証券会社への不正アクセスは200件に1件!? 証券会社が取るべき対策とは ~後半~ サービス選定の注意点も
昨年12月に日本証券業協会の会長が行った会見の中で、「証券業界における不正アクセス等防止に向けた取組みについて」の指針を策定する旨の発表がありました[1]。カウリスではこれを受け証券会社が取るべき対策をまとめ、今年に入り5社のお客様にサービスの提供を開始しています。
さらに今年3月16日には、より詳細な「インターネット取引における不正アクセス等防止に向けたガイドライン」が発表されました[2]。今回は後編として、カウリス独自のデータを交えながら、証券会社が取るべき対策と注意点について解説します。特に不正検知・モニタリングを導入される企業様が見落としがちなポイントについてまとめていますので、ガイドラインへの対策をご検討のご担当者様は、ぜひ最後までご覧ください。
ガイドラインに沿って解析すると、驚くべき検知率が…
「インターネット取引における不正アクセス等防止に向けたガイドライン」では、具体的な留意事項の1つとして「モニタリング」が挙げられており、以下のスタンダードが求められています。
①顧客の属性情報やログイン時及びログイン後の挙動を分析して不正アクセスを検知(振る舞い検知を実施)、不正アクセスの評価に応じて追加の本人確認を実施、当該不正アクセスの適時遮断対応
②上記①の分析・検証を可能にする記録(ログ)の作成方法・有効保存の実施、そのための態勢整備
さらに①の具体例として
‣ログイン時:普段とは異なるデバイス、IPアドレス、及び地域からのアクセス
‣ログイン後:普段とは異なるページ遷移、入力操作、及び取引パターン(出金指示・出金状況及び出金先口座の追加・変更状況の分析を含む)
が挙げられました。
カウリスでは上記に照らし合わせ、証券会社のお客様へのアクセスを一定期間にわたり解析しました。冒頭の世界地図はその一例で、証券会社のアカウントにアクセスのあった国を示しています。海外からのアクセスは全体の約0.5%で、そのうちFATF審査に問題があった国からのアクセスは全体の約0.011%に当たり、カウリスではこれらのアクセスをブロックしています。
さらに全体では、追加認証が必要なレベルの「危険度4」と、遮断・口座凍結が必要なレベルの「危険度5」を合計して、0.5%以上の不正アクセスが検知されました。これは大まかに言って、ガイドラインに照らして対策をすると、200件に1件の不正アクセスを検知したことになります。
不正検知・モニタリングを導入するなら、必ずチェックしたい2つの項目
上記のような数字を目の当たりにして、対策をお急ぎの企業様も多いかと思います。今後不正検知・モニタリングの導入をお考えのご担当者様に、検討の際に気を付けたい点をご紹介します。
まず1つは、導入後のサポート体制が国内に整っていることです。これは実運用を回すための最重要なファクターです。日本でサービス提供する不正検知サービスの多くは、母体がアメリカにあります。データサイエンティストを多数保有する欧米の証券会社に向いた仕様設計となっています。一方日本では、システム面はSIerに外注していて、モニタリングのノウハウを内製化するのはこれから、というサービスがほとんどです。
弊社のお客様も、外資のサービスを導入されていたものの、導入後の使い方や運用等の支援が一切受けられず、システムを使いこなせずにお困りでした。その結果、スマホやタブレットの普及により、誤検知が急増してしまった、という企業様もいらっしゃいます。
また、こうしたサービスは通常初期費用が高く、準備期間も長くかかるため、一度導入してしまうと引き返せないという現状があります。ですから、費用面、導入コストもよく比較検討する必要があります。
もう1つは、ウェブとモバイルを横断したサービスを提供していることです。国内のモニタリングサービスには、ウェブのみを提供しているところもあり、こうしたサービスでは、同一ユーザーがウェブとモバイルアプリを使用している場合、ウェブのデータしか活用できないことになります。
カウリスのFraudAlertなら、国内の運用支援体制、モバイルアプリにも対応
最後に、FATF対応が必要な金融機関のお客様に導入が続くカウリスのFraudAlert(フロードアラート)についてご紹介いたします。
フロードアラートは、日証協のガイドラインだけでなく、金融庁や全銀協が求める「モニタリング」の指針にも準拠しています。日証協の「モニタリング」ガイドライン②にも挙げられている通り、全てのアクセスのログを取り、200を超える独自のパラメータにより不正を検知。数字をしっかりレポーティングしますので、FATF対応にもご活用いただけます。
さらに開発、運用支援とも国内のチームがきめ細かく行っています。「導入して終了」ということはありません。導入後に見えてくる課題に沿って、お客様ごとに一緒にチューニングいたします。同業者様、他の金融機関様などへの豊富な導入実績から得られた、「運用のノウハウ」もサービス提供させていただいております。まずは、情報ご提供だけでも結構ですので、お申しつけください。
もちろんモバイルアプリにも対応しています。例えば本人がA地点からモバイルアプリを起動し、一方でIDを不正に入手した人物がB地点からPCでアクセスしようとした場合、異変を検知することができます。導入・継続のコスト、サービス提供開始までのスピードも、ぜひ他社と比較してみてください。
またフロードアラート最大の特徴ともいえるのが、国内で不正利用に用いられたデバイスの情報をデータベース化していることです。これにより、業界をまたいだ不正試行も検知できるようになっています。実際に、銀行と証券会社、暗号通貨取引所、FX、電子マネー間での不正送金事案を捕捉し、被害を最小化する実績が出始めています。ご興味をお持ちいただきましたら、こちらからお気軽にご連絡ください。営業担当から折り返しご連絡させていただきます。
(文/株式会社カウリス 画像/株式会社カウリス)
参考:
[1] 日本証券業協会. (2020). 会長記者会見
https://www.jsda.or.jp/about/kaiken/kaiken_2020.html
https://www.jsda.or.jp/anshin/inv_alerts/alearts04/index.html