新しい金融「スーパーアプリ」に強固なセキュリティが必要な理由

米国ではまだ普及していませんが、WeChat やAlipayなどの「スーパーアプリ」は、中国をはじめとするアジア諸国で圧倒的な存在感を示しています。ラテンアメリカでも人気があります。スーパーアプリとは、ソーシャルメディアからショッピング、決済、金融サービス、ストリーミングメディア、エンターテインメントまで、日常的に使う多数の人気アプリを1つにまとめた、スマートフォンの総合的なアプリです。多数のアプリで構成されるクローズ・エコシステム、または、複数の異なるモバイルサービスが1つの人気アプリにまとめられたマーケットプレイスとも言われています。

最近では、米国の先進的な企業が、「欧米のWeChat」を目指して、独自のスーパーアプリの構築に取り組み始めています。PayPalFacebookWalmart などが、各種銀行手続きや送金、P2P決済、融資、保険など、消費者のあらゆる金融ニーズにワンストップショップで応えることのできる金融スーパーアプリの開発競争に参加しています。米国初の金融スーパーアプリの開発を進めているのは、ハイテク企業や大手小売企業だけではありません。従来型の銀行も参戦しています。競争が激化する中、1つのアプリでさまざまなサービスを提供し、より魅力的なモバイル体験を提供することが、顧客エンゲージメントや顧客ロイヤリティの向上につながると認識しています。  

しかし、スーパーアプリはセキュリティリスクを高めます。モバイルマルウェアによる攻撃は増加しており、2020年だけでも156,710件のモバイルバンキング型トロイの木馬が確認されていますが、多くの銀行はリスクに対する準備が不十分なままです。米国初の金融スーパーアプリの市場投入を成功させるためには、銀行は新しい技術や手法を取り入れてモバイルアプリのセキュリティを強化し、セキュリティ対策を設計の段階で取り入れる必要があります。

なぜスーパーアプリなのか?

銀行サービスや金融サービスは、近年、競争が激化し、混み合った業界となっています。従来型の銀行は、より優れたモバイル顧客体験を提供していると評価の高いフィンテック関連スタートアップ企業やネオバンクなど、多くの新しい競争相手との厳しい競争に直面しています。銀行には顧客からの信頼という便益がありますが、デジタル時代の競争に勝つためには、新しいモバイル技術への投資、モバイルサービスの増加、モバイル体験の向上が必要です。それにより、新規顧客の獲得と顧客の維持が実現できます。

一般的なモバイルユーザーは、1日に4時間 以上をスマートフォンのアプリで過ごしていますが、その大半は、ごく一部の人気アプリに費やされています。銀行は、自社のアプリを、基本的な銀行手続きだけでなく、モバイル決済、P2P、デジタルウォレット、融資、投資、保険など、人々のあらゆる金融活動のハブとして機能させることができれば、より多くの顧客エンゲージメントを獲得し、採用率の向上、顧客ロイヤリティの強化、ブランドの成長につながると認識しています。米国ではないものの、最近ではBelfiusKBC などの欧州の銀行が新しい試みを開始しています。後者は銀行アプリに通信サービスやエンターテイメントイベントのチケット販売などを追加しています。
スーパーアプリには必要なものがすべて一箇所に揃っており、より良いモバイル体験が提供できるため、消費者にも便益が生まれます。多数のアプリにそれぞれ別々の認証資格情報を作成したり、スマートフォンで複数の画面をめくりながら目的のアプリを探したりすることにイライラするのは私だけではないはずです。重要な金融機能が1つのスーパーアプリに集約されれば、消費者は1つの認証資格情報だけですべてのサービスが利用でき、サービスごとに別々のアプリをインストールする必要もなく、時間とスマートフォンのストレージスペースの両方を節約することができます。

超大型の脅威が潜む環境

スーパーアプリは、金融機関とその顧客の双方にとって便利さとさまざまなメリットが存在する一方で、新たなリスクももたらしています。銀行がサードパーティと提携してモバイルアプリにサービスや商品を追加すると、攻撃対象の領域が拡大し、サイバー犯罪者にとって潜在的な脆弱性となります。また、新しいサービスやモバイル機能の市場投入を急ぐあまり、開発者はセキュリティを疎かにしてしまうことがあります。サイバー犯罪者は、その状況を知った上で存分に利用しながら、攻撃の対象を絞り込んでいきます。したがって、スーパーアプリの開発に取り掛かる際に、銀行はモバイルアプリ対応の強固なセキュリティを最初の段階から組み込んでおく必要があります。

モバイルの脅威からスーパーアプリを守るには

銀行は長年にわたり強力なオンラインセキュリティにおいて信頼を得てきましたが、モバイルアプリのセキュリティでは苦戦を強いられてきました。Webアプリの場合、ユーザーが直接操作できる部分はごく一部(フロントエンドのコード)であるため、銀行はしっかりとしたセキュリティ管理を行うことができます。モバイルアプリの場合、アプリケーションコードはユーザーのデバイス上に保存されるため、銀行はそのデバイスのセキュリティの衛生状態の管理ができません。例えば、そのデバイスは脱獄されていたり、モバイルマルウェアに感染していたり、定期的なセキュリティアップデートが行われていなかったりする可能性があります。

このため、銀行にとっては、モバイルアプリケーションシールドやランタイムプロテクションなどの最新技術を用いて、顧客側でアプリを保護することが必須となっています。モバイルアプリケーションシールドは、脱獄された携帯電話や感染した携帯電話で動作している場合でも、モバイルアプリを脅威から効果的に保護し、侵入、改ざん、リバースエンジニアリングに対するアプリの耐性を高めます。銀行は、生体認証やその他のテクノロジーと組み合わせることで、金融スーパーアプリを詐欺や中間者攻撃などの脅威から守り、スムーズで摩擦のない顧客体験を維持することができます。モバイルアプリケーションシールドに加えて、銀行はアプリに強力な認証機能をネイティブに統合することにも注力する必要があります。デジタルID認証、顔認証、音声認証、指紋認証器、行動的生体認証などのツールを活用することで、銀行は迅速にユーザーを認証し、安全に新規顧客のセキュアなオンボーディングを実施することができます。

銀行が新規市場参入者やモバイルファーストのイノベーターに効果的に対抗するためには、モバイルサービスの拡大に投資してモバイル体験を向上させることが必須となります。銀行には、金融スーパーアプリが必要です。顧客の銀行・金融・決済のすべてのサービスを1つに統合することで、銀行には頼りになるアプリがあるという市場での地位を確立することができます。しかし、そのためには、設計の初期段階から強固なセキュリティ対策が必要となります。革新的な銀行は、モバイルアプリケーションシールドや生体認証などのテクノロジーを用いて、消費者が求める金融スーパーアプリを開発するとともに、モバイルの脅威から消費者の金融サービスのデータを保護することができます。

モバイル アプリケーション シールディング
Whitepaper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now

本ブログは、OneSpanプロダクト・マーケティング担当ディレクターのSamuel Bakkenによって執筆されたものです。2021年11月25日にSCMagazineに掲載されました。

サムは、OneSpanモバイルアプリのセキュリティポートフォリオを担当するシニアプロダクトマーケティングマネージャーであり、情報セキュリティの分野で10年近くの経験があります。