CASE STUDY

みずほ銀行が、DIGIPASS FOR APPS を活用してトランザクション認証機能を 実装したモバイルバンキング アプリケーションをリリースしました

2015年に邦銀リテール部門初のトランザクション認証機能を導入したみずほ銀行は、強固なセキュリティを維持しながらモバイルユーザの利便性を更に向上させました。

mizuho logo transparent

要約

導入目的
  • 顧客ニーズにきめ細かく対応するため、トランザクション認証機能を備えたソフトウェアトークンの追加実装・配布
チャレンジ
  • 既存のハードウェアトークンに匹敵するセキュリティ強度
  • 利便性の高さを同時に実現するため、モバイルバンキングアプリにネイティブで組み込むこと
結果および効果
  • 統合的なSDK群であるDIGIPASS for Appsで、ネイティブバンキングアプリへソフトウェアトークンを実装。既存のハードウェアトークンと同 等の ワンタイムパスワードやトランザクション認証機能だけでなく、スマートフォンに特化したセキュリティ機能の追加も実現
  • プロフェッショナルサービス(コードレビュー)を活用して、短期間でのスムーズな開発に成功

携行性とアプリユーザの利便性を高めるソフトウェアトークン導入

みずほ銀行は、2008年にリテール部門においてV A S C O のワンボタン式トークン DIGIPASS GO 6を導入して以来、OneSpanのVACMAN ControllerおよびDIGIPASS製品を利用して、オンラインバンキングサービス「みずほダイレクト」上の取引における不正行為の防止に努めてきました。2015年3月には、キーパッド付ハードウェアトークンDIGIPASS 275を利用して、邦銀リテール部門として初めてトランザクション認証機能まで含んだ認証セキュリティの運用を開始しました。トランザクション認証機能は、マン・イン・ザ・ブラウザ攻撃のような高度な手法による不正送金を未然に防ぐことができるセキュリティ機能です。

DIGIPASS 275によるトランザクション認証機能が顧客にも浸透しつつある現在、同行はトークンの携行性強化とあらゆるユーザのニーズに配慮して、DIGIPASS for Appsを用いたソフトウェアトークンの実装を行いました。バンキングアプリ「みずほダイレクトアプリ」上にワンタイムパスワード(OTP)およびトランザクション認証を始めとした様々なセキュリティ機能をネイティブで組み込み、DIGIPASS 275と同等レベルのセキュリティと利便性をスマートフォン上で実現しました。ハードウェアトークンを傾向する必要がなく、スマートフォンをご利用いただいている幅広い世代のお客さまの普及を狙っています。

Mizuho

他社製品と比較し、様々な面での優位性を確認

みずほ銀行は、当社ハードウェアトークンの導入実績があったことに加え、製品の優位性も鑑み、OneSpanをソフトウェアトークンベンダーとして指名しました。開発を担当した、みずほ情報総研株式会社 銀行システムグループの景山氏は、次のように述べています。「ソフトウェアトークンの導入に当たっては、他ベンダー製品との比較を行いました。みずほダイレクトアプリとの融合性やセキュリティ、ユーザビリティ、費用対効果など様々な面から検証し、その上でハードウェアトークンと同様、OneSpanのDIGIPASS for Appsが適切な選択肢だという結論に至りました。OTPや高度なトランザクション認証用OTPだけでなく、モバイルデバイスのリスク管理が大きな課題でしたが、同製品のセキュリティ機能は、拡張性や将来性の観点からも大きなメリットでした。」また製品と合わせてプロフェッショナルサービスを利用したことも、開発の一助になったと言います。「今回は利便性を追及するため、銀行のモバイルアプリにOneSpanのセキュリティソフトウェアを組み込むという点も課題のひとつでしたが、OneSpanのコードレビューサービスやトレーニングを活用し、とてもスムーズに開発することが出来ました。」(景山氏)

トランザクション認証は、新規の振込先への送金に利用され、中間者攻撃やマン・イン・ザ・ブラウザ攻撃による意図しない振込先への送金を未然に防ぎます。OTPは、過去振込を行った口座への送金やPay-easy(ペイジー)による払込、登録された一部個人情報の更新などに利用されます。「みずほダイレクトアプリ」からの取引では、OTPがシームレスに連携される仕組みとなっており、ユーザの操作の手間を軽減します。

安全で便利なサービス提供を目指して

みずほ銀行 個人マーケティング推進部の数原(すはら)氏は、みずほ銀行が他行に先駆けてトランザクション認証機能をリリースした経緯について、以下のように語ります。「2016年現在、日本のリテールバンキング市場では、未だトランザクション認証が一般化してはいません。しかし、今後、マン・イン・ザ・ブラウザといったより高度な手口は増えることが懸念されており、これらを防ぐことができる対策の導入が必須と考え、私たちはトランザクション認証を採用しました。お客さまに広く認知いただくために、ホームページやコールセンターなどでお客さまにトランザクション認証の導入意義や効果を丁寧にお伝えすることを心がけたところ、安心してインターネットバンキングを使えるといったお声をいただくなど、スムーズにお客さまに受け入れていただくことができました。

このような取り組みは、顧客からの信頼を得ただけでなく、外部機関の調査でも高い評価を受けています。今回のセキュリティ対策には、安全性の高さの裏に、顧客のユーザビリティを考えたアプリ構築やサービスの提供という目的がありました。アプリやサービスのセキュリティをただ高めるのではなく、ユーザビリティとのバランスが重要だと考え、開発部門とも協議のうえ、両方を実現することができるOneSpanのDIGIPASS for Appsを組み込みました。」

Mizuho

株式会社みずほ銀行について

株式会社みずほ銀行は、国内最大級の顧客基盤や国内外の拠点ネットワークを有するリーディングバンクです。<みずほ>は国内約800店舗、海外117拠点(2016年6月30日現在)を展開しております。日本、そしてアジアと世界の発展に貢献し、お客さまから最も信頼される、グローバルで開かれた総合金融グループを実現するため、<みずほ>の一員として一丸となって取り組んでいます。

みずほ情報総研株式会社について

みずほ情報総研は、ITをコアテクノロジとし、総合情報企業ならではの的確な分析と誠実なコミュニケーションを通じて、お客さまの真のニーズを理解し、長期的かつ俯瞰的な視点から、お客さまの未来をともに描きます。みずほフィナンシャルグループの一員として培った確かな技術と信頼を基盤に、お客さまが求めるビジネスパートナーとして、ともに歩み、ともに成長する企業を目指します。

Download PDF