なんでもわかる・すぐわかる!eKYC導入GUIDE » eKYC導入でしっておきたい基本の「き」 » eKYCセキュリティ

eKYCセキュリティ

eKYCのセキュリティリスクにはどのようなものがあるのか、eKYCは偽装などを見抜ける精度があるのかなどについて詳しく解説します。

eKYCのセキュリティリスクについて

オンライン上で本人確認が完結できるeKYCは、企業や顧客側にメリットが大きい一方で、セキュリティリスクについても考えておかなくてはなりません。
eKYCの抱えるセキュリティリスクについては、個人情報漏洩のリスクが多いリスクと言えるでしょう。
顧客が申込み時にアップロードした本人確認書類と容貌画像、住所や生年月日といった個人情報を企業のサーバー上に大量に保管をすることになるため、サーバーへの攻撃などによって大量の個人情報が漏洩するリスクがあります。
また、eKYCを行うアプリなどに脆弱性が見つかった場合などにも個人情報漏洩のリスクが高まりますので、あらかじめセキュリティリスクを考えたうえでeKYCの導入・運用をしましょう。

eKYCで偽装や顔認証の精度の度合いは?

eKYCのリスクのひとつに、偽装やなりすましという問題もあります。
eKYC側でどのような対策を行っているのか確認をしてみましょう。

二段階認証

IDやパスワードなどでの認証を行った後、登録されている携帯番号へ認証コードを送付後、入力を求めるなど、二段階での認証を行うことで、偽装などの不正を突破されるリスクを回避しています。

多要素認証

パスワードなどの「知識」、ハードウェアなどの「所持」、指紋などの「生体」の3つの要素から、2つ以上組み合わせることで、偽装や不正による突破のリスクを回避しています。

認証方法の違いから「eKYC」開発ベンダーを探す

eKYCに起こりうるサイバー攻撃のリスク

eKYCは、全てがオンラインで完結するサービスです。そのため、Webサイトやアプリがサイバー攻撃を受けていた場合、情報漏洩などに繋がるおそれがあります。

ここからは、代表的なサイバー攻撃の種類や概要を紹介します。サイバー攻撃はeKYCに限らず、どのWebサービスにも起こりうるリスクですので、基本的な知識として備えておいてください。

主なサイバー攻撃

eKYCサービスを利用していて起こりうるのは、以下のようなサイバー攻撃です。

不正アクセス

アクセス権限が与えられていないにもかかわらず、外部から不正にサーバやシステムに侵入することを不正アクセスと言います。不正アクセスは、国内のみならず海外からの侵入もあり得る行為です。

特定の方法でIDやパスワードが割り出されてしまうと、不正に侵入されて機密情報が盗まれたり改ざんされたりします。複数のWebサイトやアプリで同じIDやパスワードを使い回していると、標的になりやすいため注意が必要です。

中には、プログラムによってあらゆる文字の組みあわせを試行して、IDとパスワードを破ろうとする「ブルートフォースアタック」という手口もあります。一度IDとパスワードが知られてしまうと、他のWebサイトでも試されて被害が拡大する「パスワードリスト攻撃」なども代表的な不正アクセス攻撃のひとつです。

なりすまし

なりすましとは、本物の企業やユーザーを装ってシステムにアクセスするサイバー攻撃です。代表的な手口に「フィッシング」や「マルウェア」があります。

フィッシングは、実在する企業のWebサイトなどに偽装してユーザーをログインさせ、偽物と気づかずにログインしてしまうと、名前や住所クレジットカードの暗証番号などの個人情報が盗まれます。

一方、マルウェアは、コンピューターウイルスやスパイウェアなど悪意で作られたプログラムの総称で、企業になりすましてマルウェア入りのファイルをメールで送り付ける手法が代表的です。

ファイルをダウンロードしてしまうとマルウェアに感染し、個人情報が流出するおそれがあります。

最近では、AIを用いて人工的に顔写真を合成し、オンラインの本人確認でなりすましを行う「ディープフェイク」も増えてきました。eKYCの導入を検討しているなら、ディープフェイク対策がされているeKYCサービスかを確認することも大切です。

DoS攻撃

大量のPCから集中的にアクセスし、意図的にWebサーバーをダウンさせて、正常なサービスの提供を妨げる攻撃です。サーバーにアクセスが集中して大きな負荷がかかり過ぎると、サーバーダウンが起こり外部からWebサービスへのアクセスができなくなります。

DoS攻撃の中には、マルウェアに感染した機器を遠隔制御して、複数のIPアドレスから一斉に攻撃を仕掛ける「DDoS攻撃」もあります。

脆弱性を狙った攻撃

不具合やバグ、設計上のミスなどプログラムの脆弱性によって起こるセキュリティ上の欠陥を利用するサイバー攻撃です。代表的な手口に、「SQLインジェクション」と「クロスサイトスクリプティング」があります。

SQLインジェクションによる攻撃を受けると、データベース上の顧客データなどが不正に読み取られる、または改ざん・削除される可能性があります。

クロスサイトスクリプティングとは、Webサイトの記述言語「HTML」に、悪質な言語(スクリプト)を設置する手口です。スクリプトが実行されると、ユーザーの個人情報やCookieが知らないうちに盗まれたりマルウェアに感染したりするおそれがあります。

サプライチェーン攻撃

複数の拠点を持つ大手企業の子会社や取引先の中小企業をターゲットにしてサイバー攻撃を行い、最終的には大手企業を狙うサイバー攻撃です。

はじめに子会社や中小企業を狙う理由は、大手企業に比べてセキュリティ対策が手薄となっているパターンが多いためで、実際に企業の機密情報や顧客情報を盗まれる被害が相次いでいます。

eKYCで反社チェックはできる?

eKYC自体で反社チェックを行うことはできません。
しかし、eKYCを提供する各ベンダーで、「eKYCのオプション」として反社チェックなどの「リスク情報検索」などを提供している場合もあります。
反社チェックなどのリスク情報検索が必要な場合は、対応しているベンダーのeKYCを導入するとよいでしょう。

eKYCで個人情報の情報漏洩をしない

企業や顧客にとって便利なeKYC。
これからも市場規模が伸びていくことが予想されますので、個人情報の漏洩事故などを起こさないようにする必要があります。
そのためには、自社のシステムや運用に合っている製品を選ぶことが大切です。
とはいえ、さまざまな企業でeKYCを開発しているため、どのeKYCがよいかわからないという方も多いでしょう。
そこで、編集チームがおすすめする導入実績が豊富なeKYC開発ベンダーを3社ピックアップしましたので、あわせてチェックしてみてください。

特集|導入実績豊富な「eKYC」開発ベンダー3選

編集チームまとめ

企業側にとっても顧客側にとっても大きなメリットのあるeKYCですが、オンライン上で取引を行うため、その分セキュリティリスクも潜んでいます。
便利なシステムであるということと同時に、リスクについてもしっかりと把握しながら導入・運用していくことが大切です。