銀行トークンとは何ですか?
バンクトークンは、キーフォブ、USBキー、スマートカードなどのハードウェアトークンのような使いやすいデバイスです。また、アプリストアのスタンドアロン認証アプリのように、モバイルデバイスにインストールしたり、モバイルバンキングアプリケーションに統合したりするソフトトークンもあります。ワンタイムパスコード(OTP)は、デジタルバンキングユーザーのログイン時や金融取引時の認証に使用されます。バンクトークンは、ハードトークンもソフトトークンも、二要素認証(2FA)または多要素認証(MFA)プロセスの一部として使用できます。
ほとんどの銀行やその他の組織は、ログインセキュリティのために2FAまたはMFA を要求しています。これは次のようなものです:
- OTPや秘密の質問に対する答えなど、知っているもの
- モバイル・デバイスなど、あなたが持っているもの
- 指紋や顔スキャンなど、あなたが持っているもの
例えば、携帯電話をログイン認証に使用することができます。これは、ソフトトークンなどの他の認証手段と組み合わせることができるからです。ハードウェアバンクトークンも使用でき、ワンタイムパスコードを生成し、デバイスにログインします。バンクトークンは、犯罪者が他人の銀行口座で不正取引を行うことをより困難にします。
バンクトークンがセキュリティを強化する仕組み
バンクトークンは、オンラインバンキングやモバイルバンキングのお客様に強力な保護を提供します。なぜなら、バンクトークンは不正行為を防止するために、承認されたユーザーと登録されたデバイスをリンクするからです。顧客がスマートフォンを紛失した場合、通常はすぐにわかります。ソフトバンクトークンを使用している場合、顧客と銀行は不正アクセスや詐欺行為を防ぐためにデバイスを素早くシャットダウンすることができます。ハードウェアのバンクトークンを紛失した場合も、顧客はすぐに報告することができます。
ハードウェアトークン(ハードウェア認証とも呼ばれる)は、電子メールやテキストで感情的なアピールを使って顧客に悪意のある添付ファイルやリンクをクリックさせるフィッシングなどのソーシャルエンジニアリング攻撃の防止にも役立ちます。
多くの銀行では、ユーザ名とパスワードの代わりにハードウェアおよびソフトウェア・バンクトークンを使用しています。データ漏洩、個人識別情報(PII)の流出、口座乗っ取り攻撃などが定期的に発生しているため、ユーザ名とパスワードだけに頼っていては、顧客の口座を安全に保つには不十分です。さらに、ソフトウェアトークンも、アカウント乗っ取りにつながるフィッシング攻撃を防ぐのに役立ちます。
銀行トークンによる顧客体験の向上
銀行トークンは、顧客がパスワードを管理する必要がなくなり、顧客にとって不要な摩擦が減るため、安全な顧客体験を提供します。第一に、ソフトトークンはシンプルで使い勝手がよく、スマートフォンやモバイルアプリの普及により利用が拡大すると予想されます。第二に、ハイテクに精通していないため、ハードトークンの方が使いやすい顧客もいるでしょう。全体として、多くの顧客はハードトークンとソフトトークンの両方を望んでいます。携帯電話を紛失したり盗難にあったり、バッテリーが切れたりといった何か問題が発生した場合でも、ハードウェアのバックアップがあることを知っているためです。
銀行はソフトウェア・トークンに移行中
ケーススタディ#1:銀行トークン・アプリによる認証の近代化
課題:米国を拠点とするEagleBankは、顧客がバンキング・サービスにモバイル・デバイスを使用することを好むようになっているため、ソフトバンク・トークンへの移行を進めています。2017年以降、EagleBankは、電子決済や預金のための電信送金やACH開始などのアクティビティのためにOTP(トークンコード)を生成するハードウェアバンクトークンからの移行を進めています。商業銀行サービスを提供する同行は、2018年にソフトトークンを展開しました。
イーグルバンクは、顧客の認知度を高めるため、銀行のロゴとブランドカラーを採用した「イーグルバンク・ソフトトークン・アプリ」と呼ばれる独立したソフトウェア認証アプリを立ち上げることにしました。その結果、顧客は認証時に、ハードウェアの銀行トークンのように番号を記憶し、手動でキー入力する必要がなくなりました。新規顧客は現在、イーグルバンクのソフト・トークン・アプリを利用しています。
結果ローンチ後9ヶ月間で、イーグルバンクの新規顧客の95%がソフトトークンアプリを利用するようになりました。また、ソフトバンクトークンの導入により、新規顧客の獲得にかかる時間が数日から数分に短縮されました。
ケーススタディ#2:ソフトウェアおよびハードウェアバンクトークンによる認証
課題: キプロス銀行は長年にわたり、顧客ベースにハードウェア・トークンを配布してきました。しかし、顧客がモバイル取引に移行し始めたため、ソフトバンク・トークンへの移行が急務となっていました。同行は、電子決済サービスに関する欧州連合(EU)の改正決済サービス指令(PSD2)に準拠し、可能な限り最高レベルのセキュリティを提供するため、ソフトトークンとトランザクション固有のOTPの使用を開始しました。
キプロスを代表する銀行・金融サービスグループとして、同行はリテール・商業銀行業務、投資銀行業務、保険業務を提供しています。同行は、口座ログインとダイナミック・リンクのために、キプロス銀行のモバイル・バンキング・アプリに直接統合されたソフトウェア認証の導入を決定しました。モバイル・バンキング・アプリを利用せず、オンライン決済を利用する顧客に対しては、SMS(オンライン)またはCronto®コード(オフライン)をスキャンしてOTP認証コードを受信する機能を提供しています。当行では、ハードウェア・バンキング・トークンをソフト・バンキング・トークンに交換することを推奨していますが、多くの取引はハードウェア認証機能からのOTPを使用して認証(つまりダイナミック・リンク)されています。
結果キプロス銀行は、ソフトバンク・トークンを購入した人々がハードウェア認証に戻りたがらないことを指摘しています。
戦略的重要性
銀行トークンは、ハード・ソフトを問わず、安全なデジタル・バンキング体験の提供に役立ちます。ソフト・トークンを好む顧客もいますが、ハード・トークンはバックアップとして、またはネットワークがカバーされていない場合に使用することができます。銀行トークンは、簡単でありながら安全な顧客認証を提供するため、顧客ロイヤルティと成長を高めることができます。このようなセキュリティトークンを使用することで、顧客はより価値の高い銀行取引をオンラインで行う自信を得ることもできます。