米国金融サービス産業におけるインターネットセキュリティ、プライバシー保護と不正行為対策の動向

金融関連の製品やサービスのオンラインへの移行に伴い、金融サービスプロバイダは日々変化し、複雑化するセキュリティ、プライバシーそして詐欺問題に対応する必要性に迫られています。

消費者製品市場調査のリーダーとして、30 年以上のキャリアを持つ米国の調査会社 Packaged Facts （本社: ニューヨーク州）では、米国の金融サービス産業におけるインターネットセキュリティ、プライバシー保護と不正行為対策の動向について調査分析し、まとめた報告書 "The U.S. Financial Services Internet Security, Privacy, and Fraud Report" を発行いたしました。

当報告書では、インターネット上での個人情報盗難や詐欺行為を含む各種不正行為の原因、回避するための新技術やプロシージャに関する最新の動向、法規制、ケーススタディや主要参入企業のスコアなどについて、図表と併せて概略下記の構成で取り上げています。

第1章 問題の範囲

• イントロダクション
• 金融サービス産業を襲うセキュリティ問題とプライバシー問題
  • オンラインバンキングへの影響
  • オンライン支払いへの影響
  • 懸念しながらもオンラインバンキングを利用する多くの消費者
  • データ被害により阻害されるオンラインバンキングの普及
  • ChoicePoint
  • その他の大規模な被害
  • MasterCardの被害
• 消費者の認識
  • 金融機関に対する消費者の高い期待
  • 消費者の大きな懸念
  • ウェブチャネルへの影響
  • オプションとしての口座移動
  • 顧客のロイヤルティに影響を及ぼす可能性のあるセキュリティサービス
  • セキュリティ向上によって生じる利便性の問題
• 主要事項
• 個人情報盗難の発生範囲と件数
  • 個人情報盗難の定義
  • 個人情報盗難の発生件数
  • 被害者の1/3が新規口座開設の被害に遭遇
  • 2004 年に個人情報盗難被害にあったインターネットユーザー数は 200 万人
  • 2004 年の詐欺および個人情報盗難申し立ての動向
  • 詐欺
  • 個人情報盗難
  • 被害者情報の不正利用方法
• 地域による差
  • 州、都市部
• 詐欺件数
  • 支払い詐欺と監視に関する調査
  • 主な調査結果
  • 詐欺の発生件数
  • 詐欺防止策の導入動向
  • カード詐欺件数
  • 偽造カード詐欺
  • クレジットカードの不正技術ソリューション
  • 小切手詐欺の発生件数
  • 不正な口座振替の増加
• インターネット詐欺件数
  • 12％を占めたコンピュータを利用した詐欺件数
  • 2004 年の詐欺によるオンラインショップの被害総額は 26 億米ドル
  • 潜在収益の損失：詐欺への脅威による拒否
• 個人情報盗難/オンライン詐欺による経済的影響
• 個人情報盗難の手法
  • フィッシング
  • フィッシング攻撃による被害者数
  • フィッシング攻撃に関する動向調査の結果
  • フィッシングに利用されたブランド数
  • フィッシングサイトをホスティングしている国
  • フィッシングによる脅威の拡大
  • フィッシングのコスト
• 悪意のあるコードと破壊工作ソフト
  • フィッシングから破壊工作ソフトへ：人的要素の排除
  • 悪意のあるコード
  • ファーミング
  • キーロギング
  • 悪意のあるコードと機密情報の露呈
  • バックドアサーバープログラム
  • トロイの木馬
  • スクリーン・スクレーピング
  • 頻繁に大きな攻撃を受けている金融サービス部門
  • 頻繁にターゲットとされる金融サービス産業

第2章 ソリューション

• イントロダクション
  • 単一パスワードでは不十分：ツーファクター認証の必要性
  • オンライン詐欺件数を低減するためのステップ
  • 課題
  • 機関による対策
  • カードの有効化
  • カード署名
  • VISA によるカード所有者情報保護プログラム
  • VISA による照合
  • MasterCardのSecureCode
  • Discover のDeskTopオンラインショッピングツール
  • PIN 入力デバイス
• フィッシングの防止と軽減
  • 破壊工作ソフトの防止と軽減
• 顧客向けのソフトウェアダウンロード
  • 先行して対策を採っているインターネット会社
  • 後を追う銀行
  • Wachovia
  • National City
  • フィッシング/ファーミングの1・2攻撃
  • 例：PSECU によるFraudActionの採用
  • オンラインユーザーベースの拡大
  • 例：HBOSによる80％の詐欺件数の軽減
  • Cyota のファーミングソリューション
• FDIC によるフィッシング軽減戦略
  • スキャンツール
  • スキャンソフトウェア
  • サーバーログ分析ソフトウェア
  • E メール認証（送信者 ID）
• ユーザー認証
  • シングルファクター認証
  • ツーファクター認証
  • 消費者によるツーファクター認証の受容
  • ツーファクター認証は不十分か？
  • ツーファクター認証の発展
• バックグラウンドシステム
  • コンテンツフィルタリング
  • バックグラウンド認証と詐欺システム
  • トランザクションソリューション
  • 行動パターン検出ソリューション
  • デバイス認証ソリューション
  • ツーファクターリスクベース認証
  • 製品の展開
  • 例：Stanford FCU
  • 例：Bank of AmericaのSiteKeyサービス
  • 事前印刷認証カード

第3章 トークンとスマートカード

• イントロダクション
• ツーファクター認証トークン
  • 根付き始めた強力なツーファクター認証トークン
  • USB トークンデバイスの概要
  • 定義と機能
  • パスワード生成トークの概要
  • ツーファクタートークンの課題
  • オープンスタンダード
  • 導入に関する見解
• トークンの展開
  • 欧州
  • 米国
  • E-Trade OTP Consumer Token
  • American Bank OTP Consumer Token
  • Stonebridge OTP Consumer Token
  • AOL OTP Consumer Token
  • Bank of America における展開
  • Wachovia OTP Consumer Token の試験展開
  • U.S. Bank USB Consumer 試験展開
  • モバイル市場のソフトトークンの認証
• トークンのコスト
  • 重要な要素としての TCO
  • バイオメトリクスのトークン
• 強力な認証トークンの市場の規模と成長率
  • ハードウェアトークン市場の規模と成長率
  • Vasco
  • 普及率
  • 米国における売上
  • RSA セキュリティ
  • RSA の市場普及率
  • コンシューマ市場における可能性
  • 米国金融サービス市場
• スマートカード
  • スマートカード：定義と機能
  • 効果と保護
  • 使いやすさと要件
  • スマートカードの回避キーロギング
  • 例：USB AG Bank
  • 例：Axalto Smart Card
  • スマートカードのセキュリティ機能を備えたヨーロッパとアジア
  • EMVの信頼性ルール
  • ActivCard 4TRESS 認証サーバーによるMasterCard チップ認証プログラム向けバックエンドサポートの提供
  • トークンとしてのスマートカードの利用
  • 欧州における現象
  • 日本におけるスマート ATM カードの展開
  • 米国における金融サービスベースのスマートカードの普及
  • 非 EMV 地域における詐欺リスク
  • 機能
  • PIN/TAN の出し抜き

第4章 バイオメトリクス

• イントロダクション
• バイオメトリックシステムの機能
  • バイオメトリクスとは
  • 主な特徴
  • 2段階ソリューション
  • 登録
  • 登録時における詐欺防止の重要性
  • 照合
  • 照合プロセスに関する詳細
  • 照合の統計的プロセス
  • 認証と特定
  • 認証：1対1の照合
  • 特定：1対多の照合
• バイオメトリクス導入に関する阻害要因
  • コスト
  • コスト問題
  • 費用便益トレードオフ
  • 欧州のコスト比較
  • 技術の成熟度
  • 精度に関する問題
  • 一致判定と非一致判定
  • 背景
  • 認証および特定システムへの異なる影響
  • 登録の失敗
  • 相互運用性と標準化
  • 標準技術の不在
• 一般の受け入れ
  • 誤用
  • バイオメトリクスの受け入れ
  • 利便性
  • システムインテグリティ
• 金融部門における導入に関する阻害要因
  • 低コスト化および個人情報盗難件数権限のためのバイオメトリック技術導入の阻害要因
  • 個人情報盗難のコストと発生率
  • バイオメトリック評価
  • 詐欺に基づいた新規口座開設防止
  • クレジットカード分野におけるバイオメトリック技術導入の断念
  • 国家的な個人情報特定技術の提案
  • データベースストレージの重要性
• 政府によりバイオメトリック技術導入
  • 国土安全イニシアティブ：US-VISIT & TWIC プログラム
  • 国土安全に関する大統領指令
  • 顔認証を採用した国際民間航空機関
  • 顔認証の利用が進む交通省
  • 政府の投資によるビジネスチャンスの創出
• 金融取引におけるバイオメトリックソリューションの利用
  • 物理的アクセスと論理アクセス
  • 顧客認証
  • 小切手のキャッシング
  • ATM と小売 POS
• バイオメトリクス市場の規模、シェアと成長率
  • 金融サービス市場におけるバイオメトリック認証の普及率
  • 小売業におけるバイオメトリクスの普及
• バイオメトリック技術のカテゴリ別評価
  • 指紋認証
  • 指紋技術の用途
  • 従業員認証
  • オンサイトでの顧客の指紋認証
  • United Banker’s Bank
  • Bank of America
  • 指紋認証対応キオスク
  • Purdue Employees Federal Credit Union
  • 小売 POS の指紋認証
  • バイオメトリック POS 市場の規模と成長率
  • POS における指紋認証の機能
  • 小売業者に対するコスト事項
  • 製品コスト
  • 製品の展開
  • 例：Cub Foods
  • 例：Piggly Wiggly
  • オンライン認証向けコンピューターベースの指紋認証製品
  • 音声認証および認識
  • 問題範囲
  • 市場の規模と成長率
  • 音声認証
  • 生理的・行動的行動への依存
  • 機能
  • テキスト依存対非テキスト依存システム
  • ハードウェア/ソフトウェアソリューション
  • 音声認証と音声認識
  • 音声認識
  • 音声バイオメトリック製品の展開
  • PIN 向けオンラインユーザー認証
  • オンライン認証
  • 手の平認証
  • 顧客認証導入事例
  • 顔認証
  • 署名スキャンとキーストローク認証
  • キーストローク認証製品の展開
  • 虹彩認識

第5章 個人情報盗難に対する法的および規制環境

• 個人情報盗難保険
  • 例：PNC
  • 例：Citibank
• 個人情報盗難に対する法的および規制機関の対応
  • 情報保護規定
  • 罰則の増加と法規制ツール
  • 情報公開法の動向
  • 政府による情報公開の動向
  • 2005 年7月の議会によるセキュリティ管理およびデータ通知法案の提出
  • 例外
  • バンキング委員会
  • Feinstein 議員によるより厳しい個人情報盗難法案の提出
  • セキュリティ侵害に対する公聴会
  • 連邦政府機関によるカスタマーセキュリティ侵害通信に関するガイダンス
  • 州の規制
  • 商業部門における最近の動向

付録：ベンダーディレクトリ