こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- ネット証券のセキュリティ対策に関心がある人
この記事の目的
SBI証券が2021年10月29日よりFIDO認証によるログインの提供を開始したので紹介します。
SBI証券では2020年9月に発生した不正アクセスによる顧客資産の流出事件以降、積極的にセキュリティ対策の改善を行っています。
今回はFIDOという新しい技術によるセキュリティ対策の導入ということで、SBI証券は業界のリーダーとして頼もしい限りです。
SBI証券がFIDOによる認証を提供開始
以下、SBI証券からのお知らせです。
株式会社 SBI 証券(本社:東京都港区、代表取締役社長:髙村正人、以下「当社」)は、2021 年 10 月 29 日(金)から、お客さまのセキュリティ強化を目的として、「FIDO(スマホ認証)」を導入することとなりましたので、お知らせします。
SBI証券はFIDO認証について以下のように説明しています。
このたび当社が提供を開始する「FIDO(スマホ認証)」は、パスワード等に加えて、お客さまのスマートフォンに登録された本人確認情報を利用する多要素認証です。本人確認情報として、お客さまのスマートフォンの生体認証(指紋認証、顔認証など)またはパスコードを利用することができ、従来のパスワード等による認証よりも安心・安全にお取引いただくことが可能となります。
FIDO認証はスマホに専用アプリをインストールして利用します。
「FIDO(スマホ認証)」は、当社が新たに専用アプリとして提供する「SBI 証券 スマートアプリ」で認証登録を行うことで、利用可能となります。
今回のリリースでは一部サービスのみが対象ですが、順次拡大予定とのことです。
対象チャネルは、まずは「SBI 証券 株アプリ」から開始し、今後、PC メインサイト・各スマートフォンアプリなどに拡大していく予定です。
FIDO(ファイド)とは何か?
FIDO(ファイド)は、Fast IDentity Online(素早いオンライン認証)の略語です。
FIDOは生体認証などを利用した新しいオンライン認証技術の国際標準化を目指している団体で、Google、Microsoft、MasterCard、VIsa、Qualcommなどそうそうたるメンバー企業が会員として活動しています。
FIDOでは従来のパスワードに代わる認証手段として生体情報(指紋や虹彩、顔、静脈など)を使った本人認証を行います。
本人認証はスマホなどのデバイスで行い、デバイスをあらかじめサーバーに紐付けておくことで二重の多要素認証になります。
FIDOでは利用者のスマホ以外では認証できないし、利用者の生体情報でなければ認証できませんので非常に強固なセキュリティと言えるでしょう。
SBI証券でのFIDOの利用方法については以下で詳しく説明されています。
FIDO(スマホ認証)およびSBI証券 スマートアプリについて(2021/10/27更新) | SBI証券
FIDO導入の背景
2020年9月のSBI証券の顧客資産流出事件は手口が巧妙で過去に前例のないものでした。
SBI証券に直接的な落ち度はなかったと思われ、本件については金融庁からの行政指導なども出ていません。
本件において攻撃者は、当社のメインシステムサイトに対して、何らかのリストを元にログイン試行を繰り返すリスト型アカウントクラッキングの手法により不正ログインを実行したと考えられます。
悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について | SBI証券
攻撃者が使用したと思われるログインIDとパスワードはSBI証券から漏れたものではなかったと報告されています。
本事案を踏まえて改めてお客さま情報を含むデータベースへのアクセス履歴や踏み台サーバーでの疑わしい操作の確認を行いましたが、現時点において不審な点は認められておりません。
そして本来なら証券口座の資産は第三者の銀行口座へは出金できない仕組みですが、SBI証券の事件では被害者名義の偽の銀行口座が開設されるという新しい手口でした。
これら外的な複数の状況が組み合わさって起きた事件ですが、
そのような犯罪行為を未然に防止することができず、お客さまに重大な被害を発生させてしまったことを深く反省し、本事案についての徹底的な調査・分析、再発防止策の策定及び関係者の社内処分を実施いたしましたので、お知らせいたします。
SBI証券としては未然に防止できなかったことが反省点であるとし、技術面における再発防止策として今回のFIDO導入が決定されています。
多要素認証の導入
ログイン及び出金指示等の特定の操作の認証手段として、多要素認証を実装いたします。従来のパスワード認証と新たに導入する他の認証方法を組み合わせることで、より安心・安全なお取引環境を提供いたします。【FIDO 認証】
スマートフォンの生体認証等を連携させた多要素認証である FIDO 認証※を、各チャネルに順次導入いたします。
SBIグループの先進的なサイバーセキュリティ対策
個人的な感想としては、SBI証券の事件はかなり稀なケースで、利用者側でごく標準的なセキュリティ対策ができていれば基本的には起こらないものと考えています。
したがって一般的な二要素認証があれば証券口座のセキュリティ対策としては十分で、FIDOはかなり先進的な対策だと感じます。
SBIグループはSBI セキュリティ・ソリューションズ株式会社というサイバーセキュリティに特化した子会社を持っており、FinTech領域に強みがあります。
グループのネットバンクである住信SBIネット銀行でも「スマート認証NEO」としてFIDOによる生体認証が導入されており、SBI証券でのリリースはグループ内での横展開であることもあって手際がよい印象です。
ネット証券のサイバーセキュリティ対策の遅れは以前から指摘する声が上がっていたものの、SBI証券にとって不正送金事件は運が悪かったように思います。
しかしその後の対応は実効性のある誠実なものであり、怪我の功名で株を上げたのではないでしょうか。
まとめ
SBI証券がFIDO認証によるログインの提供を開始したニュースを紹介しました。
資産運用でお金を増やすことも大事ですが、大切な資産をしっかり守るためにもセキュリティ対策は大事ですのでSBI証券の利用者は積極的に利用するべきでしょう。
またSBI証券の業界リーダーとしての今後の活躍を見守っていくと同時に、楽天証券、マネックス証券が追随できるのかもチェックしていきましょう。
