セキュリティの概念を覆す3つのフィンテックのスタートアップ企業

セキュリティ

セキュリティをより安全なものにするため、金融機関は人財、業務プロセス、テクノロジーに対して従来通り多大な投資をしてきました。
ところが、いくつかのスタートアップ企業は、従来とは異なるアプローチにより革新的な方法を提案しています。
近年のフィンテックのスタートアップ企業は、金融業界の変革への熱意と必要性を感じ、新しいサービスやアプローチでセキュリティ面の改革に貢献しています。
そこで、セキュリティ強化に努めている3つの企業を紹介します。

KYCの新たな取得方法

個人情報の提供は、金融業界では必須の項目です。通常の場合、多くの大手金融機関での新規口座開設時に、顧客自らが出向いて必要書類を提示して数時間待つという手順を踏まなければなりません。しかし、口座開設ひとつを取っても、近年ではより迅速な対応を顧客は求めています。

2010年に設立したTruliooという会社は、eBay, Kickstarter, Square and PayPalなどの知名度が高い顧客層を持ち、身元証明に対して新しい手段を用いています。金融機関が必要書類で身元確認をするのに対し、Truliooは不動産、ユーティリティーデータ、クレジットカードの過去のデータ、ウォッチリスト、健康保険ナンバーの情報、マーケティングデータなどの、より広範囲なデータを元に身元証明を行います。これにより、数秒間で承認か不承認かの結果を出すことができます。

「核となるKYC(Know Your Clientもしくは顧客を熟知しよう)では、氏名、住所、ID番号、生年月日以外にも、電話番号やメールアドレスの照会もします。」とTruliooのCEOのジョン・ジョーンズ氏は述べ、続けて「各顧客によってデータの情報源はカスタマイズしています。ID番号が必要なデータソースもあれば、いくつかのベンダーを取り入れたマルチルールソースを起用しなければならない場合もあります。又は、シングルソースルールを用いる場合は、コスト削減するためにウォーターフォールアプローチでデータソースからデータソースへと流れるような手段を使用する場合もあります。」と述べています。
「KYCの需要とコンプライアンスへの期待の高まりは、我々が顧客の身元証明に関して自信をもって提供することが重要であることを意味します。次の目標は、今までの伝統的な情報源だけではなく、顧客の支払調書なども利用して身元証明をすることです。」とジョーンズ氏は説明します。

理にかなうパスワードの再利用

「ユーザーにとって認証作業は面倒なのです。」とトロントを拠点とする認証プロバイダーのSecureKey TechnologiesのCIOのアンドレ・ボイセン氏は述べます。「我々は、スペクトルでパスワード管理を区分する方法に早期に気づきました。オンラインバンキングなど毎日の用に使う使用頻度が高いパスワードがある一方で、税金をオンライン上で支払う時などに使用する使用頻度の低いパスワードもあります。」とボイセン氏は解説します。合わせて「例えば、何百分人もが所得税申請の時期のみにCRA(Canada Revenue Agencyもしくはカナダ歳入庁)にアクセスします。SecureKeyを利用すれば、CRAのユーザーも銀行のオンラインIDでサイインが可能です。他のサービスと比較すると、銀行のオンラインのIDは、より厳しい審査を必要としています。それ故、税務署のオンラインサービスでも、銀行のオンラインIDを再利用するのは理にかなっているのです。」とボイセン氏は説明します。

政府機関のセキュリティに関する要求は厳しいが、それもSecureKeyのアプローチの一貫なのです。「年二回の監査をカナダ政府から受けているが、政府機関は続けて当社を利用し続けてくれています。」と同社のCTOディミトリー・ボリノヴ氏は自負しています。「我々は、セキュリティ面を強化するために、Security Assertion Markup Language (SAML) やOpenID Connectのプロトコルも利用しています。」と同氏は説明します。

送金の保護

海外送金は高額で時間のかかる手続きでした。Rippleの暗号化の最高責任者のデービッド・シュワルツ氏は、「現時点では、多くの銀行では即時送金をサポートするインフラはありません。」と述べています。
2012年に設立されたサンフランシスコ市を拠点にしているRippleは、その海外即時決済を低価格で可能にしました。Rippleの顧客は、ドイツのFidor Bank AGや送金サービスを担うEarthportなどを含んでいます。
「多くのセキュリティ攻撃では、支払いシステムの中枢に入り、誤った送金指示をするのが主流です。当社では、決済ごとに暗号化をします。この方法だと、ユーザーは決済をトラッキングでき、不正の可能性を難しくします。」と同氏は説明します。

「Rippleの統一された元帳は、アカウントごとに3つのパブリックキーが紐付けられています。一つ目は、アカウントの所持者である認証をするマスターパブリックキー。二つ目は、通常の取引を可能にするレギュラーキー。三つ目は、アカウントごとにしか読み取れないメッセージキーです。典型的な取引は、レギュラーキーかマスターキーで認証が行われます。」と同社広報担当のデービッド・パターソン氏は述べ、「デジタル署名では、ECDSA SECp256K1 かEd25519 もしくはSchnorr signaturesを利用しています。」と説明しています。

Rippleは情報管理の負担の軽減を目指して、情報収集の方法の見直しを試みています。「第三者機関に監査を受けた際に助言を受けたのは、情報のログを減少させるということです。全ての情報に関してログをして記録する必要性があると感じていましたが、それが逆に膨大すぎる場合は、維持や管理するデータ量で負担が大きくなり、データ分析やシステム性能を損ねると指摘されました。」と同社パターソン氏は説明しました。

※本記事は以下を翻訳・引用しています。
http://www.cio.com/article/3107785/financial-it/how-3-fintech-startups-are-shaking-up-security.html