Raiffeisen Italyがモバイル認証とモバイルアプリのシールディングでPSD2(欧州決済サービス指令第2版)コンプライアンスを達成した方法

Jeannine Mulliner, 2018年10月22日

Raiffeisen Italyはイタリアの南チロル地方にある40の事業体からなるRaiffeisen Bankの傘下組織です。これらメンバーの銀行のITサービスを管理しながら、Raiffeisenの情報システムCIOのAlexander Kiesswetter氏は、Raiffeisen Italyの認証システムを改訂されたPSD2(欧州決済サービス指令第2版)に適合すべくモダナイズしました。その計画の一部として、Raiffeisen Italyはユーザーを認証し、安全性を確保するスタンドアロンのモバイルアプリを導入しました。これはOneSpan Mobile Security Suite(ワンスパン モバイル セキュリティ スイート)を用いて構築され、Raiffeisenブランドのホワイトレーベルになりました。

これを主に動かしていたのはPSD2(欧州決済サービス指令第2版)コンプライアンスですが、デジタルとモバイルバンキングの急速な採用により、Raiffeisen Italyには強靭なセキュリティと簡単なユーザーエクスペリエンスの両方を提供することが重要になりました。簡単に言えば、カスタマーはちょっとした取引のたびに銀行のカードやハードウェアトークンをもう取り出す代わりに、自分のモバイルデバイスで認証することを好んでいます。

「モバイルファーストは、当社のデジタルトランスフォーメーション戦略の重要な部分です。当行は初めて、認証にハードウェアツールを用いずに、サービス全体をスマートフォンに移行する解決方法を得たのです。現在、認証用のPINだけでなく、Face IDとTouch IDも利用できます。」とAlexander Kiesswetter氏が述べています。

PSD2(欧州決済サービス指令第2版)コンプライアンス要件

CIOとしてAlexander Kiesswetter氏が直面する2つの課題:PSD2(欧州決済サービス指令第2版)コンプライアンスへの準拠と、顧客が使いにくいと敬遠するレガシーの認証システム。

PSD2(欧州決済サービス指令第2版)コンプライアンスはヨーロッパ全土の金融機関にとって主要な優先事項です。FIはStrong Customer Authentication(確実な本人認証)とトランザクションリスク分析の要件に適合する必要があります。加えて、Raiffeisen Italyは他に2つのPSD2(欧州決済サービス指令第2版)要件にも適合する必要がありました。

  • ダイナミック・リンキング: 遠隔からの支払取引に、PSD2(欧州決済サービス指令第2版)では、FIが取引を固有の金額と支払先に動的にリンクする認証を適用することを求めています。認証プロセスを通して、支払情報の機密性、整合性、真正性が保護されている必要があり、ユーザーは金額と支払先を認識していなければなりません。
  • 複製保護: 銀行がモバイルアプリを認証フローの一部として使う場合、攻撃者がアプリをリバースエンジニアリングして認証コードの生成に使われたトークンシークレットを取り出し、ともすると再生産されてしまうリスクを軽減するアクションを取らなければなりません。そのため、FIは所有部品(この場合はアプリ)をクローニングから保護しなければなりません。

さらに、銀行はより簡単な認証エクスペリエンスをカスタマーに提供したいと考えていました。問題は、セキュリティと使いやすさの間で従来の綱引きを行っている状態にあると気付いたことです。そして、カスタマーエクスペリエンスを犠牲にしてセキュリティが勝利しました。従来の認証システムは安全性が高く確保されていましたが、カスタマーからは、煩わしいと苦情が出ていました。

「OneSpanを利用し出すまでは、当社の注意はセキュリティに絞られていました。だから、別の選択肢で十分なセキュリティを得られると確信していなかったため、銀行カードとハードウェアトークンを切り離していました。」とKiesswetter氏は話しています。

評価と選択

Raiffeisen Italyにとっては、ITセキュリティパートナーの適切なネットワークを通じて最善のテクノロジーを選択することが成功の中核です。社内構築はオプションとしてあり得ないため、CIOは2つのチームにソリューションの評価を依頼しました。

  • 認証には、IT技術者のグループがソフトウェアの選択を行いました。
  • モバイルアプリセキュリティには、評価チームはCISO、ITアーキテクト、そしてリスクとコンプライアンス、ソフトウェア開発、カスタマーサポートチームの代表者がいました。

「選択プロセス中、数社を評価しました。OneSpanと他のベンダーとで見られた大きな違いは、OneSpanのソリューションはハイレベルのセキュリティとコンプライアンスに、ハイレベルの利便性を合体させていることでした。」

OneSpan リスク アナリティクスを利用してPSD2に準拠した不正監視を実現
白書

OneSpan リスク アナリティクスを利用してPSD2に準拠した不正監視を実現

新しいPSD2要件では、金融サービス組織がトランザクションの監視を実行する必要があります。 このホワイトペーパーでは、特定の要件と、OneSpan RiskAnalyticsがコンプライアンスを維持する方法について説明します。

今すぐダウンロード

ダブルのソリューション

APIのOneSpan Mobile Security Suite(ワンスパン モバイル セキュリティ スイート)ライブラリを用いて、Raiffeisen Italyはカスタマーのオンライン取引を不正詐欺からセキュアに保護するためにトランザクション署名方式を追加しました。また、モバイルトークンアプリを保護するためにモバイルアプリのシールディングも統合しました。

「高度なセキュリティやハイレベルの利便性を提供してくれることから、当社はOneSpanの革新的なソリューションを選択しました。従来、セキュリティと利便性においては、常にいずれかを妥協しなければならず、セキュリティと利便性を同時に叶えるのは非常に難しいことです。私たちはカスタマーエクスペリエンスに革新をもたらし、簡素化することを望んでいました。このプロジェクトにより、私たちはそれを実行することができました。」とKiesswetter氏が述べています。

OneSpanのソリューションは、銀行のPSD2(欧州決済サービス指令第2版)要件への適合を実現させています。

  • ダイナミック・リンキング: 銀行は取引詳細を暗号化するために、カラードットから成る視覚的な記号を用いるCronto®(クロント)テクノロジーを実装しました。ヨーロッパ全土と世界各地の銀行が採用するCrontoは、ユーザーエクスペリエンスに及ぶ影響を最小限に抑えながら、金融取引の安全性を確保するためのPSD2(欧州決済サービス指令第2版)認証とダイナミック・リンキングの要件に適合しています。

    トランザクション署名方式エクスペリエンスのサンプルをご覧ください >>
     
  • 複製保護: モバイルファースト戦略の一環として、Raiffeisen Italyはユーザーを認証してその安全を確保するモバイルバンキングアプリケーションを発表しました。同行はモバイルアプリのセキュリティ(特にランタイムプロテクションを搭載したモバイルアプリのシールディング)でアプリを保護するべく、イタリア国内の市場初のリーダーシップの役割を果たしました。このテクノロジーは数種類のランタイム脅威からモバイルアプリを保護します。モバイルアプリ用に安全な実行環境を作り、たとえ信頼できないモバイルデバイスでも実行できるようにします。

    モバイルアプリのシールディングのビデオをご覧ください >>

メリット

Raiffeisen Italyは良いカスタマーフィードバックを受け、新しい認証アプリは高く採用されています。

「カスタマーはRaiffeisenを以前と同じように革新的な銀行と認識しています。」とCIOが話しています。「私に届いたフィードバックによると、カスタマーは新しい機能に非常に満足しているとのことです。新しい認証アプリも市場で発表しました。それを発表したとき、かなりの需要と高い活性化が見られました。これを市場が非常に良く受け入れたという前向きな印と捉えています。」

「他の銀行への私のアドバイスは、最前線、つまりカスタマーとの接点でデジタルトランスフォーメーションを開始することです。改革が最も重要なのはそこなのですから。」

このブログは、Raiffeisen Italy PSD2ケーススタディ『Raiffeisen ItalyがPSD2遵守への適合と使い勝手の良さから、モバイル認証とモバイルアプリのシールディングを実装』の抜粋です。

Jeannineは20年間、テクノロジーとそれを適用して日常の課題を解決する方法について書いてきました。 Jeannineは、OneSpanのコンテンツディレクターとして、金融機関やその他の組織がセキュリティおよび電子署名ソリューションから価値を得るのを支援することに焦点を当てたライターおよびコンテンツ開発者のチームを率いています。 Jeannineは、l'UniversitédeSherbrookeでプロフェッショナルライティングの学士号を取得しています。