デジタル時代の新たな脅威に挑む!セブン銀行とNRIセキュアテクノロジーズ共同戦線
皆さんは「デジタルクライム」という言葉をご存じですか?デジタルクライムとは、サービス不正利用行為のことを指します。同じような言葉で「サイバー攻撃」もよく耳にしますが、実はこの2つには大きな違いがあります。
サイバー攻撃: システムの弱い部分(脆弱性)を攻撃する行為
デジタルクライム: サービス構造の弱い部分(脆弱性)を攻撃する行為
つまり、どんなにシステム側のセキュリティを高めても、元々のサービスにある穴を突いて行われるのがデジタルクライムなんです。
デジタルクライムは身近な犯罪
デジタルクライムは、実際に私たちの生活に密接に関わる身近な犯罪です。例えば、なりすましによる不正ログインや、盗まれたクレジットカード情報を使った不正購入など、日常生活の中で遭遇する可能性があります。
サービスの脆弱性が見逃されている理由
このデジタルクライムは近年増加傾向なんです。理由はサービスを検討するときの順番が関わっています。
今までサービスを考えるときは
①どんなサービスを提供するか
(→こういったサービスを作れると良い!)
②どんなシステムで動かすか
(→システムの弱い部分が出ないように設計しよう!)
と、いう順番で考えることが多く、システムの脆弱性はサービス内容が煮詰まった後の工程で考えればよかったのです。
しかしサービスの脆弱性については全体設計時の検討が必要になります。このサービス検討のスタート段階からデジタルクライムのリスクを考える、ということが少なかったのがサービスの脆弱性が見逃されていた理由でした。
デジタルクライムを企業が防ぐためには?
新たなサービスを作るとき、サービスをバージョンアップするとき、どちらのタイミングでも「サービスの脆弱性」が潜んでいないか、を検討することが重要になります。
そのためには
①サービスの脆弱性について意識すること
②(知見の深さは幅があったとしても)メンバー全員がデジタルクライムの知見を持つこと
③サービス開発メンバー、システム開発メンバーなど、領域の垣根を持たずに話すこと
がデジタルクライムを防ぐ対抗策となってきます。
セキュリティのプロ、NRIセキュアさんとのワークショップ
今回はデジタル領域のセキュリティのプロ、NRIセキュアテクノロジーズさん(以下、NRIセキュアさん)とデジタルクライム対策について共同ワークショップが開催されたので、内容を少しご紹介します!
午前中はお互いのショールームを見学
それぞれの視点からしか見えないものを改めて共有するため、お互いのショールームを見学。NRIセキュアの皆さんにはセブン銀行ATMで顔認証体験など最新機能を体験していただきました
両社長からの期待コメントでワークショップスタート!
両社長も会場に駆けつけ、期待を込めたコメントでスタート。データ活用が進む中、データ自体、データ取得の環境、そしてサービスを提供する環境、どれも高度なセキュリティ環境が必要である点、日ごろの業務や常識の枠を超えてお互いの知見を融合させることへの期待が語られました。
わざわざサテライトオフィスまでお越しいただきました!
ワークショップ開始!
お互いの簡単な業務説明後、いよいよワークタイム。各チームに実際に起こったデジタルクライムが配布され、以下のステップで検討が行われました。
ケースについての脅威シナリオを作成
概要図を作って明示化
各フェーズでどんな対策が打てるか
各チームのNRIセキュアの社員さんに促されつつ、セブン銀行社員もエンジンがかかり、ホワイトボードはあっという間に埋まり、追加のホワイトボードを希望するチームも出るほどの熱気でした。
成果発表!
チーム発表に対して、ワークショップとは思えないほど、誰が被害にあったのか、元々の対策はどうだったのか、事後対応はどうだったのかなど鋭い質問が飛び交います。
また犯罪者を直接ブロックするだけでなく、タッチポイントでブロックできないか、転売された商品を配送する際の配送業者と組んでブロックできないかなど、自社だけでなく社会全体で犯罪を止める方法などのアドバイスも。
実際にサービスをリリースする際に、システム面の穴だけでなく、
サービス面の穴も構想当初から想定し、潰していく重要性を
参加者一同認識できたようでした。
最後に
セブン銀行とNRIセキュアテクノロジーズの共同ワークショップを通じて、デジタルクライムとその対策の重要性について深く学ぶことができました。
デジタルクライム対策は、あらゆる方の生活を守るために欠かせない取り組みです。今後もお互いの知見を活かし、より安全なデジタルサービスを提供していきたいと思います。
