セキュリティ診断事例インタビュー

FIDO認証/CIBAを備えた金融機関向け先進プロダクトのセキュリティ診断事例。「ツールでは対応できない高度な領域を継続的にサポートしてほしい」

2019年に設立されたSBIデジトラスト株式会社は、FATF(金融活動作業部会)が提唱するAML/CFTの高度化や本人確認、次世代認証等の金融機関向けソリューション事業を展開する、SBIセキュリティ・ソリューションズとNECとの間で設立された合弁会社です。

同社が提供している「Trust Idiom®(以下、Trust Idiom)」は生体認証を活用した身元確認および当人確認を実施する、ペイメントサービスと銀行口座との連携における不正利用防止を目的としたIDaaS(Identity as a Service)です。

金融機関向け認証認可基盤サービス「Trust Idiom」とは

Trust Idiomの特徴

「Trust Idiom」は、金融機関向けの本人確認済みIDを発行するIDaaSです。従来のID連携方式では、ペイメントサービスと金融機関がそれぞれ個別に身元確認をし、サービス接続する際の当人認証は金融機関側に事前登録した暗証番号等で行う形を取っていました。

こうした認証方法において、悪意ある攻撃等により当人認証情報が外部に漏洩してしまい、本人ではない第三者が口座を不正利用する事象が市場の問題となっています。

認証方式として生体情報でのFIDO認証(※1)、認可方式として金融グレードのFAPI・CIBA(※2)にも対応している「Trust Idiom」では、消費者に対して従来よりもシームレスなペイメントサービスの利用を実現し、また金融機関には最新のセキュアなID管理の運用環境を、適切なコストで提供することを可能にしています。

※編集注: 「FIDO認証」とは標準規格団体である「FIDO Alliance」が定めた新しい認証の方式です。従来のパスワード認証の代わりに生体認証などを使用し、安全性と利便性の向上を目指した認証方式です。

「FAPI(Financial-grade API)」とは米国OpenID Foundationが、高いセキュリティ水準のAPI構築を必要とする金融等の業界のために策定したセキュリティ標準です。

「CIBA(Client Initiated Backchannel Authentication)」とはOpenID Foundation によって新たに策定された認証・認可フローで、サービスを利用するユーザと認証・認可を行うユーザを分離することが可能になります。また同様に、サービス利用のためのデバイスと、認証・認可のためのデバイスが同一でなくとも問題ありません。たとえば、PCで開始した認証プロセスにおいて、生体認証機能をPCが持たない場合にスマートフォンの機能を用いて顔認証や指紋認証を行うことが可能になります。

Trust Idiom導入による変化

今回Flatt Securityは「Trust Idiom」と、「Trust Idiom」を用いた株式会社島根銀行様のインターネットバンキングサービスを対象に、Webアプリケーション診断とスマートフォンアプリケーション診断をホワイトボックス形式で実施しました。

SBIデジトラスト様がセキュリティ診断を利用した経緯と感想をプロダクトオーナーの冨永悠生さんに聞きました。

先端技術を用いた前例のないソフトウェアを診断可能なベンダーを探していた

――今回はなぜ、セキュリティ診断が必要になったのでしょうか。

冨永悠生さん(以下、冨永さん):元々「Trust Idiom」などの弊社のプロダクトは四半期や半期といった間隔でプロダクトとしてのセキュリティ担保を目的に定期的にセキュリティベンダーに依頼し、診断を行っています。

今回、SBIセキュリティ・ソリューションズ(※)が開発を担当した島根銀行様のインターネットバンキングサービスを新規リリースするにあたって、総合的な診断が必要になりました。ですので、「Trust Idiom」の定期診断と合わせて依頼できるベンダーを探していました。

編集注:SBIセキュリティ・ソリューションズ株式会社はSBIデジトラスト株式会社の親会社です。

――今まで、セキュリティに対してどのような課題を持っていたのでしょうか。

冨永さん:2020年に、ウォレットサービスを経由して、地方銀行を中心としたいくつかの銀行口座から不正に預金が引き出されるという事件が発生しました。この事件を発端にIT業界・金融業界ともにセキュリティの意識が高まり、堅牢な認証・認可機能への需要も高まりました。そんな需要に応えるために開発したサービスが、FIDO認証/CIBAを用いた「Trust Idiom」です。

そのような背景もあり、世の中的に前例の少ないソフトウェアであるため、先進的な技術を用いたサービスであるという認識を我々と同様に持っていただき、高い学習能力でキャッチアップして診断に臨んでいただけるセキュリティ診断ベンダーを探すことに苦労していました。

自分の前職はSIerでして、在籍時には様々なプロジェクトに参画していました。そして、ベンダーにセキュリティ診断やペネトレーションテストを発注するなどセキュリティとの関わりを持つ経験が多数あります。今回Flatt Securityさんの成果には満足していますが、どのベンダーでもそのような要求が満たされるわけではありません。

非技術者でも理解度が高いことと、技術的な姿勢への共感が決め手になった

プロダクトオーナーの冨永悠生さん

プロダクトオーナーの冨永悠生さん

――Flatt Securityを選んでいただいた決め手を教えてください。

冨永さん:最初のミーティングでお話しした方は非技術者であるにもかかわらず技術面への理解度が高かったのが大きな決め手となりました。つまりファーストインプレッションが良かったということですが、他社だとあまりこう感じることはないんです。

それ以外にも、柔軟に診断プランを提案していただけたことも決め手のひとつです。

また、Flatt Securityさんや所属されているエンジニアの方から、未知の脆弱性を見つけるという新しい領域にチャレンジしていく姿勢を感じたことも決め手になりました。

ソースコードを基に包括的に脆弱性をチェックするホワイトボックス診断を依頼するにあたって、技術力のあるセキュリティエンジニアに診断してもらうことで、過去に診断を実施した「Trust Idiom」にも未知の脆弱性を発見することができるのではないかという期待感がありました。

質の高いホワイトボックス診断に満足。今後もツールでは代替できない高度な領域での伴走をお願いしたい

――実際にセキュリティ診断をした感想を教えてください。

冨永さん:大変満足していますし、継続的に依頼をしたいと感じました。

診断の最中に、その都度必要な情報についてSlackの共有チャンネルで相互的にコミュニケーションが取れたので、余計な時間や手戻りが無かったのも良かった点です。実質的なコスト削減になっていると思います。

また、質の高いホワイトボックス診断を実施できたので、他社では難しいレベルまで包括的にチェックしていただけたのも良かった点です。ソースコードを読むスピードも早かったですね。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

冨永さん:弊社ではTrivyを用いたコンテナイメージのスキャンは実施していますし、今後もDASTやIASTの導入を検討中です。ツールによる診断でカバーできる部分はきっちりと対策し、DevSecOpsは実施していくつもりです。しかし、それでも手動でなければ診断できない領域は存在するので、今後とも高度な診断でFlatt Securityさんにはサポートしてほしいと思っています。

また、プロダクトは進化していきますのでその進化にもキャッチアップしながら、継続的な関係性を築いていけるパートナーになっていただければと思います。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。