先進的な取り組みを行うセブン銀行でCSIRTを立ち上げ

(セブン銀行 安田氏)私は2004年にセブン銀行に入社し、約10年間口座の商品開発をしていました。2014年に金融犯罪対策部に異動し、不正口座やインターネットバンキングの不正対策の企画を専門にやっています。2015年にセブン銀行のCSIRTを立ち上げ、CSIRTの責任者も兼任しています。

セブン銀行はもともと非対面の銀行からスタートしており、リスクに対する意識が高く、経営理念にも「安全かつ効率的な決済インフラの提供を通じて、我が国の金融システムの安定と発展に貢献します」と謳っています。情報セキュリティ分野でも、先進的な取組みに常に前向きです。金融犯罪対策部では2008年からすでに約10年間、モニタリングの仕組みを動かし不正検知・不正対応を行っている実績があります。2014年くらいから不正口座や不正利用が増加し、セブン銀行でもお客様を守るためのインターネットバンキングの不正対策や、不正口座を作らせない取り組みを推進しています。

最近ではそうした取り組みの成果を、他の金融機関に何らかの形で還元したいと考えており、ご相談を受けたり、講演などで話をする機会もいただいたりするようになりました。

セブン銀行 金融犯罪対策部
7BK-CSIRT次長 安田貴紀氏

組織化・分業化が進む金融犯罪

(セブン銀行 安田氏)4年ほど前までは、一連の犯罪行為が1人の個人によってなされる傾向が多くありました。しかしここ1、2年で、金融犯罪は組織化・分業化が進んでいます。不正口座にしても、口座を開設する人とその口座を買い取る人、実行する人という異なった役割をもつ犯罪組織もしくは個人が存在し、インターネットバンキング不正送金も同様に認証情報を手に入れる人、不正送金を行う人、出金する人……というように分業化・組織化されているという印象です。

その結果、短期間に複数の攻撃を受けるケースも出てきました。弱い部分があると集中的に狙われることがあり、さらに発見が遅れると長期間攻撃を受けてしまいます。早期に発見し対策をしていくことが大切だと感じます。さらに今後は、不正の予兆をどうやって見つけるかがポイントになってくると思います。スマートフォンやインターネットの普及で誰もがデバイスを使うようになり、正しい人と悪い人との見分けがつきにくくなっています。そこを見分けるシステムへのニーズは高まっていますね。

(カウリス 島津)日本全国で人口の半分となる6000万を超えるインターネットバンキングの口座があると言われる中[1]、警察庁のまとめによると、クレジットカードや仮想通貨も含め、不正が疑われる取引が約42万件というデータもあります[2]。1%弱が不正に使われている計算です。

(セブン銀行 安田氏)1つの端末で複数口座を操作することも多いですね。不正な行動をする人たちには、普通の人たちは行わないような“不自然さ”があります。その傾向をどうやって発見していくのかがポイントになります。

「点から線へ」。業界を超えた情報セキュリティ対策で金融犯罪の未然防止を目指す

経営理念が書かれたセブン銀行の従業員カード

(セブン銀行 安田氏)多様なサービスが登場し、点を見つけることに特化した優秀な製品は増えてきたと感じます。一方でセブン銀行としては、点だけではなく、複数のシステムに点在する情報を横断的に分析し面で捉えるということが課題です。今のところこれらの面で捉える分析はアナログ作業に頼る部分が多く、合理化したいところですね。

また、従来金融機関が持っていなかったプラスアルファの情報という点で、カウリスに期待をしています。従来は職人の嗅覚的な不正対策、という面がありました。しかし業界をまたいだ怪しいアクセス情報を共有し、さらには外部サービスとも連携することで、総合的にリスクを解析&スコアリングして合理化できると考えています。最終的には経験等に頼らず、誰がやっても不正を発見できるプラットフォームを作りたいです。

従来は悪いことが起きた時に発見するという発想でしたが、情報量と組み合わせが増えると、新たな不自然さが顕在化し未然に防止できるようになると思います。従来と違う方法で不正予測が可能になることを、一番期待しています。

(カウリス 島津)フロードアラートは、解析結果から不正なアクセスをブラックリストに登録することができます。分業化という話がありましたが、例えば口座を作る役割は、クレジットカード・銀行・証券など業界をまたいで同一人物である可能性は高いと思います。銀行とクレジットカードの両事業を展開されていると、特定の住所で口座やカードが多数作られていることが事後的に分かる、ということが起きているようです。業界をまたいでリスクある物件やカード、端末を把握することが重要だと感じます。

競争は本業で。共通のプラットフォームを作り、業界全体で金融犯罪と闘いたい

(セブン銀行 安田氏)業界を超えると、今世の中で何が起きているのかという情報を得るのは案外難しいものです。流通サイトやECサイトと同じ不正アクセスが金融機関に来たとして、初めてのアクセスで確証をもつのは難しい面があります。怪しそうではあっても、確証がなければ正しいアクセスとして処理される。しかし他の業界からの情報があれば、調査を進めるきっかけになってくれるでしょう。業界を超えて、同様のことをやりたい人も多いと思います。

そもそもインターネットバンキング不正送金や不正口座対策は、他の金融機関同士で競い合う領域ではないと考えています。セブン銀行のノウハウや経験を、他の金融機関でもうまく活用してほしい。その一つの方法として、セブン銀行のノウハウをカウリスのサービスにフィードバックし、カウリスのサービスを通じて他社でも活用してもらえればと思います。カウリスにハブになって多くの企業とつなげてもらい、正しい情報を還流してもらいたい。

商品開発やサービスなど本業で競い、セキュリティや不正防止は競うのではなく業界全体で協力するという、あるべき姿にするのが最終目標です。金融業界にとっても、それが一番大事なのではないでしょうか。

(カウリス 島津)業界を問わず、共通化できる部分は共通化していこうというプラットフォーム化の方向にあると思います。個々の企業が一からシステムを作ろうとすると、ユーザーに提供できるまでに3、4年の時間がかかりますし、さらに時間が経てば攻撃の種類も変わってきてしまいます。共通のプラットフォームを作ることでスピードを上げ、事故件数を減らしたいと思います。

ビッグデータを活用する不正検知プラットフォームで、次世代の金融犯罪対策へ

(セブン銀行 安田氏)セブン銀行が所持しているデータの量は膨大で、それをいかに高速に処理していくかが大切になります。今進めている「セブン銀行×Splunk×カウリス」の取組みで、3者が組み合わさることで新しい価値を生み出し、従来と異なるデータ分析に基づいた不正検知のプラットフォームが作れるのではないかと期待しています。従来は製品がベースでしたが、今後は製品利用によって生じたデータを取り込んでクロスさせていくので、イノベーションを起こせるかもしれないですね。

(カウリス 島津)現在弊社のサービスには、不正を検知するパラメーターが約200ありますが、パラメーターごとの相関関係の解析を進めています。業界ごとに攻撃の傾向を学び、スコアリング調整を行っていきたいと思います。

(セブン銀行 安田氏)今後大量のデータを分析できるプラットフォームができると、今まで注視してなかったパラメーターやデータが、重要なカギを握ってくるかもしれない。そういった新しい気付きが得られることに期待しています。

参考:

[1] 日本銀行. (2016). インターネットと銀行サービスの再考
https://www.boj.or.jp/announcements/release_2016/data/rel160314a2.pdf

[2] 日本経済新聞. (2018). 仮想通貨悪用疑い669件 資金洗浄など、警察庁まとめ
https://www.nikkei.com/article/DGXMZO2723328022022018CR0000/

安田 貴紀氏

2004年セブン銀行(当時のアイワイバンク銀行)入社。事業開発部にて口座の商品・チャネル開発を担当。2014年に金融犯罪対策部に異動し、不正対策企画を担当。2015年セブン銀行のCSIRT「7BK-CSIRT」を立ち上げリーダーに就任。

 

島津敦好

京都大学卒業後、株式会社ドリコムに入社。セールス担当として、同社IPOを経験。2010年、オンライン英会話学習のロゼッタストーン・ジャパン株式会社入社。法人営業部を立ち上げる。2014年よりCapy社入社。事業部長として不正ログイン対策のソリューションの提案を大手企業に提案。同時にメディアを通じたセキュリティ意識向上の啓蒙活動を実施。2015年12月、株式会社カウリス設立。

本社:東京都千代田区、代表取締役社長:舟竹 泰昭
セブン銀行は2001年の設立以来、「いつでも、どこでも、だれでも、安心して」使えるATMサービスの提供を推進。セブン-イレブン等、セブン&アイHLDGS.のグループ店舗やグループ外の商業施設、交通機関等に原則24時間365日稼働のATMを24,000台以上設置し、銀行等600社以上の事業者とATM利用で提携している。