NewB銀行、数週間でデジタルバンキングのセキュリティを導入 – その方法をご紹介します　

NewB銀行は、ベルギーで40年ぶりに誕生した新しい銀行です。デジタルオンリーバンクで、オンラインバンキングのポータルとモバイルアプリのみで組合員にサービスを提供しています。エシカルでサステナブルであることを目標に掲げ、協同組合のため全組合員による共同所有で、組合員は銀行への投資額にかかわらず、銀行の運営方法について発言権があります。

ここでは、NewB銀行のデジタルバンキングサービスが市場に登場するまでの数ヶ月間のストーリーをご紹介します。NewB銀行は、デジタルセキュリティの導入に向けて厳しいスケジュールに直面していました。組合員を保護し、セキュリティに関する法規制遵守の要件を満たすために、適切なサイバーセキュリティの導入が必須でした。組合員は、貯蓄を預ける、個人ローンを申し込む、請求書の支払いや送金を行うという日々の銀行サービスにNewB銀行のデジタルアプリを利用することになります。

デジタルセキュリティの目標達成に向けて、NewB銀行は次のような核心的な質問に答えを見つけることから始めました。組合員や取引を守るための適切な認証技術は何か？セキュリティ問題、詐欺、脆弱性に対処するためには、どのセキュリティベンダーと提携すべきか？

課題：デジタルバンキングにPSD2に準拠したセキュリティを迅速に導入する方法

まず、PSD2（欧州決済サービス指令第2版）規制への対応が必須でした。PSD2は、動的リンクなどの高度な認証方式が、金融サービスにおける標準的なセキュリティツールとなることを保証するものです。強力な顧客認証（SCA）に関するPSD2の最も重要な要件には次のようなものがあります。

• 二要素認証 （2FA）：正当な口座所有者のみが銀行口座やオンラインサービスにアクセスできるようにするには二要素認証または多要素認証（MFA）が第一の防御策となる。
• 動的リンク ：トランザクション・オーソリゼーション（取引承認機能）とも呼ばれ、サイバー犯罪者が正当な支払いや送金を横取りし自らの銀行口座に振り込むソーシャルエンジニアリングなどの攻撃から消費者を守ることを目的としている。
• 認証要素の独立性 : 銀行のモバイルアプリを利用して顧客や取引の認証を行う場合、金融業者はモバイルアプリでのセキュアな実行環境を使用しなければならない。最良の方法の一つは アプリケーションシールド技術。

これらの要件に準拠したテクノロジーソリューションを準備・導入することに対し、NewB銀行には時間的余裕はありませんでした。2020年1月に銀行免許を取得しましたが、セキュリティの導入を早急に進めることが必要でした。

「ベルギーでは法律により、銀行免許を取得してから1年以内に銀行業務を開始する必要があります。つまり、2021年1月末までに銀行業務を開始しなければなりませんでした」と、NewB銀行のプロジェクトマネージャーであるAdrien Liénard氏は説明します。

すべてが予定通りに進むことが重要でした。新しい銀行の立ち上げに影響を与えてしまうような遅れは許されません。欧州の決済システムに接続するため、セキュリティベンダーを選定し、2020年11月上旬までに本稼働させる必要があったからです。

2020年1月より、銀行への導入実績のあるプロバイダーから適切なテクノロジーを調達することが急務となりました。

ソリューションを見極める：目標達成への最適なテクノロジーとは？

NewB銀行は、PSD2のSCA要件に準拠した適切なテクノロジーを見つけることに加えて、4ヶ月以内の導入も必要でした。このスケジュールに対応できるのは、クラウドベースのソリューションです。クラウドベースのソリューションは、迅速に導入でき、管理も容易で、多くの認証方法にも対応できます。また、NewB銀行は、単一のREST APIをベースにしたソリューションであれば、セットアップが簡単で、より早く本稼動できると考えていました。

NewB銀行が最初に導入したソリューションは、OneSpanクラウド認証（OneSpan Cloud Authentication）です。NewB銀行にとって、ITインフラを購入・プロビジョニング・導入する必要がなく、数週間で導入できることは大きなメリットでした。リソースや予算などによっては1年ほどかかるオンプレミス型の導入とは大きく異なります。また、OneSpanクラウド認証は、PSD2のSCA要件を満たすように設計されており、多要素認証、動的リンク、モバイルセキュリティ、Apple iPhoneのTouch IDやAndroidの指紋認証センサーなどの生体認証技術などに対応しています。

OneSpanクラウド認証は、デジタルバンキング向けのさまざまなセキュリティオプションを提供しています。「OneSpan社のCronto（クロント）テクノロジーおよびMobile Security Suite（モバイル セキュリティ スイート）テクノロジーは、すべての要件を満たすソリューションでした」とAdrien Liénard氏は説明します。これにより、NewB銀行は、組合員がデジタルバンクに期待するモダンなバンキング体験を提供しながら、口座保有者を詐欺攻撃から守るセキュリティを実現しました。 

1. Crontoテクノロジー

顧客の認証体験を設計する際、NewB銀行は2つの認証方法を選択しました。モバイル用Cronto®トランザクション認証ソリューションと、そのハードウェアとなるDigipass®772（デジパス 772）認証装置です。

デジタルバンクには、優れたモバイルデバイスでの顧客体験が必要です。しかし、顧客体験の観点から最も困難なセキュリティに関する法規制遵守の要件は、動的リンクです。問題は、規制を遵守しつつ、銀行の顧客にとって使いやすい方法で、どのように動的リンクを実装するかということです。

最も広く受け入れられている方法の一つは、Crontoと呼ばれるカラーのQRコードのようなものです。

銀行が確認や承認のために金融取引や決済データを顧客に送信する際、そのデータはCrontoコード内で暗号化されます。顧客は、スマートフォンやハードウェアデバイスで暗号を読み取ることでデータを復号します。コンピューターがトロイの木馬のようなマルウェアに感染していても、視覚的コード上ではデータを変更することはできません。金融機関は、このアプローチでPSD2の動的リンク要件に準拠することができます。

Cronto機能は、ソフトウェアとハードウェアの両方で利用できるため、組合員は認証方法を選択することができます。また、全組合員が同じ顧客体験とセキュリティを維持することができます。Adrien Liénard氏は、「Crontoを選んだ最大の理由は、ユーザーフレンドリーであること、そして、誰もが同じ顧客体験を得られることです。採用の決め手は、コスト、使い勝手の良さ、デビットカードが使えるようになる前に銀行を立ち上げることができるという点です」と言います。

2. Mobile Security Suite テクノロジー

NewB銀行のソリューションのもう一つの要素は、OneSpan Mobile Security Suiteです。これにより、モバイル開発者は、モバイルバンキングアプリ内に追加のセキュリティ機能のネイティブな統合が可能となります。NewB銀行は、モバイルセキュリティ機能の中から、モバイルアプリケーションシールド機能を利用し、開発したモバイルバンキングアプリを保護しています。

モバイルアプリケーションシールドは、ローコードの技術で、攻撃者が銀行の資格情報、機微情報、パーソナルデータを盗んで銀行取引を乗っ取るために使用するトロイの木馬、リバースエンジニアリング技術、ランタイムの脅威などのモバイルバンキングのサイバーセキュリティ上の脅威から保護します。また、セキュアな実行環境を構築することで、脱獄したモバイルデバイスなど、信頼できないモバイルデバイス上でも、モバイルアプリを安全に動作させることができます。

このテクノロジーは、PSD2への対応に特化したものです。PSD2では、銀行の認証フローの一部として使用されるモバイルアプリについて、攻撃者がアプリをリバースエンジニアリングして、認証コードの生成に使用されたトークンの秘密を明らかにし複製する可能性を軽減することが求められています。OneSpanのモバイルアプリケーションシールドは、NewB銀行のバンキングアプリケーションをクローニングから守ります。さらに、リパッケージによるサイバー攻撃からもアプリを保護することができます。

ベンダーの選定：どのセキュリティプロバイダーから購入すべきか？

主要なセキュリティベンダーを評価した結果、NewB銀行はOneSpanを選びました。「パートナーの専門知識と評判は、ソリューション自体の機能性と同じくらい重要です」とNewB銀行のAdrien Liénard氏は言います。「当局は新規参入の銀行を厳しくチェックするので、当銀行のことを注目しているのは分かっています。信頼できるパートナーとの提携は、当局に安心感を与えることができます。

OneSpan社の市場での評判、セキュリティの専門知識、PSD2に関する経験は、当銀行に大きな影響を与えました。例えば、先日、PSD2のレポートを国立銀行に送らなければなりませんでした。OneSpan社に相談したところ、24時間後には回答が届きました。OneSpan社によるサポートを経験し、さらなる価値を見出すことになりました」。

また、NewB銀行は、このプロジェクトの統合パートナーとしてMAINSYS社を選びました。MAINSYS社は、NewB銀行に勘定系システムを提供しています。金融分野のデジタルプラットフォームを専門とするベルギーのITサービス・ソフトウェア会社です。

「時間的な制約のため、オンラインバンキングにOneSpan社のCrontoテクノロジーとDigipass認証装置の導入を優先しました。その完成を経て、プロジェクトの第2段階であるモバイル開発に着手しました」とMAINSYS社のプロジェクトマネージャーであるMathieu Latour氏は説明します。

携帯電話を持っていない組合員でも、携帯電話を持っている組合員と同じように簡単に安全な認証ができることは、NewB銀行にとって非常に重要でした。OneSpan社ではソフトウェアとハードウェアの両方の形式によるソリューションが可能なことから、全組合員に同じ顧客体験と認証フローを提供でき、この問題が解決されました」。

最後に

あらゆる業界が最新のプロセスやIT環境を導入しようとしている中、クラウド認証は、非常に迅速に効率化を図ることができる機会を銀行業界にもたらし、導入しやすく、低コストで、クラウド導入の典型的なメリットをすべて備えたソリューションを金融機関に提供します。デジタルチャネルでの不正行為が急増し、顧客体験が最重要視されている昨今、クラウド認証を真剣に検討する必要があると言えます。ハッカー、フィッシング、データ漏えい、ランサムウェア、個人情報の盗難、アカウントの乗っ取り、その他のサイバー犯罪からデジタルチャネルを保護するのに役立ちます。

OneSpanセキュリティプロダクト・マーケティング担当シニアディレクターのDavid Vergaraは、「不正行為やその他のセキュリティリスクに対応するための新しいテクノロジーを追加する仕組みを提供する上で、クラウドが可能にすることは、スピード、柔軟性、シンプルさです。実際、クラウドプラットフォームは、認証技術やセキュリティ技術を統合し、そのサイバーセキュリティ対策を銀行やフィンテックが迅速に利用できるようにするのに非常に適しています」と述べています。

NewB銀行がOneSpanのクラウドテクノロジーを顧客体験や認証フローに導入し、顧客の金融情報を保護した方法については、ケーススタディをご覧ください。