今月、金融活動作業部会(FATF)は、金融サービス規制当局向けの最終的な「デジタルIDに関するガイダンス」を発表しました。 FATFは、金融システムがマネーロンダリング、テロ資金供与、その他の違法行為に利用されないようにする責任を負っている世界中の金融規制当局で構成される基準作成機関です。 歴史的に、FATFは従来の銀行業務に焦点を当ててきましたが、ますます多くの金融サービスのデジタル化に伴い、安全な金融システムの重要な実現手段としてデジタルIDに焦点を当て始めています。
FATF勧告は、マネーロンダリング防止(AML)およびテロ資金供与対策(CFT)に関する世界的な基準として認められています。 そのため、最終ガイダンスでは、認証のベストプラクティスの例として、いくつかの場所でFIDO認証を認めることが非常に重要です。
注意すべき最初の重要な側面は、特に銀行が既存のデジタルID資格情報を持つ人々のために新しい口座を開設する場合に、顧客デューデリジェンス(CDD)プロセスの要素として認証が組み込まれていることです。 FATFがCDDの一部として認証を明示的に含めたのは今回が初めてであり、健全なユーザー認証の必要性に対する市場の認識が広がったことを物語っています。 第二に、FIDOは認証の受け入れ可能な形式として認識されているだけでなく、従来の認証方法よりも好ましいアプローチとして注目されています。 ガイダンスによると、次のようになります。
“パスワードやパスコードは、「共有秘密」のナレッジオーセンティケーターであるはずなのに、ブルートフォースログイン攻撃、フィッシング攻撃、大規模なオンラインデータ侵害に対して脆弱であり、非常に簡単に破られてしまいます。 盗まれたパスワード、脆弱なパスワード、またはデフォルトのパスワードは、データ侵害の81%の背後にいます。 加入者の携帯電話にテキストメッセージで送信されるSMSワンタイムコードなどの多要素認証(MFA)ソリューションは、パスワード/パスコードに別のセキュリティレイヤーを追加しますが、フィッシングやその他の攻撃に対して脆弱になる可能性もあります。
少なくとも1つの要素が公開鍵暗号化に依存しているフィッシング耐性のある認証器(PKI証明書やFIDO標準で構築された認証器など)は、これらの脆弱性に対抗するのに役立ちます。
これは、認証の重要性だけでなく、一部のレガシーMFAテクノロジーの弱点(フィッシング可能性など)と、FIDOを高保証認証として使用することでこれらのリスクを軽減する方法を認識する重要なものです。 これは重要な違いであり、銀行規制当局がデジタルIDと認証に関する新しいルールや更新されたルールを作成する際に、強く評価してほしいと思います。
FATF 勧告の全文はこちらからご覧いただけます。