楽天銀行 巧妙なオンライン犯罪者の攻撃から国内トップのネット銀行とその顧客を守る RSA Web Threat Detection 銀行顧客を狙う不正送金犯罪の検知 日本の草分けにして最大手のインターネット銀行 楽天銀行は、今年創業 15 周年を迎えたインターネット銀行(ネット銀行)の草分け的存在であり、現 顧客の利便性を損なわずに、高度化する 在国内最多の口座保有数を誇る日本一のネット銀行である。同行は、日本のネット銀行業界を牽引 脅威による不正送金被害を一掃したい する勢いで、モバイル環境でのサービス充実に注力しており、そのサービスのほとんどがすでに オンラインでの振る舞いを可視化する RSA WTD が、短期間で目標を達成 優れたフレームワークに RSA のエキス スマートフォンからも利用できるという。脅威と隣り合わせとも言われるモバイルインターネット 環境で、先駆的金融サービスを提供するため、楽天銀行は長くそのリスク管理の強化に努めてきた。 楽天銀行が、RSA Web Threat Detection(以下 RSA WTD)を採用した背景には、ネットバンクの パートの知見を組み合わせることで、導 利用者を狙う脅威環境の激変がある。2014 年のオンラインバンキング関連の不正送金被害が、発生 入前から効果が実感できた 件数、被害額ともに過去最悪を記録したのは記憶に新しい。それまでの日本は、海外オンライン犯 RSA WTD の提供する優れたユーザー 罪者にとって「言葉の壁」が参入障壁となっていたこともあり、いい意味で海外の惨状とは一線を 体験が、若手スタッフの戦力化にも貢献 画していた。しかし、2013 年ごろから変化が始まった。欧米で猛威を振るう最新の攻撃手法と本物 と見分けがつかない日本語対応力を組み合わせた不正行為が増え始め、国内のネットバンキング サービス利用者の被害も急増した。 日本のオンラインバンキング利用者を狙う 巧妙な脅威の襲来 楽天銀行 システム本部 システムセキュリティ統括部長の竹内健治氏に、当時を振り返っていただ いた。ネット銀行国内最多の口座件数を誇る楽天銀行だけに顧客の数も多く、利用者から被害を出 さずに済ませることは、さすがに難しく対応に追われたという。しかし、この時楽天銀行が実施し た対策は奏功し、同年の中頃までに被害の抑止に成功したという。興味深いのは、このとき対応に 同行の姿勢が明瞭に現れていることである。同様の被害に遭った他の多くの国内金融機関が、ログ イン認証の厳格化という入り口対策の強化を選んだのとは対照的に、楽天銀行の強化策は入り口対 策のみに留まらなかった。入口対策を強化しすぎると、セキュリティ強度は確かに上がるが、お客 さまの操作が煩雑になり、利便性が低下するという負の側面もあるからである。よって、入口対策 の強化は最小限に留め、送金直前の確認強化、いわゆる出口対策の強化に注力したのである。 とはいえ、長年ネット銀行としてオンラインリスクに向き合ってきた楽天銀行だけに「出口対策だ けで安心」とは考えなかった。発生した事案を分析、どうすれば阻止できたかと検証を重ねて、必 要な対策を導き出す情報にたどり着いた。それは、被害事案の陰には、必ず「なりすましアクセス 者による不審な偵察行動」が伴うということである。自ずと「不審な振る舞いを見せるなりすまし アクセスを検出する」ことが次なる対策となった。もちろん、 「あくまでお客さまの利便性を損なう ことなく」である。 一人ひとりのオンラインでの振る舞いを可視化する RSA WTD 時間と場所を選ばず大量の攻撃を仕掛けてくるオンライン攻撃者に、限られた経営資源で対処する 以上、ITC の有効活用は欠かせない。楽天銀行においても、2013 年秋から、実効性のあるシステム 的対策の検討が始まった。同行では、システムセキュリティ統括部が、DDoS 攻撃に代表されるサー ビスの可用性侵害への対応とともに、情報システムによるセキュリティ対策の検討を担っている。 楽天銀行 口座保有数 513 万件、預金残高 1 兆 4000 億円を誇る国内最大手のイン ターネット銀行。2000 年の創業以 来、日本のインターネットバンキン グ市場をリードし続けている。 iPhone、Android 別々に設計したこ だわりの専用アプリをリリースして いる。スマートフォンが採用した指 紋認証機能にいち早く対応したこと でも注目を集めている。 同部を統括する竹内部長は、さっそく「不正行為の検出精度」 「顧客の利便性」に「社内運用の容易 さ」 「既存システムに与える影響」 「総合的なコスト」など多角的視点から明確な選定基準を策定し、 ソリューションの選定を進めていった。 RSA WTD は、ウェブサイト上の大量のイベントをつなぎ合わせて、ユーザー一人ひとりの振る舞 いとして可視化することができる。今アクセスしているユーザーは、どのサイトから来たか、どの 地域からアクセスしているか、どの端末を使っているか、どれくらいの速さでクリック(ページ遷移) しているか。今回の振る舞いがそのユーザーの過去の振る舞いとどれほど乖離しているかを定量的 かつリアルタイムで把握できる。だから、顧客になりすましたオンライン犯罪者の不審な振る舞い やプログラムによる不正行為と本来の顧客による利用をしっかり区別できる。しかも、顧客の利用 手順や操作性にはまったく影響を与えない。楽天銀行の目標達成にもってこいのソリューションで ある。 RSA WTD の存在が竹内部長の目に留まったのは、楽天グループ本体からの紹介の結果だった。 その強みを理解した竹内部長は、実機によるデモンストレーションを体験するため、シンガポール で開催された RSA Conference APJ 2014 にまで参加されたという。その時点では RSA WTD 以外 の候補-ちなみに、その多くは、統合ログ管理システム(SIEM)と分類されるものだった-が俎上に 残っていたという。竹内部長はそれらを「ハコモノ」と呼ぶ。機能は実装されていても、それを引 き出すためには自分たちで時間と手間をかけてチューンアップしなければならない。だから「ハコ モノ」だというのである。 謳い文句の正しさを 3 ヶ月かけて じっくりと評価 一方、RSA WTD の場合、一週間の事前分析を経て行われる RSA のエキスパートによる設定サービ スを利用できる。欧米の様々な金融機関を担当し、最先端の脅威と対峙してきたエキスパートが自 行の状況に照らしてチューニングしてくれる。つまり、RSA WTD は、本当の意味でのすぐに使え る“ターンキーソリューション”なのである。 「自分たちで手間暇かけてチューンアップしなくても、 すぐに使えるのは大きな魅力だった」(竹内部長)。 こうした点が評価され、最終候補には RSA WTD が残った。とはいえ、謳い文句通りの性能が発揮 できるのか、その確認は必要である。EMC ジャパンでは、顧客がこうした目的にも利用できるアセ スメントサービスを提供している。上述のエキスパートによるカスタムチューニングもその一環と して行われる。最前線の知見を反映した上で、自行の現実の環境に組み込んで、実際に何が起きて いるか、何が検知できるかを、文字通り目の当たりにすることができる。RSA WTD の実証試験が 比較的容易に行える理由は他にもある。本番環境に“異物”を入れるとなれば、慎重を通り越して拒 絶反応が出ても不思議はない。しかし、WTD の設置は、「既存システムの改修どころか、ファイア ウォールの設定やネットワーク環境の変更さえも必要ない」(竹内部長)。受け入れ側の負担が最小 限で済むのである。 二人で始めた 3 ヶ月の実証試験 若手がみるみる独り立ち 2014 年 12 月、RSA WTD の実証試験が始まった。まず何をおいても評価されるべき要件は、当然 検知性能である。そして、その機会は幸か不幸か、早々に訪れた。たまたま発生した不正送金未遂 事案を期待通りに検知したのである。しかし、満たす要件はそれだけではない。設置や設定の手間 が少ないと言っても、日々の運用業務は残る。楽天銀行がその運用に割り当てたリソースは、竹内 部長を含めてわずか 2 名。しかも、残る 1 名はまだ経験の浅い若手スタッフだった。果たして運用 は回るのか。しかし、その懸念も結果としては杞憂に終わった。RSA WTD のわかりやすい操作性 と整備された設定の効果もあって、最少人員でも問題なく運用できたという。 望外の効果もあった。若手スタッフの成長ぶりが目覚ましく、 「アセスメントの期間中に独り立ちし、 最終的には設定の改善提案をするまでに成長してくれた」(竹内部長)のである。設定されたルール の調整や画面インターフェイスの改良が、エンドユーザーでも容易に行える RSA WTD の長所が役 立ったと言えるだろう。 顧客の操作性には何の影響もない。検知力も実証され、既存システムとの統合も容易で、運用負担 も最小限。それが、実証試験の結果だった。竹内部長は自信を持って RSA WTD の採用を社内に諮 り、経営も即断即決で導入を決めた。それから 3 ヶ月余りたった 2015 年 10 月、正式導入された 楽天銀行の RSA WTD が本格稼働を果たした。もっとも、実証試験環境はその後も動作していたの で、空白期間は特にない。RSA WTD はすでに楽天銀行のリスク管理に組み込まれ、期待通りの働 きを続けている。 噂になるほどの分析力で不審な利用をサービスから締め出し ここで、付け加えておくべきことが一つある。楽天銀行は、顧客を不正送金被害から守るためだけ に、RSA WTD を導入したわけではない。銀行にとって、もう一つの大きなオンラインリスクであ る不正な口座開設-いわゆるマネーミュール口座開設-への対応にも大いに役立つのである。RSA WTD があれば、警察庁から提供されるリストに含まれる人物からの口座開設申請を自動検知したり、 不正口座開設申請者特有の不審な振る舞いをリアルタイムで検知することができる。金融庁や警察 庁からの要求や要請への対応、説明責任の履行も、効果的、効率的にこなすことができる。 こんなエピソードもある。日本でも、官民の防犯協力促進を目的とした情報交換体制の整備が進ん でおり、日本サイバー犯罪対策センター(JC3)や金融 ISAC からの情報提供やそれに対するフィード バックの要請が日常的に行われている。楽天銀行の場合、寄せられた不審な IP アドレスについて 情報の照会なども、RSA WTD を使えば瞬時に終了する。その結果、楽天銀行からのフィードバッ クがあまりに早いので、その高い処理能力が関係者の間でも評判になっているという。 EMC ジャパン株式会社 RSA 事業本部 TEL 03-6830-3341 [email protected] http://japan.emc.com/rsa EMC2、EMC、RSA、RSA ロゴ、SecurID は、米国およびその他の国における EMC Corporation の登録商標または商標 です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 RakutenBank CP 1512-J
© Copyright 2024 ExpyDoc