BBVAが顧客口座の保護にFIDOをどのように利用しているか
あなたの銀行は、SMSワンタイムパスコードを使うことが唯一の追加認証要素だとまだ考えているのだろうか?私の銀行ではいまだにそうだ。私は、BBVAのようなセキュリティにもっと賢明な別の銀行に簡単に乗り換えられたらと思っている。スペイン、米国、メキシコ、南米に顧客を持つこの国際的な銀行は、FIDO認証プロトコルの大きな支持者であり、Nok Nok S3 Authentication Suiteを使用している。
銀行業は、認証に関しては旧世界的な考え方の最後の砦のひとつである。多要素認証(MFA)を提供している銀行のディレクトリをざっとスキャンしてみると、そのほとんどがまだ過去にとらわれていることがわかる。BBVAは、顧客にFIDO方式を採用した最初のスペインの銀行である。
FIDOは、最近のスマートフォンに内蔵されている指紋認証や顔認証など、既存の生体認証方法を活用する。つまり、顧客は取引の安全性を確保するために複雑な手続きを踏む必要がない。また、顧客は「マイ・セキュア・デバイス」のリストで、どの携帯電話やノートパソコンが自分のアカウントにアクセスしたかを素早く確認することができる。
しかし、銀行はもっと先見性を持ってFIDOを受け入れるべきであり、特に、より有能なデジタルフットプリントを持つ方向に向かっている銀行は、FIDOを受け入れるべきである。理由は3つある:第一に、口座乗っ取り詐欺が横行し、増加している。フィッシング詐欺の手口は巧妙化しており、特にパンデミック(世界的大流行)の最中には、顧客は口座が危険にさらされる可能性のあるCovid関連の怪しげなメッセージに必ずしも注意を払っていない。
第二に、PSD2規制は、より優れた認証方法を求めている。EUの決済サービス指令(Payment Services Directive)の最新版では、顧客主導のオンライン決済と銀行送金すべてに強力な顧客認証要件が設けられ、EUは昨年この要件の施行を開始した。これは、たとえば顧客が送金を希望する場合、MFAを利用して本人認証を行う必要があることを意味する。FIDOはこれを実現する最も簡単で安全な方法の一つであり、Nok Nokツールはこの「ステップアップ」認証を可能にし、銀行の顧客にとってシームレスなものにすることができる。
つまり、認証は、顧客がアカウントにログインするときだけ達成されるのではなく、顧客の活動を保護し、より安全なプロセスでリスクの高いアカウントを保護するために必要に応じて達成される。FIDOの優れた点は、このような保護が、ユーザーに新たな負担をかけることなく提供されることである。
最後に、SMSベースの認証は、セキュリティの陥没穴であり、簡単に侵害される可能性がある。このような漏洩に関する様々な記事の記録は、数年前にさかのぼる。直近では、あるサードパーティ・ユーティリティを使用して、加入者が侵害されたことに気づくことなく、SMS IDにアクセスできることを説明した記事がViceに掲載された。銀行は、認証活動においてSMSに依存すべきではない。
BBVAは昨年、Nok Nokのソフトウェアを同社の顧客ベース全体に導入し始めたことを発表し、それ以来、同社の顧客の多くがFIDOを使用して認証を行っている。「従来、認証システムの最大の課題のひとつは、セキュリティとユーザーエクスペリエンスのバランスをとることでした。FIDO標準のおかげで、両要素がシームレスに連携し、透明で俊敏なユーザー体験とともに、最高水準のセキュリティを顧客に提供できると確信しています」と、BBVAのグローバル・テクノロジー・アンド・インフォメーション・セキュリティ・オフィサーのフアン・フランシスコ・ロサ氏は語る。
Nok Nokは、アイスランドを拠点とするLandsbankinnや南アフリカを拠点とするStandard Bankなど、多くの銀行顧客にFIDOツールを使用してもらっている。あとは自分の銀行をFIDOに乗せることができればいいのだが。
