法人インターネットバンキングシステム
finbridge_admin法人インターネットバンキングシステムの概要
もともと各金融機関は、法人顧客向けのダイレクトチャネルシステムとして、専用ソフトをインストールしたパソコンと金融機関システムを電話回線や専用線で接続して総合振込や給与振込等を実現するファームバンキングサービスを提供してきました。
その後、個人インターネットバンキングの普及を受けて、平成15年頃から、専用ソフトや専用モデム等が不要な法人顧客向けのインターネットバンキングサービスを提供する金融機関が出現してきました。今日においては、ファームバンキングサービスから法人インターネットバンキングへの切替が進んでいます。
法人インターネットバンキングで提供される業務・機能も拡大してきており、現在では、以下に示すような業務が提供されるようになってきています。
| 区分 | 取引・機能の概要 |
|---|---|
| 当座預金、普通預金 | 残高照会、入出金明細照会、振込、総合振込、給与・賞与振込、預金口座振替、一括口座確認 |
| 外国為替 | 仕向・被仕向送金、輸出・輸入(信用状開設等)、外貨預金 |
| その他 | 電子債権取引、Pay-easy(ペイジー)料金払込、個人住民税納付、為替予約、会計ソフトとの連携、売掛金の消込(EDI付与)、総合資金管理(CMS) 等 |
セキュリティ面(不正送金対策)
当初、インターネットバンキングにおける不正送金被害は、個人インターネットバンキングにおける被害が多かったのですが、2013年頃から、電子証明書の窃取等の手法により、法人インターネットバンキングにおける被害も増加してきています。
このため、各金融機関とも電子証明書のセキュリティ強化や、事前登録先以外の当日振込の禁止など、様々な技術的な対策の導入を進めています。
法人インターネットバンキングシステムの概要図
以下に、法人インターネットバンキングシステムの共同センターを利用する場合のシステムの概要図を示します。金融機関により、システム構成は大きく異なります。
法人インターネットバンキングシステムの概要
法人インターネットバンキングシステムの概要
金融機関が共同センターを利用する場合の概要について説明します。
法人インターネットバンキングの共同センターでは、リアルタイムに振込や残高照会等を行うオンライン系サービスと、全銀協プロトコルにて総合振込や給与・賞与振込等の大量データを一括で送受信するファイル転送系サービスの2つが準備されています。
オンライン系サービス
リアルタイムで振込や残高照会等を行うサービス。
ファイル転送系サービス
総合振込や給与・賞与振込等の大量データを、全銀協プロトコルにて一括で送受信するサービス。
個人インターネットバンキングシステムと同様、実際の法人顧客情報や預金口座情報等は、各金融機関の勘定系システムが管理しています。そのため、各金融機関は共同センターとの間を専用ネットワークで接続し、口座情報や取引情報等を送受信できるように勘定系システムや対外接続系システムに機能追加を行っています。
セキュリティ機能
法人インターネットバンキングの不正送金被害の増加を受けて、各金融機関・各共同センターとも、セキュリティ機能をさらに強化しています。
具体的には、各金融機関の状況に応じて、以下に示すような各種セキュリティ対策を実施しています。
主なセキュリティ機能
電子証明書
初回申込時に、法人顧客が金融機関発行の電子証明書を利用パソコンに格納することで、当該パソコン以外からの利用を制限する対策になります。一方で、電子証明書を別ファイルに書き出して窃取する被害が発生していることから、電子証明書の別媒体(ICカード等)への格納や、再発行不可方式の採用、他対策との組合せが求められています。
事前登録先以外への当日送金の禁止
事前に登録されている振込先以外への当日送金を禁止する対策です。仮に利用パソコンがマルウェア等に感染していたとしても、当日中の新規宛先への送金が不可となることから、利用者が気づき易くなるなどの抑止効果があります。
ワンタイムパスワード
ハードウェア型トークンやソフトウェア型トークン(スマートフォンアプリ等)により、1回限り有効なパスワードを発行し、固定パスワードや電子証明書に依存しない本人認証を実現します。キーロガーや電子証明書の窃取に有効です。一方で、MITB攻撃など、ワンタイムパスワードでも防御できない場合もあることから、後述のトランザクション認証対応型のワンタイムパスワードが普及し始めています。
リスクベース認証
法人顧客の利用環境(IPアドレス、クッキー、ブラウザ情報、OS情報等)を総合的に分析し、普段と異なる環境からのアクセスと判断した場合に、通常の認証に加え、合言葉やワンタイムパスワード等による追加認証を行う方法です。
電子証明書が搾取された場合でも、第三者の不正利用を防止することができます。
セキュリティソフトの配布
法人顧客のパソコンに専用のセキュリティソフトをインストールさせて、マルウェアの検知・駆除、通信の改ざん防止などを行います。MITB攻撃などのマルウェアに対して有効です。
ホスト側マルウェア対策ソフト
センター側から顧客の利用環境や通信内容を分析して、マルウェア等に感染していないか確認し、必要に応じて通信を遮断するソフトです。顧客によるソフトウェアインストール作業は不要ですが、顧客インストール型ソフトウェアと比較すると、チェックできる内容に限界があると言われています。
2経路認証
2つの異なる経路を使って認証を行う仕組みです。パソコンから取引(第1経路)を行い、取引内容の確認・承認をスマートフォン等の別媒体(第2経路)で行います。第1経路でMITB攻撃を受けている場合があるため、第2経路では取引内容(振込先や金額)を表示・確認させるか、後述のトランザクション認証と組み合わせる必要があります。
トランザクション認証
顧客が資金移動取引を行った場合、顧客にハードウェアトークン等に取引内容(振込先口座番号等)を入力させ、トークン上で取引内容に応じたハッシュデータを生成した後に、顧客に当該ハッシュデータを取引登録画面に再度入力させる方式です。
顧客が資金移動取引を行った場合、顧客にハードウェアトークン等に取引内容(振込先口座番号等)を入力させ、トークン上で取引内容に応じたハッシュデータを生成した後に、顧客に当該ハッシュデータを取引登録画面に再度入力させる方式です。
また、サーバー側で取引内容をもとに2次元QRコードを生成し、顧客にハードウェアトークン等で読み取らせて取引内容が正しいことを確認させる方式もあります。
乱数表や単純なワンタイムパスワード方式と比較すると、顧客側の入力回数が2回に増加し利便性が低下するというデメリットはあるものの、MITB攻撃による取引内容の改ざんに有効です。
しかしながら、MITB攻撃で攻撃者の口座番号をワンタイムパスワードと称してハードウェアトークンに入力させたり、ハードウェアトークンのテストと称してQRコードを読み取らせて認証番号を入力させるといった攻撃も考えられるため、顧客に対する注意喚起も必要です。
FIDOパスキー
FIDOパスキー(Passkeys)は、従来のパスワードに代わる認証手段です。FIDOアライアンスが策定した標準に基づき、公開鍵暗号方式を活用して認証を行います。
この仕組みでは、ユーザーがアカウントを作成する際にデバイス上で秘密鍵と公開鍵のペアが生成され、公開鍵はサーバーに保存されますが、秘密鍵はデバイス内に安全に保管されます。ログイン時には秘密鍵で署名されたデータをサーバー側の公開鍵で検証することで認証が行われるため、秘密鍵がデバイス外に出ることはありません。
これにより、パスワードを必要とせず、フィッシング攻撃やパスワード漏洩といったリスクを軽減できます。また、FIDOパスキーは指紋認証や顔認証、PINコードといった生体認証を組み合わせて使用するため、多要素認証も実現できます。
近年では、Apple、Google、Microsoftをはじめとする主要な企業が採用しており、iOSやAndroid、Windowsなどの異なるプラットフォーム間でも統一された操作性が提供されてきています。
FIDOパスキーは、C2Cマーケットプレイスや決済サービス、SaaSサービスのログインなどで活用されてきており、一部の銀行でも採用が進みつつあります。今後、パスワード認証に代わる新しい標準として普及が進むと考えられています。
製品・サービス一覧
法人インターネットバンキングシステムの製品・サービス一覧は、以下のページを参照ください。
