■ 個人向けインターネットバンキングサイトの91%が認証レベルの高い証明書を活用
■ ネットバンキングサイトにおけるサービス提供会社のシェアはNTTデータが1位
■ 銀行ホームページの17%にセキュリティ上の課題も
■ 銀行ホームページの84%がApache HTTP Serverを利用
■ 増え続けるインターネットバンキングの不正送金被害
株式会社ICT総研(東京都千代田区)は2月10日、「インターネットバンキングのセキュリティ状況調査」の結果をまとめた。この調査は、2013年8月から2013年12月の期間内において、銀行のホームページおよびインターネットバンキングサイトの運営状況やセキュリティ評価を中心に実施したものである。調査・評価にあたっては情報セキュリティ診断サービスを提供するベルウクリエイティブ社の協力を得た。
インターネットバンキングの利用者は年々増加しており、銀行のサービス利用者に占める利用率は65.2%に達している(※1)。インターネットを介した振込み、振替え、残高照会などの様々な金融サービスが手軽に受けられるようになったことで銀行サービス利用者の利便性が向上し、利用率も高まっている。しかし、各種オンラインサービスが利用しやすくなった一方で、インターネットバンキングの口座から預貯金が不正に送金されるなどの被害も増えており、昨年の被害額は過去最悪となった。2013年の被害件数は1,315件で総額14億600万円となり、2011年と比べて約4倍に上っている(※2)。
こうした詐欺被害の多くはフィッシング詐欺などのなりすましや、ID・パスワードの不正取得によるものである。不正行為を防止するためにも銀行のホームページやインターネットバンキングサイトに対して利用者からのセキュリティ要求はさらに高まっており、インターネットバンキングをより安全に利用するための対応が必須となっている。
こうした背景から、国内の銀行ウェブサイトのセキュリティの現状を把握し、より安全なサービスを受けたいという利用者のニーズは年々高まっている。そのため、今回の調査では、インターネットバンキングサービスを提供している主要123行の銀行のホームページおよびインターネットバンキングサイトのセキュリティ動向を調査対象とした。
■ 個人向けインターネットバンキングサイトの91%が認証レベルの高い証明書を活用
インターネットバンキングサイトで利用されている証明書のセキュリティ状況を見ると、全体の4分の3にあたる75.8%がEV SSL(Extended Validation Secure Sockets Layer)とSGC (Server Gated Cryptography)に対応済みで認証・暗号レベルがともに高いサイトとなっている。
注:ここで言う認証・レベルが高いものとは、「EV SSL証明書」を取得していること、
「SGC(Server Gated Cryptography)」に対応し暗号化強度が高いものを指す。
また、EV SSL証明書を取得し認証レベルは高いものの、SGC非対応の銀行は15.3%であった。次に、暗号強度が高く、認証レベルが弱いもの(SGCのみ対応済み)が8.1%、認証・暗号レベルともに弱いもの(証明書なし)も0.8%となっている。したがって、セキュリティ上の信頼性が高いEV SSL証明書を取得しており、インターネットバンキングを安全に利用するための対応をしていると評価できるサイトは全体の91.1%に上っている。その一方で、8.9%にあたるサイトではセキュリティ上改善すべき課題が見られた。これらのサイトでは、サイト運営組織の実在やサイトの真正性を高いレベルで証明するための対策や、通信データの盗聴・改ざん等をより強固に防止するための対策を取ることが望ましいと思われる。
■ インターネットバンキングサイトにおけるサービス提供会社のシェアはNTTデータが1位
今回調査対象としたインターネットバンキングサイト123件について、そのサイトのサービス提供会社を調べたところ、NTTデータのサービス(Anser ParaSOLなど)を利用している銀行が最も多く42.3%であった。次いで日立製作所のサービス(FINEMAXなど)を利用している銀行が10.6%、NECのサービスを利用している銀行は2.4%であった。その他の銀行は、自社でサーバを運用したり、複数の銀行でサーバを共同運営している形態が多く、全体の44.7%を占める。
■ 銀行ホームページの17%にセキュリティ上の課題も
次に、銀行のホームページなどで利用されているウェブサーバのセキュリティ状況について調査した結果、全体の17%にあたる21行のウェブサーバ(アプリケーション)にセキュリティ上の課題が見られた。一部の銀行のホームページでは、ウェブサーバの情報が外部から見えやすい状況になっており、場合によっては攻撃を受ける可能性もある。これらのウェブサーバは、セキュリティ上問題となる脆弱性があり、システム関連の情報が漏えいするなどのセキュリティ上の課題があるため、今後さらにホームページを強化していく必要がありそうだ。
■ 銀行ホームページの84%がApache HTTP Serverを利用、IBM・マイクロソフトは少数にとどまる
銀行ホームページのウェブサイトでは、ウェブサーバアプリケーションとしてApache(アパッチ) HTTP サーバを利用するものが最も多く、全体の83.7%で圧倒的シェアを誇っている。Apache HTTPサーバは世界的に見て最も多くのウェブサイトで利用されてきたウェブサーバソフトで、ユーザー間で改良が進められてきたオープンソースソフトである。近年、Microsoft IISウェブサーバなどのウェブサーバソフトが台頭し、世界のウェブサイトに占めるApacheのシェアは50%程度まで落ち込んできたが、国内銀行のWebサイトでは依然高い人気を誇っているようだ。
銀行123行のホームページで利用されているウェブサーバソフトのうち、IBM HTTPサーバ、マイクロソフトIISのシェアは2~3%となっている。このところ世界のウェブサーバソフト市場でシェアを伸ばしているマイクロソフト IISだが、銀行のホームページにおいては今のところあまり導入が進んでいない。
また、インターネットバンキングの利用者は今後も拡大することが見込まれるため、銀行のホームページ上でのセキュティ対策がこれまで以上に重要なものとなる。多くの銀行では、ホームページの使いやすさ向上やセキュリティ強化に務めており、今後もウェブサイトの継続的な開発・改善が進んでいくことになるだろう。
※1 出典:全銀協「よりよい銀行づくりのためのアンケート2012年度」
※2 出典:警察庁「平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について」
【用語説明】
SSL(Secure Sockets Layer):サイト運営組織の実在とサイトの真正性を証明するためのインターネットプロトコル。ブラウザとウェブサーバ間でのSSL暗号化通信を実現する。
EV SSL( Extended Validation SSL certificate ):証明書を取得する際の審査項目や手順を定めた「EV証明書ガイドライン」に対応したSSL。一定の基準を満たした認証局だけが当該ガイドラインに基づいた証明書を取得できる。
SGC(Server Gated Cryptography):通常40bitや56bitのSSL暗号化しか利用できないブラウザからの接続を自動的に128bitにステップアップさせる技術。SGC機能に対応した証明書であれば、40bit、56bit などの低い暗号化強度にしか対応していない古いブラウザを利用するクライアントにも、128bitの安全な暗号化強度によるSSL通信が可能。
Apache HTTP Server:世界で最も利用されているWebサーバソフトウェア。
マイクロソフト IIS:Microsoft社のWebサーバソフトウェア。
【本資料の調査結果・推計データについて】
*本資料における全ての文章、数値、表、グラフデータは、ICT総研スタッフによる取材やアンケート調査を元に当社アナリストが記述・推計したものであり、当該企業や公的機関等の公表値と異なる場合があります。
*本資料における全ての文章、数値、表、グラフデータは、資料公開時点のものであり、その後の市場環境等の変化や新たな分析に基づき予測データ等を予告なく変更する場合があります。
*本資料は報道・ニュースメディア向け資料であり、ICT総研の許可無く、データ、グラフ等を広告および販促活動に利用することを禁止します。
*本資料に記載された文章、グラフ等を報道、各種ホワイトペーパー、セミナー資料、学術研究資料等に転載する場合は、「ICT総研調べ」「出典:ICT総研」などの表記を加えて下さい。
【プレスリリースに関するお問い合わせ先】
株式会社 ICT総研 調査部
〒101-0041 東京都千代田区神田須田町1-4-4 神田須田町ビル3階
TEL:03-6206-0941 ホームページ: http://www.ictr.co.jp
【調査協力機関、調査詳細データに関するお問い合わせ先】
有限会社ベルウクリエイティブ
〒150-0001 東京都渋谷区神宮前4丁目1番24号 オフィスイワタ第一2階
TEL:050-3612-5338 ホームページ: http://www.belue-c.jp/
当資料の販売については、電話またはメールにてお問い合わせ下さい。