モバイルバンキング詐欺急増 FBIが警告
2021年3月24日コロナ禍における不正リスクマネジメント
2021年4月9日
執筆者:Lin Danwan, CFE & Xu Xiaoshan
新型コロナウイルスが世界を席巻して以来、私たちの暮らしは劇的に変わった。対面で行っていた活動がオンラインに移行し、デジタル形式の取引が増えている。だが、デジタル形式の本人確認と認証は、コロナ前から広く浸透しつつあった。デジタルID(Digital Identity)のコンセプトは新しいものではなく、広く様々なレベルで実装されてきた。
2020年3月、国際組織である金融活動作業部会(FATF)は、デジタルIDに関するガイダンスを公表した。ガイダンスは、デジタルIDシステム(DIS: Digital Identity System)をアンチ・マネーロンダリング対策/テロ資金供与防止対策(AML/CFT)の要件に合致させ、各国の政府機関に勧告を行い、事業会社やサービスプロバイダーを規制するものだ。その目的は2つある。
- 利用者のデューデリジェンスとAML/CFTの枠組みの中での取引監視を円滑に行う
- 顧客体験を向上させ、金融包摂をサポートする
デジタルIDシステムの管理とアプリ
デジタルIDシステムは、個人の身元を証明するためのIDの登録、証明、本人確認など一連の流れを包括するプログラムだ。IT技術、プロセス、アーキテクチャなどの複数のエンティティが必要になる。
- 組織は自身で運用するデジタルIDシステムによって、サービスを利用しようとしている利用者から身分を証明する情報を収集する。この利用者を「サービス申請者」と呼ぶ。身分を証明する情報には、IDカードやパスポート、運転免許証などの物理的な証明書のほか、指紋認証や顔認証などの生体認証がある
- 身分を証明する情報が本物であるか否かを検証・確認(validation)し、それが本人と一致するという正確性の確認(verification)をした後、デジタルIDシステムがアカウントを作成し、サービス申請者の身分情報と結び付けて、「サービス申請者」から「登録者」に変更する
- 「登録者」に対して暗号化された多要素認証(トークンウエア)が送られ、デジタルIDシステムからワンタイムコードや証明書が発行される
(注:ガバナンス上許容され、組織が立地する地域で認められれば、クレデンシャルサービスプロバイダー(Credential Service Provider)、アイデンティティーサービスプロバイダー(Identity Service Provider)、リライングパーティー(Relying Party)は一つにしてもよい。)
デジタルIDシステムが適切に運用されれば、登録者は身分証明の裏付けが取れた人物だと証明できる。例えば、デジタルIDシステムの登録者がオンラインで銀行口座を開設しようとしたら、銀行は携帯電話で多要素認証することにより本人確認を行う。
別の言い方をすれば、デジタルIDシステムは、公的に身分を証明し、本人確認機能を他のエンティティに対して提供している。
リスクと将来の展望
デジタルIDシステムの利用にあたっては、どのようなツールや機能も一定のリスクがある。考えられるのは次の通りだ。
データのセキュリティーとプライバシー
情報漏えいのよくある根本的な原因として、脆弱なパスワードやソーシャルエンジニアリングが挙げられる。デジタルIDのエコシステムに参加する複数のエンティティで、オープンなネットワーク上で、デジタルIDシステムはサイバー攻撃や情報流出の標的となっている。
詐欺となりすまし
個人情報の流出や漏えいにより、詐欺師は本物の個人情報に偽の情報を組み合わせて「偽ID」を作成できる。従って、デジタルIDシステムに登録される個人情報は厳しく審査され、政府や規制当局のデータベースと完全に一致しなければならない。
集約型 vs 分散型
すでにデジタルIDシステムの実装技術に興味を持っている組織もある。PKI(Public Key Infrastructure:公開鍵暗号基盤)とブロックチェーンがよく議論されているテーマだ。PKIはトランザクションの速度が遅く受け入れられていない。分散型台帳技術の影響によりブロックチェーンの議論が盛り上がり、その技術がアイデンティティーサービスプロバイダー(IDSPs)で多く使われるようになってきている。一方で、デジタルIDシステムの分散化と政府のガバナンスの規制に対応することを同時に進めることは容易ではない。
「あなたなの?」vs「あなたは誰?」
デジタルIDシステムにおける本人確認は、利用者がユーザネームの入力を求められたあとのステップだ。「あなたなの?」の質問に、指紋のスキャンやパスワードの入力によって回答する。本物の身分証でアカウントを作り、犯罪グループにそれを売ったり譲ったりすることは一般的ではない。デジタルIDシステムが進化すれば、「あなたは誰?」の質問に完璧な回答ができるようになるだろうか?
デジタルIDシステムには、まだ不確実性とリスクがあるにもかかわらず、デジタルIDのアプリは既に試行され実装されている。南アフリカやシンガポールなど多くの国では、国のデジタルIDシステムが開発されている。また、専門機関が力を合わせていることもポジティブな側面だ。国際標準化機構(ISO)、ワールドワイドウェブコンソーシアム(W3C)、FIDOアライアンスが国際的なデジタルID保護の枠組みと標準技術の確立に関与している。
概して、デジタルの世界で身分証明することはかつてないほど容易になった。同時に、ITはグローバル化し複雑になっている。理論的な分析と実証された知識が、信頼できるデジタルIDシステムの実現を支えるだろう。
CFEのLin Danwanは、AMLと不正リスクマネジメントの分野で豊富な経験があります。彼女は現在GlobalBankの金融犯罪コンプライアンス部門に勤務しています。彼女の現在の研究分野は、RegTechのアプリケーションと、新興国のAMLガバナンスの比較研究です。現在は香港を拠点とし、英語、中国語(普通話)、広東語、フランス語を話します。
Xu Xiaoshanは、現在香港にあるバーチャルバンク(仮想銀行)で働き、リアルタイム不正検出、顧客のデューデリジェンス、マネーロンダリング対策のシステムデザインを担当しています。彼女は、GlobalBankのFinTech/RegTechイノベーションラボに4年間勤務していました。彼女は、FRM、AAMLPの資格も取得しています。
参考資料
英文タイトル :How to Build a Digital Identity System
英文記事リンク:https://acfeinsights.squarespace.com/acfe-insights/how-build-digital-identity-system
原文掲載日:2021年2月25日
翻訳:ACFE JAPAN事務局
※わかりやすさを優先させるため、意訳を行っています。ACFE JAPAN (一般社団法人 日本公認不正検査士協会) 公式の邦訳とは異なる表現を使用している場合があります。