eKYCのセキュリティリスクにはどのようなものがあるのか、eKYCは偽装などを見抜ける精度があるのかなどについて詳しく解説します。
オンライン上で本人確認が完結できるeKYCは、企業や顧客側にメリットが大きい一方で、セキュリティリスクについても考えておかなくてはなりません。
eKYCの抱えるセキュリティリスクについては、個人情報漏洩のリスクが多いリスクと言えるでしょう。
顧客が申込み時にアップロードした本人確認書類と容貌画像、住所や生年月日といった個人情報を企業のサーバー上に大量に保管をすることになるため、サーバーへの攻撃などによって大量の個人情報が漏洩するリスクがあります。
また、eKYCを行うアプリなどに脆弱性が見つかった場合などにも個人情報漏洩のリスクが高まりますので、あらかじめセキュリティリスクを考えたうえでeKYCの導入・運用をしましょう。
eKYCのリスクのひとつに、偽装やなりすましという問題もあります。
eKYC側でどのような対策を行っているのか確認をしてみましょう。
IDやパスワードなどでの認証を行った後、登録されている携帯番号へ認証コードを送付後、入力を求めるなど、二段階での認証を行うことで、偽装などの不正を突破されるリスクを回避しています。
パスワードなどの「知識」、ハードウェアなどの「所持」、指紋などの「生体」の3つの要素から、2つ以上組み合わせることで、偽装や不正による突破のリスクを回避しています。
eKYCは、全てがオンラインで完結するサービスです。そのため、Webサイトやアプリがサイバー攻撃を受けていた場合、情報漏洩などに繋がるおそれがあります。
ここからは、代表的なサイバー攻撃の種類や概要を紹介します。サイバー攻撃はeKYCに限らず、どのWebサービスにも起こりうるリスクですので、基本的な知識として備えておいてください。
eKYCサービスを利用していて起こりうるのは、以下のようなサイバー攻撃です。
アクセス権限が与えられていないにもかかわらず、外部から不正にサーバやシステムに侵入することを不正アクセスと言います。不正アクセスは、国内のみならず海外からの侵入もあり得る行為です。
特定の方法でIDやパスワードが割り出されてしまうと、不正に侵入されて機密情報が盗まれたり改ざんされたりします。複数のWebサイトやアプリで同じIDやパスワードを使い回していると、標的になりやすいため注意が必要です。
中には、プログラムによってあらゆる文字の組みあわせを試行して、IDとパスワードを破ろうとする「ブルートフォースアタック」という手口もあります。一度IDとパスワードが知られてしまうと、他のWebサイトでも試されて被害が拡大する「パスワードリスト攻撃」なども代表的な不正アクセス攻撃のひとつです。
なりすましとは、本物の企業やユーザーを装ってシステムにアクセスするサイバー攻撃です。代表的な手口に「フィッシング」や「マルウェア」があります。
フィッシングは、実在する企業のWebサイトなどに偽装してユーザーをログインさせ、偽物と気づかずにログインしてしまうと、名前や住所クレジットカードの暗証番号などの個人情報が盗まれます。
一方、マルウェアは、コンピューターウイルスやスパイウェアなど悪意で作られたプログラムの総称で、企業になりすましてマルウェア入りのファイルをメールで送り付ける手法が代表的です。
ファイルをダウンロードしてしまうとマルウェアに感染し、個人情報が流出するおそれがあります。
最近では、AIを用いて人工的に顔写真を合成し、オンラインの本人確認でなりすましを行う「ディープフェイク」も増えてきました。eKYCの導入を検討しているなら、ディープフェイク対策がされているeKYCサービスかを確認することも大切です。
大量のPCから集中的にアクセスし、意図的にWebサーバーをダウンさせて、正常なサービスの提供を妨げる攻撃です。サーバーにアクセスが集中して大きな負荷がかかり過ぎると、サーバーダウンが起こり外部からWebサービスへのアクセスができなくなります。
DoS攻撃の中には、マルウェアに感染した機器を遠隔制御して、複数のIPアドレスから一斉に攻撃を仕掛ける「DDoS攻撃」もあります。
不具合やバグ、設計上のミスなどプログラムの脆弱性によって起こるセキュリティ上の欠陥を利用するサイバー攻撃です。代表的な手口に、「SQLインジェクション」と「クロスサイトスクリプティング」があります。
SQLインジェクションによる攻撃を受けると、データベース上の顧客データなどが不正に読み取られる、または改ざん・削除される可能性があります。
クロスサイトスクリプティングとは、Webサイトの記述言語「HTML」に、悪質な言語(スクリプト)を設置する手口です。スクリプトが実行されると、ユーザーの個人情報やCookieが知らないうちに盗まれたりマルウェアに感染したりするおそれがあります。
複数の拠点を持つ大手企業の子会社や取引先の中小企業をターゲットにしてサイバー攻撃を行い、最終的には大手企業を狙うサイバー攻撃です。
はじめに子会社や中小企業を狙う理由は、大手企業に比べてセキュリティ対策が手薄となっているパターンが多いためで、実際に企業の機密情報や顧客情報を盗まれる被害が相次いでいます。
eKYC自体で反社チェックを行うことはできません。
しかし、eKYCを提供する各ベンダーで、「eKYCのオプション」として反社チェックなどの「リスク情報検索」などを提供している場合もあります。
反社チェックなどのリスク情報検索が必要な場合は、対応しているベンダーのeKYCを導入するとよいでしょう。
企業や顧客にとって便利なeKYC。
これからも市場規模が伸びていくことが予想されますので、個人情報の漏洩事故などを起こさないようにする必要があります。
そのためには、自社のシステムや運用に合っている製品を選ぶことが大切です。
とはいえ、さまざまな企業でeKYCを開発しているため、どのeKYCがよいかわからないという方も多いでしょう。
そこで、編集チームがおすすめする導入実績が豊富なeKYC開発ベンダーを3社ピックアップしましたので、あわせてチェックしてみてください。
便利な半面、オンラインで全ての手続きが完結するため、個人情報が一箇所に集中してしまうリスクや、サイバー攻撃による情報漏洩などの問題も懸念されているeKYc。注目されているのが、暗号技術と分散型デジタルアイデンティティの活用です。これらの技術がどのようにeKYCのセキュリティを強化するのか、わかりやすく解説いたします。
ゼロ知識証明は、ある情報を実際に明かすことなく、その情報を知っていること自体を証明できる技術です。たとえば、ある金融機関が利用者の年齢が規定以上であることだけを確認したい場合、利用者は実際の生年月日を送信するのではなく、「自分は規定年齢以上です」という事実だけを証明できます。
この仕組みをeKYCに応用することで、利用者の詳細な個人情報をサーバーに保存せずに済むため、万一サーバーに不正アクセスがあった場合でも、情報の漏洩リスクを大幅に減らすことが可能になります。利用者のプライバシーを守りながら、必要な認証を行うことができるため、安心してサービスを利用できるようになるのです。
同態暗号は、データを暗号化したまま、そのデータに対して計算処理を行うことができる技術です。通常、データを使って何かしらの処理をする場合、まず暗号を解いてから計算を行いますが、同態暗号を利用すれば、暗号化された状態のままで計算ができるため、データを一度復号する必要がなくなります。
eKYCシステムでは、利用者の個人情報や身分証明書の画像などが暗号化された状態で保存されます。これにより、外部から不正にアクセスされても、データが暗号化されたままであれば、情報の悪用リスクが低減される仕組みとなります。つまり、情報処理の過程でも安全性が保たれるため、システム全体のセキュリティが向上するのです。
セキュアマルチパーティ計算は、複数の関係者がそれぞれ自分の持つ秘密の情報を共有せずに、共同で計算を行うことができる技術です。これにより、例えば複数の金融機関が連携して利用者の情報を確認する場合でも、個々の企業がすべての情報を一括で管理する必要がなくなります。
各社が分散して情報を保持し、必要な認証作業を協力して行うことで、一箇所にデータが集中するリスクを避けることができます。もし一部のシステムが攻撃を受けたとしても、全体の安全性が確保されるため、より堅牢なセキュリティ体制を実現できるのです。
従来のeKYCシステムでは、企業側のサーバーに大量の個人情報が集約されるため、攻撃を受けた際の影響が大きいという問題がありました。そこで、ブロックチェーン技術を利用した分散型デジタルアイデンティティが注目されています。
ブロックチェーンは、情報を複数のノード(サーバー)に分散して記録する仕組みであり、一度記録された情報は改ざんが非常に困難です。この仕組みを利用すれば、利用者自身が自分のデジタル証明書を管理し、必要なときにのみその証明書を提示する形で認証が行われます。
この方法により、中央のデータベースに個人情報を一括して保管する必要がなくなり、情報漏洩のリスクを大幅に軽減できます。また、改ざんが難しいため、信頼性の高い認証記録として金融機関や規制当局からも高い評価を得ることができるようになります。先進的な暗号技術や分散型デジタルアイデンティティの導入は、eKYCセキュリティを強化する大きな可能性を持っています。しかし、一方でこれらの技術は新しいため、導入や運用にはいくつかの課題もあります。
まず、これらの技術は高度な計算能力や専門的な知識が必要となるため、システムの構築や維持にかかるコストが従来の方法に比べて高くなる可能性があります。また、既存のシステムとの互換性を確保するためには、段階的な導入やパイロットプロジェクトを実施するなど、慎重な対応が求められます。
さらに、技術の進化とともに、将来的には量子コンピュータによる暗号解読のリスクも指摘されています。そのため、量子耐性暗号といった次世代の暗号技術の研究が進められており、今後のシステムアップデートが必要になることが予想されます。
これらの課題を解決しながら、先進技術を適切に取り入れることで、eKYCは今後さらに安全で便利なサービスへと進化していくでしょう。企業と利用者が共に安心して利用できる環境を作るためには、技術面だけでなく、法的枠組みや運用ポリシーの整備も並行して進めることが重要です。
企業側にとっても顧客側にとっても大きなメリットのあるeKYCですが、オンライン上で取引を行うため、その分セキュリティリスクも潜んでいます。
便利なシステムであるということと同時に、リスクについてもしっかりと把握しながら導入・運用していくことが大切です。
短期間導入・AI自動審査で
業務効率UP可能なeKYC
社内SEと要件定義から
開発設計・導入
金融機関水準の
セキュリティで導入
