

以下の当社の予測とサイバーセキュリティに関する動向をご覧ください。

2020年の予測とサイバーセキュリティに関する動向

1. AIと行動モニタリングが不正詐欺対策の役割をする

OneSpan、フラウドコンサルタンシーマネジャー、Greg Hancell

2020年に不正詐欺検出とその対策の一部を成すと見ているテクノロジーは、AIの一般化と集約です。このテクノロジーは、カード決済、Card-not-present詐欺、デジタルバンキング、認証、増加するオープンソースインテリジェンスフィードを備えたオープンバンキングなどあらゆるチャネルを一本化します。ログインと決済を別個にモニタリングすることは金融機関のニーズに応えることにならず、攻撃を受けやすくなることを金融機関が認識しているため、AIを活用する行動モニタリングが最も重要になるでしょう。

テクノロジーの改善と数百件のインテリジェントデータポイントをリアルタイムで計算する能力により、カスタマーのデバイス、ロケーション、好みの認証方法、その他にて、AIはカスタマーの行動モニタリングと個々のプロファイリングを可能にしています。監視された行動を元に、AIはリスクスコアと推奨する決定事項を合わせて、実行可能なインテリジェンスを提供します。

2. 不正詐欺検出にはリスクの包括的な理解が必要

OneSpan、フラウドディテクション&プレベンションソリューションマネジャー、Ralitsa Miteva

銀行は2019年のデジタルトランスフォーメーションジャーニーで顕著な進歩を見せるものの、モバイルバンキングを標的としたトロイの木馬、ローグアプリ、合成のアイデンティティ詐欺、SIMスワップ、認証済みプッシュ型決済詐欺、その他の未知の複雑な不正詐欺パターンを取り扱う問題に面しています。このような脅威が、潜在リスクに関する銀行と消費者の知識不足に付け入ります。

2020年、銀行がこのような攻撃を事前に察したいというならば、不正詐欺モニタリングソリューションの開発を継続しなければなりません。その焦点は、カスタマーのデジタルジャーニーに関わる価値あるインサイトを集め、カスタマーのデバイスでの行動を分析し、行動に移せるインテリジェンスを構築し、ビジネスの細かな部分に合わせるべく機械学習モデルと融合し、チャネルとデバイスの全体で継続的なセッションモニタリングを行い、不正防止のノウハウを提供することにあります。このようなセキュリティの実践により、各リスクに関する包括的な理解をもたらし、ユーザーエクスペリエンスを妥協することなく銀行が適切な対策を適用できるようにします。

3. 認証とフィッシング攻撃との戦いにコンテキストが不可欠になる

OneSpan、セキュリティコンピテンスセンター、プロダクトセキュリティディレクター、Frederik Mennes

多数の銀行が典型的なフィッシング攻撃、ヴィッシング攻撃、またエンドユーザーのソーシャルエンジニアリングに依存するスミッシングに対処すべく奮闘しています。そのような攻撃が現在もうまくいってしまう理由のひとつに、銀行がユーザーに関するコンテキストを提供しない強力な認証ソリューションに依存していることが挙げられます。ソリューションからは、ユーザーがどこでログインしているか、どのトランザクションを行っているか、また他のコンテキストから見たデータポイントを特定できません。

技術の「Sカーブ」の概念を参照するならば、銀行はソーシャルエンジニアリング対策を提供する強力な認証ソリューションの次なる波にしっかり投資する必要があります。

4. 暗号通貨の規制がもっと厳しくなる

OneSpanケンブリッジイノベーションセンター、イノベーションセキュリティアーキテクト、Steven Murdoch

暗号通貨、イニシャルコインオファリング、また類似の仕組みの規制が厳しくなると予測しています。

現在のところ規制当局は、国際金融の仕組みの中で関係した金額の合計が小さいことを認めて、軽度のものを用いています。組織的なリスクではありません。さまざまな規制サンドボックスの設定を見られるように、行政はこの仕組みが成長してやがて税収入の利益になる希望を抱きながら、新しいテクノロジーを迎え入れる環境を積極的に打ち出していました。

Facebookなどの大型プレイヤーや、もしかすると中国政府がこの場に今参入してくることにより、軽度の規制アプローチはすぐに実行不可能になります。そのような大規模組織の関与により組織的なリスクが投げ掛けられ、地政学的な重要性をはらんでいます。

過去には、いくつかの規制当局が暗号通貨に関する規制を、規制で厳しく許可しているほど施行しないという計画的な決定がありました。私はこれが変わることを期待しています。もっとはるかに厳格な規制が施行され、暗号通貨に大きな政治的介入があり、そしてその基盤となるテクノロジーとポリシーが構成されるでしょう。

5. 5Gが開発者に力を与える

OneSpan、シニアプロダクトマーケティングマネジャー、Sam Bakken

成熟を続ける5Gと、ウェアラブル、IoT、およびアンビエントコンピューティングによるデジタルとフィジカルのコンシューマーエクスペリエンスのコンバージェンスが、私たちのあらゆる方式を変えていくだろうと考えています。運転、料理、エクササイズ、ショッピング、バンキングもそれに入ります。同時に、確実にこのような便利なコンシューマーエクスペリエンスを安全な方法で提供するために、私たちの脅威モデルを整理する必要があります。

5Gが成熟するにつれ、2020年には次の方法で開発者に影響を与えるでしょう。

1. 5Gはスピードとユーザーエクスペリエンスの品質の面で大きな飛躍になり、開発者がより良いユーザーエクスペリエンスを開発する力を与えるでしょう。同時に、新しい機能への興奮と、より速く提供するというプレッシャーから、製品を速く出そうと急ぐ開発者も現れるでしょう。また、凝ったすごい新アプリでも安全性が確保されていることも重要になります。5Gから開発者と消費者が得るエクスペリエンスのベネフィットはどれも、攻撃者にも利用できるということを忘れてはいけません。
2. より良いカスタマーエクスペリエンスを作り、5Gの機会を完全に利用するためには、開発者は開発サイクルで少し時間の余裕をもつ必要があります。組織は実証されたセキュリティツールで開発者に力を与えることでこれを達成でき、カスタマーエクスペリエンスのための時間に集中できます。

6. オープンバンキングに新しいセキュリティ方式が必要になる

OneSpan、セールスデベロップメントディレクター、Matthias Valcke

オープンバンキングが世界中で大きな影響を及ぼすでしょう。これまで、銀行は完璧なコンシューマージャーニーに全力を挙げてコントロールしていましたが、オープンバンキングがこれを変えます。コンシューマーは今やバンキングサービスにサードパーティのアプリケーション（TPPによる提供）を使うようになり、これは銀行のコントロール外です。

これにより、機械学習を備えた不正詐欺モニタリングが大きな役割を担う、新しいセキュリティ方式が必要になります。機械学習はカスタマーの通常の行動を理解するために役立つはずです。この情報とユーザーのデバイスの安全性に関する要因を合わせて、ユーザーの行動が疑わしいときにフラッグを立てる不正詐欺モニタリングソリューションを実現できます。

7. アメリカにおけるオープンバンキングへの移行が Regulatory Technical Standardsを促す

OneSpan、グローバルレギュレーション&スタンダードディレクター、Michael Magrath

もしアメリカが、ヨーロッパや他の管轄で既に行われているようにオープンバンキングに移行したら、アメリカ合衆国財務省はおそらく欧州銀行監督局の指揮に従いRegulatory Technical Standardsを定義し、Strong Customer Authentication（確実な本人認証）を命ずるでしょう。 

アメリカ合衆国通貨監査局（OCC）を相手取ったニューヨーク州金融サービス局（NYDFS）を支持して、2019年の10月の連邦裁判所の判決により、現在、オープンバンキングは「保留中」です。2018年にOCCは、フィンテック企業は特別な銀行免許を申請できると公表しました。それが不平等な規制が広く敷かれていることを懸念する銀行業界の憤怒を買いました。  判事は、OCCは「フィンテック企業の銀行免許」の申請を受理できないと規定しました。当初提案された免許の元では、ライセンスを受けているフィンテック企業は、ローンを発行するなど、一定のバンキングアクティビティを実施できていたでしょう。OCCが上訴して勝訴すれば、オープンバンキングは将来的に実現するかもしれません。 

8. 「オープンネスとエブリシング」がテクノロジーとの関係を定義する

OneSpan、プロダクトマネジメントシニアディレクター、Mark Crichton

5年前、今日見られるようなモバイルバンキングの爆発的増加や、生体認証としてのモバイルデバイスの使用はほとんど予測されていませんでした。次の5年で、私は2つの主要な動向を予測しています。「オープンネス（開放性）」と「エブリシング（すべて）」です。

「オープンネス」については既にオープンバンキング標準で出てきていますが、これは今後の5年で拡大するでしょう。すぐに、銀行周囲で知らないことはなくなります。小売業者も銀行になるでしょう。クレジットカードはデジタル化するでしょう。モバイルオペレーションとハンドセットによる支払いが標準になるでしょう。

「すべて」とはモノのインターネット（IoT）とコネクテッドワールドを指します。直に冷蔵庫を使って食料を直接注文できるようになり、またコンテンツプロバイダーに関わらず、銀行から直接的にテレビでショーを購入できるようになるでしょう。デバイスが真に接続された状態になるでしょう。このすべてにわたり、確実にこのイノベーションとコネクションが安全で妨害されないようにするために、セキュリティが透明でシームレスな役割を担う必要があります。数年先にそれは事業、銀行、ベンダー、業界の標準の役割になるでしょう。

9. デジタル本人確認技術への信用が規制とともに拡大

OneSpan、ソリューションアーキテクト、Conor Hickey

デジタル本人確認の一本化は、行政あるいは金融機関のような信用ある民間団体の管理下であろうと、今後数年で標準になるでしょう。身元確認を1回証明する能力と、それを複数回使用する方法は、ヨーロッパの多数の国で既に用いられています。これがもっと一般的に、そして使いやすくなるでしょう。ひとつの信頼ある団体でアカウント開設することで、シームレスに他でもアカウントを開設できるようになります。

規制もまた、デジタルによる本人確認で人々の信用を築くための必要なステップです。規制の結果のひとつとして、プロバイダー新しいルールを理解して合わせるものの、一時的な採用のスピードの低下が起こるでしょう。しかしこれが最終的に、幅広い受け入れへと繋がるはずです。例えば、顔の比較の規制は、幅広い採用になるならば不可欠です。これによりテクノロジーの誤使用や、悪用でも防ぐために役立つからです。

10. ドラッグアンドドロップ機能はセキュリティ製品の操作性に新しい波を生む

OneSpan、セキュリティエバンジェリスト、セキュリティサービスディレクター、Will LaSala

2020年はセキュリティに関する新しい機能がリードするでしょう。DevOpsとDevSecOpsのチームが、シンプルなドラッグアンドドロップテクノロジーを備えたアプリケーションの構築に役立つように、増えゆく効率ツールの見張り番になるべきです。その名の通り、「ドラッグアンドドロップセキュリティ」が大きくなるでしょう。開発者は新しいクラウドベースツールを用いてワークフローを構築できるようになります。  こういったツールは既に内蔵セキュリティ機能を備えており、既存のリスク分析ツールで監視可能で、カスタムビジネスアプリケーション周辺のセキュリティを大幅に強化します。  加えて、同じスタイルのツールのアプリにセキュリティを追加する能力に焦点を当てたツールにも期待しています。  特定のセキュリティ技術に注力していたエンジニアが新しいセキュリティ技術を実装してテストするために何ヶ月もかかっていたところを、このようなツールではもっと多様化したチームが以前よりずっと速くセキュリティ機能を実装できるようになります。 

ローコードはこのようなツールの舵を握る主要な役割になるでしょう。現在DevSecOpsとローコードは一体化しようとしており、セキュリティ製品の究極の操作性のこのニューウェーブがやってくるでしょう。

契約の自動化技術はこの新しい世界に早い段階で登場していますが、もっと単純化して、従来であればセキュリティを追加するにも複雑過ぎたり、難しすぎたりした場所でも、カスタマーが多くのワークフローにセキュリティを付加できるようになる機能を提供するでしょう。AIベースのリスク分析と適応型認証を合わせ、シンプルなドラッグアンドドロップ設定を備えたセキュリティワークフロー管理は、ユーザーがウェブやモバイルアプリケーションで行えるすべてに対応するアクティブなデジタルセキュリティの提供へと真に移行する初めての動きのスタートになるでしょう。