1つの認証技術では戦えない。1人が多数の機器にコネクテッドする時代だから生まれた「本人らしさ」という指標

日本の不正アクセスの現状はどのようなものでしょうか。

総務省が2015年3月に行った調査では、不正ログイン被害を経験した企業は約3割とされています。気づいていない企業も含めればかなり多くの企業が不正アクセスをされているでしょう。日本人はID・パスワードの組み合わせを複数のサービスで使い回している方が大半です。その組み合わせが1つでも他者に知られたら闇市で転売されてしまいます。そして、その情報を買った人間は複数のネットサービスやeコマースを片っ端からアタックし、ログインできればさらに転売します。そうしたことが世の中で日々、行われているのです。

企業側も決して手をこまねいているわけではありません。ID・パスワードに加えてショートメールやワンタイムパスワードを取り入れるなど、リスクの有無にかかわらず厳重化するのですが、面倒だったりやり方がわからなくなったりしてユーザー離れを起こすことも多々あります。そこで私たちは不正アクセスのリスクを検知し、検知した場合のみ追加認証を発動させる「リスクベース認証」を提供しました。それが「FraudAlert」です。

たとえば、これまで東京からアクセスしていたのに、その5分後に海外からアクセスがあったらおかしいですよね。いきなり普段と違う言語設定とIPアドレスになったり、1つの銀行口座に160個のデバイスからアクセスがあったりするのも、通常ではありえないことでしょう。こうした“本人らしさ“をベースにリスクを検知して食い止めることで、ユーザー体験を損ねずに不正ログインや情報漏えい、なりすましを未然に防ぐことが可能になります。

“本人らしさ”という基準は、どういったところから着想を得たのでしょうか。

認証技術に取り組んだのは前職時代、2014年あたりからです。使い勝手や安全性を考えてあれこれ開発したものの、時代が変わるに従ってユーザーの使い方も多様になりました。そこで考えたのが、本人らしさを集めて検知するという方法だったんです。
創業後、サイバーセキュリティの先進国であるイスラエルへの訪問を重ねるなかで「1つの認証技術だけでは事業継続が難しい」と感じるようになりました。

世の中も変わってきました。かつてはスマホとパソコンくらいしかネットにつながっていなかったのですが、現在では、時計(スマートウォッチ)、スピーカー(ホームスピーカー)も、インターネットにつながる時代になっております。さらには車やATMと、人間一人にコネクテッドするものはどんどん増えているのです。それら一つひとつの「本人らしさ」がチェックできると、マーケットはとてつもなく大きいのではないか。そうした見立てがありました。

FraudAlertの導入実績はどのような状況ですか。

大手金融機関、証券会社、クレジットカード、通信事業者、仮想通貨取引所など、業界のリーディングカンパニーに導入いただいています。対象アカウント数は全国で数千万にのぼります。

事業のスタート当初はクラウドに抵抗のある企業も多く、ニーズはあるのにガバナンス・コンプライアンスの部分でFraudAlertを導入できない、と歯がゆい思いをすることもありました。しかしその後、金融庁が金融APIを主導し、「現状のシステムでは消費者の利便性向上につながらない」と働きかけを行ったことで、風向きが一気に変わったように思います。

セキュリティ投資は各社で行うのではなく、業界を挙げて行う必要がある

2019年夏の段階で、不正アクセスについてホットな話題にはどのようなものがありますか。

昨今では不正に銀行口座をつくる、ポイントカードをつくって現金を手にするといった手の込んだ犯罪が多くなってきています。ネットを介すれば、たった数万円で免許やパスポートが偽造できる時代です。それらを使って銀行口座を開設・転売して設ける手口が台頭してきています。ほか、ポイントカードや仮想通貨、電子マネーなどを駆使し、不正に現金を得るという手口も増えてきました。キャッシュレス決済も、さっそく密輸入に使われ始めています。

金融機関のセキュリティレベルがいくら高くても、キャッシュレス決済やeコマースといった別業界が参入してくると、それらをハッキングするかたちで犯罪が可能になります。各社が一社一社セキュリティ投資をするだけではなく、業界を挙げて守っていかなければいけない時代なんです。そうした意味で、私たちの市場は拡大していると考えます。

国を挙げてキャッシュレス化が進められているのに、悪用されやすさも生んでしまっているということでしょうか。

はい。政府としてはキャッシュレス・カードレスを推進していくという動きをしている一方で、セキュリティの脆弱性が顕在化しています。もともと、銀行しか行っていなかった資金移動業に他事業者が参入することを想定したガイドラインはまだ、途上の段階です。他事業者も含めたキャッシュレス決済で実現できるようになると、省庁をまたいだガイドラインも必要になると思います。国としても業界ごとのセキュリティレベルの統一について、問題視しており、2019年8月6日には金融庁と経済産業省、個人情報保護委員会の連名というかたちでキャッシュレス決済機能を提供する事業者に向けて注意喚起もなされました

FATF(マネーロンダリングに関する金融活動作業部会)という国際的な政府間機関の審査でも日本は低評価であり、警鐘を鳴らしています。日本の金融機関が安心できるサービスに進化を遂げられるよう、我々もハブとしてがんばっていきたいと考えています。

広範囲にわたって安心を提供できるインフラ企業へ

今後の見通しについて教えてください。

今後の見通しは大きく分けて3つあります。
1つ目はオフラインの消費領域への進出です。現在はスマホアプリとWebサービスをメインで守っていますが、オンラインの取引が16兆円のマーケットであるのに対し、オフラインの消費は300兆円にものぼります。ここにキャッシュレス決済やアプリが台頭してくると非実在の人物やなりすましが跋扈(ばっこ)するようになりますので、今後は対象領域としていきたいですね。

2つ目は自動車業界への参入です。2020年以降、世界で市場に出荷される新車の60%がコネクテッドカー(ICT機能を搭載した車)になると予想されています。これらがサブスクリプション(定額制)サービスによって複数人でシェアされるようになると、オーナーとドライバーが一致しない、オーナーに対して複数のドライバーがいるといった状況になりえます。誰が乗っているかわからない、という状態を防ぐために、運転の挙動から本人を特定しようというビジネスをしたいと考えています。現在ではトヨタネクストに採択後、運転の“本人らしさ”の特定プロジェクトを進めております。

3つ目は認証精度の向上です。セブン銀行様と行った実証実験では、関西電力様の設備情報を利活用し、不正な口座開設を未然に防ぐという取り組みをしております。こちらは、経済産業省の新制度、「新技術等実証制度」に認定されて、3月から6月まで実証しております。当社が持つ不正アクセス検知の技術に加え、開設申し込みをした住所が実際にその人のものなのか、という観点からリスク検知を行いました。こうした、消費者の個人情報を保有しているライフライン系の会社と我々の技術を掛け算することで、なりすましを検知する精度も上げられると考えています。

Rise Up Festaを通じて、サービスのニーズをヒアリングする機会が得られた

Rise Up Festaでの受賞、おめでとうございます。参加までの経緯、また受賞後の変化についてお聞かせください。

三菱UFJ信託銀行の方からの紹介でエントリーしました。こういうピッチコンテストで久しぶりに腕試しをしたいという思いもありましたね。銀行系のコンテストで賞をいただくのは1年半ぶりで、非常にありがたいなと思っています。

受賞後の変化については、三菱UFJ銀行やグループ会社のお悩みやお困り事をヒアリングさせていただけることが、大変勉強になっています。今後のサービス展開において、きっと役立つと確信しています。

知っておきたい、個人でもできるセキュリティ対策

不正アクセスを防止するのは企業だけの問題でなく、個人の意識も重要ですよね。現状や対策について教えていただけますか。

ID・パスワードの組み合わせを複数のサービスで使い回す人は7割にのぼります。そして1つのサービスで突破されたら、別のサービスにもログインが次々と試みられます。盗ませないよう予防しながら、盗まれたらすぐに対策をするという意識が重要です。

メールアドレスを入力するだけで個人情報やパスワードが流出しているかどうか、また、どのサービスでいつ頃から情報が流出している可能性があるかといったことを調べることができるサービスもあります。もし流出していたなら、すぐに該当するメールアドレスのアカウントを削除することで、それ以上の被害は防げるでしょう。今は使わなくなった、昔のフリーメールアドレスなどは危ないですよ。メモ系のWebサービスでID・パスワードや銀行の暗証番号を管理するのもやめましょう。それ自体がハッキングされて被害に遭うというケースも出始めています。1人ひとりが個人情報や口座のリスク管理を、徹底していけると良いですね。

ありがとうございました。