Fintechの命運握るセキュリティの“終わりなき戦い”【第7回】

　様々な大企業がキャッシュレス決済に参入し、2019年は「キャッシュレス元年」とも呼ばれました。翌20年は新型コロナウイルス感染症（COVID-19）の拡大により、キャッシュレス決済は、さらに普及しました。

　並行して、不正な資金流出事件が発生し、大きな問題になりました。19年には、セブン&アイホールディングスのサービスで不正に資金が流出。20年にもNTTドコモをはじめとした複数のキャッシュレス決済サービスを通じて、同サービスと連携した、ゆうちょ銀行の口座から預金が不正に引き落される事件が起こりました。それぞれにセキュリティの脆弱性があったことが一因として指摘されました。

　Fintechでは複数のサービスが紐づいていることが少なくありません。一箇所で不正な侵入を許せば、他に波及する可能性が高まります。様々な機能を1つのアプリケーションで提供する「スーパーアプリ」においては、銀行の口座情報が盗まれてしまえば、他のアプリでも使われる可能性が高まります。

　せっかく普及してきたFintechを一般消費者が安心して利用し続けられるためには、サービス上で関連する企業が揃って十分なセキュリティを担保することが求められます。

オンライン認証「eKYC」やホワイトハッカー活用の動きも

　Fintechの盛り上がりを背景に、関連するセキュリティー分野でも需要の拡大が期待されています。米コンサルティング会社のKPMGによるレポートによれば、サイバーセキュリティ関連のFintechへの投資は、2019年に６億4600万円になり、5年前と比べ11倍にまで膨らんでいます。

　具体的には、どのようなセキュリティ技術やサービスが生まれているのでしょうか。その代表が「eKYC」と呼ばれる、オンラインで本人かどうかを確認するための技術です。日本では三井住友フィナンシャルグループが出資するポラリファイが、PayPayや楽天証券、日本生命などの複数の金融機関にeKYCを提供しています。

　eKYCは現在、なりすましによる不正出金などを防ぐため急速に進化しています。対面で本人かどうかを確認したほうが安心だと思うかもしれませんが、必ずしもそうとは言い切れません。近年はPCやスマートフォンの利用を通じ、個人に関する情報がオンライン上に増えているからです。そうしたデータをAI（人工知能）技術を使って解析することで本人を確認する技術が続々と開発されています。

　例えば、2011年創業のイスラエルのスタートアップであるBio Catchは、個人のタイピングの癖などをAI技術で学習し、それを元に本人かどうかを確認します。みずほ銀行とSCSKは20年５月、Bio Catchの技術を使って金融詐欺の防止に向けた実証実験を実施すると発表しています。

　最近は「Bug Bountry（バグ報奨金制度）」を活用する動きも広がっています。Bug Bountryは、自社システムにおいて、どこがサイバー攻撃を受けやすいのかを調べるために、企業が報奨金を支払ってホワイトハッカーに侵入テストを依頼するものです。

　Bug Bountryのサービスを提供する米Hucker Oneの顧客リストには、スターバックスやPayPal、AT＆Tといった米国拠点のグローバル企業が名を連ねます。日本でも、トヨタ自動車や任天堂が同社サービスを利用しています。日本のセキュリティー対策会社であるスプラウトが同様のサービスを提供しています。