作成から10年:金融規制当局がFFIEC認証ガイダンスを更新

10年ぶりに、米国連邦金融機関審査評議会(( FFIEC )更新金融機関のサービスとシステムへの認証とアクセス2021年8月11日のガイダンス。 更新の間隔が10年と長いと思われる場合は、そうです。 10年前、サイバーセキュリティ、情報セキュリティ、およびリスク評価に関するダイナミクスは異なっていました。

ランサムウェアは存在せず、認証資格情報が発行される前に個人が身元を確認するための質問のリストが提示される知識ベースの検証(KBV)が標準であり、ほとんどの場合、信頼されていました。

FFIECは、連邦準備制度(FRB)の理事会、連邦預金保険公社(FDIC)、全国信用組合管理機構(NCUA)、通貨監督庁(OCC)で構成される正式な省庁間機関です。 )、および消費者金融保護局(CFPB)。 FFIECは、「金融機関の監督の均一性を促進するための提言を行う」ことを任務としています。

FFIECのガイダンスは、FIに代わって情報システムおよび認証制御へのアクセスを提供する規制対象の金融機関(FI)およびサードパーティに適用されます。 ガイダンスによると、「原則と慣行は、デジタルバンキングサービスと金融機関の情報システムにアクセスする企業と消費者の顧客、従業員、およびサードパーティに対応しています。」

FFIECの新しいガイダンスのハイライト

FFIECは、FIが、認証とアクセス管理の制御を保証するユーザーと顧客、および多要素認証(MFA)などのより厳格な認証制御を必要とする可能性のあるユーザーと顧客を特定することを推奨しています。

適切には、FFIECは規制対象のFIに、単一要素認証(通常はユーザー名や静的パスワードなどの既知のもの)では不十分であることを警告します。 「単一要素認証で保護されたシステムやユーザーに対する攻撃は、多くの場合、不正アクセスにつながり、データの盗難や破壊、ランサムウェアによる悪影響、顧客アカウントの詐欺、個人情報の盗難につながります。 したがって、唯一の制御メカニズムとして単一要素認証を使用することは、これらの脅威に対して不十分であることが示されています。」

ガイダンスはまた、「...顧客とユーザーのアカウントと情報システムのセキュリティの侵害をもたらす悪意のある活動は、単一要素の認証が、単独で、または階層化されたセキュリティと組み合わせて、多くの状況で不十分であることを示しています」と付け加えています。

これは、米国財務省の金融犯罪捜査網(FinCEN)による2020FedIDフォーラムでのプレゼンテーションによってサポートされています。FinCENは、犯罪者がIDシステムの弱点を悪用して、毎月10億ドル以上のサイバー犯罪を犯していることを説明しました。弱い認証の主なターゲットには、月額4億3300万ドルの損失をもたらすビジネス電子メール侵害(BEC)が含まれ、その直後に月額3億5000万ドルを盗むアカウント乗っ取り攻撃(ATO)が続きます。

さらに、FFIECは、すべてのMFAソリューションが同等のユーザビリティとセキュリティを提供するわけではないことを適切に指摘しています。 「特定のMFA要素は、ハッカーが顧客に送信された1回限りのセキュリティコードを傍受した場合など、「中間者」(MIM)攻撃の影響を受けやすい可能性がある」と指摘しています。 NISTがこの例を使用しているため、これは真実です。デジタルIDガイドライン:認証とライフサイクル管理(特別刊行物800-63B)。 2020年7月、NISTは特別刊行物800-63:デジタルアイデンティティガイドラインに関するFAQ SMS-OTPは「制限付き」オーセンティケーター。

更新されたガイダンスは拡大する脅威の状況をカバーし、デジタルバンキングがスマートフォンアプリ、モバイルコンピューティング、およびその他のテクノロジーを介して拡大したことを引用していますが、FIがアプリケーションをマルウェアから保護し、改ざんやデバッグを防ぎ、モバイルアプリを保護することを推奨する機会を逃していますジェイルブレイクされ、ルート化され、潜在的に侵害されたデバイスでも。

セクション11:本人確認

ガイダンスのセクション11は、Know Your Customer(KYC)規制の重要なコンポーネントであるID検証に焦点を当てています。 「合成IDやなりすましのインスタンスなどの不正行為を検出する検証方法は、ID検証に関連するリスクを最小限に抑えるのに効果的であることが示されています」と述べています。上記のFinCENのプレゼンテーションでは、個人情報の盗難と合成ID詐欺が、毎月2億5600万米ドルのサイバー犯罪を占めていることを考えると、これは特に重要です。

FFIECは、「信頼できる検証方法は、一般に、身元を検証するために知識ベースの質問だけに依存するわけではない」と強調しています。次のようなデジタルID検証方法に同意して推奨しますID文書の検証と顔の比較

これらの技術は、パンデミックにより急速に採用されています。 パンデミックにより、金融機関は新規顧客をリモートでオンボーディングすることを余儀なくされましたが、2018年のタイミング経済成長、規制緩和、および消費者保護法多くのFIが、緊急法を必要とせずに、支店の外で新しい顧客を獲得し続けることを許可しました。 法のセクション213は、スキャンされた運転免許証またはその他の政府発行の身分証明書を本物であることが確認され、個人の確認と組み合わせて使用することを許可しています。これにはKBVが含まれる場合があります。運転免許証の写真と、申請時に携帯電話で撮った自撮り写真を照合します。これは顔のマッチング技術を活用し、プロセスはFFIECの要件を満たしています。

認証ソリューションの評価

スキャンID

FIがリスクのレベルに応じて適切な認証ソリューションを選択するのを支援するために、ガイダンスには、次のような主要な認証オプションをリストした付録が含まれています。

  • デバイスベースの公開鍵インフラストラクチャ(PKI)認証:この代表的な例は、 Fast Identity Online(FIDO)Allianceアライアンスの仕様に準拠しています。 FFIECはFIDOを具体的に指定していませんが、NISTの特別刊行物1800-17の脚注を付けています。 Eコマースの多要素認証:購入者向けのリスクベースのFIDOユニバーサル2要素実装
  • ワンタイムパスワード(OTP)特定のハードウェアまたはモバイルアプリを使用します。 (これはSMS-OTPと同じではないことに注意してください。)
  • 行動バイオメトリクスこの認証テクノロジーは、キーストロークダイナミクス、キーパッドへの指の圧力、電話を保持する角度など、個人がデバイスをどのように操作するかを分析します。 これにより、銀行のセッション全体を通じて、永続的でありながら完全に透過的な認証が可能になります。
  • デバイスの識別と登録: 「デバイスのジオロケーションやIPアドレスなどの一意の識別子または特性は、デバイスの複雑なデジタル「フィンガープリント」を取得するか、他の安全な識別技術によって識別され、認証に使用されます。」

情報技術、セキュリティ管理、およびインターネットバンキング環境に関連する脅威の急速な変化により、FFIECがFIの認証ガイダンスを更新するためにさらに10年待つことはないと思います。

国の重要なインフラストラクチャセクターの1つとして、金融サービス業界は、効果的な認証によって顧客と顧客情報、ブランドの評判、株主価値を保護するために、このガイダンスに準拠することが重要です。 今日、多くのFIが顧客に強力な認証ソリューションを提供していますが、すべてが提供しているわけではありません。 アメリカの銀行の顧客にとっての朗報は、金融機関がより強力な認証のために独自のデバイスを使用する機能をまだ提供していない場合、すぐに利用できる可能性があるということです。

ラップトップでのOneSpanクラウド認証デモ

OneSpanクラウド認証デモ

OneSpan Cloud Authenticationが、企業が不正を減らし、ユーザーエクスペリエンスを改善し、規制要件を満たすのにどのように役立つかを学びます。

視聴する

Michael Magrathは、OneSpanのソリューションロードマップをグローバルな標準および規制要件に合わせる責任があります。 彼はFIDOAllianceのGovernmentDeployment Working Groupの共同議長であり、Electronic Signature and Records Association(ESRA)の理事会に所属しています。