[ユーザー事例]

LINE PayのCISOが語る、FinTech企業が必須で講じるべきセキュリティ施策

2023年7月18日(火)指田 昌夫(フリーランスライター)

人と人、人と情報の距離を縮めることをビジョンに掲げ、メッセージングサービスを中核にさまざまなサービスを展開しているLINE。2023年5月17日・18日に開催された「CISO Japan Summit 2023」(主催:マーカス・エバンズ・イベント・ジャパン・リミテッド)に、LINE Pay執行役員CISO IT統制本部長(登壇当時)の笹川豪介氏が登壇。高いセキュリティレベルが要求されるFinTech企業における防御策を紹介した。

世界6000万人が利用する個人間デジタル送金のパイオニア

 LINEの国内利用者数は9200万人に達しており、日本の人口の実に7割という膨大なユーザーベースを誇る。また、タイ、インドネシアなど世界4地域でこのスーパーアプリを基盤に、生活に密接したさまざまなサービスを展開している。

画面1:2014年12月に日本国内でサービス提供を開始したLINE Pay。コミュニケーションツールのLINEとのサービス連携を強みにしている
拡大画像表示

 その1つがスマートフォンから決済や個人間送金、公共料金の支払いなどを行える電子決済サービスの「LINE Pay」。LINEで行う家族や友人とのコミュニケーションの流れで容易に行える個人間デジタル送金のパイオニア的存在だ(画面1)。

 LINE Payのセッションを務めた笹川豪介氏(写真1)は、信託銀行の法務部での勤務を経て、2011年に弁護士登録をして弁護士事務所に入所(出向)。その後、2019年からLINEに転じて、現在はLINE PayのCISOとして、セキュリティやIT統制を統括するほか、LINEのフィンテックセキュリティ&プライバシー室長、LINE Bank設立準備会社の執行役員セキュリティ室長も兼務。LINEグループのフィンテックセキュリティ全体の司令塔である(登壇当時)。

写真1:LINE Pay 執行役員CISO IT統制本部長(登壇当時)の笹川豪介氏

 セッションでは、笹川氏が自身の経験から得たFinTech企業におけるセキュリティの考え方と、法令対応、説明責任と現実的な対策のバランスについて解説した。

サイバー攻撃対象にされやすいFinTech企業

 笹川氏はまず、FinTechサービスにおけるセキュリティの問題を整理した。セキュリティが重要なのは当然だが、FinTechの場合は金銭を扱うため、単純な情報漏洩ではなく、金銭面で直接影響が出ることが大きな問題である。つまり、攻撃者にとっても巨額の金銭を得られるため、攻撃対象としての優先順位が高い。「攻撃者は、企業に侵入してもランサムウェアなどの次の攻撃をしなければお金を得ることができない。しかしFinTech企業を攻撃すれば直接お金が手に入る」(笹川氏)

 加えて笹川氏が指摘するのが、非金融事業者による金融サービスへの参入が、攻撃を受けやすくしている点だ。「銀行など既存の金融機関は、最初の段階からセキュリティを固めないと事業を開始できない。一方、既存の事業会社は、新規事業として比較的ライトにはじめて、ダメなら撤退するような形で事業を開始するような形でないとビジネスとして成り立たない場合も多い。逆に急に人気が出ると、格好の攻撃対象になる。そのことが影響を大きくしている一因とも言える」

 事実、暗号資産を取り扱う事業者で資産が奪われる事例をはじめ、不正アクセス、情報漏洩の事例が起きるのは、攻撃者にとってのFinTechの即物性と、複雑化する事業におけるセキュリティホールの問題があるというのである。当然、事業者が被るダメージは甚大で、事業撤退、廃業に至ることもありうる。

 LINEグループ自身も、2021年に情報が海外からアクセスされているのではないかという懸念が指摘された。笹川氏はこのときの自社への影響も含めて、事業者へのインパクトの大きさを実感したという。

セキュリティ対策と同等に重要な説明責任

 FinTech企業の場合、セキュリティ対策を施すだけでなく、関係先への説明責任が生じる。笹川氏は現実的な対策の取り方を解説した。

 金銭面の流出対策だけをすればよいのではなく、当然、すべての事業者と同様に法令に従った対策と説明責任を果たさなければいけないとし、説明責任が非常に重要だと同氏は強調した。「技術的な対策を施すことだけでなく、問題が起きた際や、外部から求められたときにきちんと説明ができないと、たとえ内部できちんと対策をしていても、外から見ると対策できていないように思われてしまう。LINEの情報管理が問われたときに、私自身もそのことを痛感した」(同氏)。

 といって、中身が十分でないのに説明だけできればよいわけではもちろんない。何をベースにして対策し、何を説明できればよいのか。笹川氏によると、ベースになるのは個人情報保護法であり、金融機関であればそれに加えて金融関連分野ガイドライン内の安全管理措置の実務指針に基づいた運用がある、と同氏。それ以外にも各種法令、フレームワークがあり、全部を満たすことは時間とコスト、ビジネスへの影響の面からも難易度が高い(図1)。

図1:セキュリティにかかる説明責任 - 適用される法令など(出典:笹川氏登壇資料)
拡大画像表示

 「基準の取捨選択において大事なことは、各基準と事業の目的との関係を見定めること。法律上必要だからやりました。ではなく、何が順守必須なのか、必須でないものうち実効性が高いものはどれか、それによってどんな証跡を残し、どう説明するのかを明確にすべきだ」(同氏)。

 また、「オーバーセキュリティ」にも注意が必要だという。金融機関は過去にコンプライアンスを重視するあまり、過剰に確認業務を増やして業務が進まなくなる「オーバーコンプライアンス」の状態になった。それと同じことがセキュリティでも起きつつあり、過度の対策はオーバーセキュリティになるおそれがあるとした。「適切な対策とは何かを把握し、ビジネス規模も勘案して現実的な業務負荷とコストの範囲でセキュリティを考える必要がある」(笹川氏)。

 ガチガチに固めた使いづらいものではUI/UXが悪化し、ユーザーの利便性を損なってビジネスに悪影響を及ぼす。「セキュリティを単に強化するだけでよければ、セキュリティ部門はある意味、楽である。しかしそれではビジネスと両立させることは難しく、コスト負担も大きい。譲るべきところは譲っていくべきである」(笹川氏)

 セキュリティ重視でサービスのUI/UXの悪化によりユーザーが離脱しうる例として、笹川氏は、「画面遷移の多さ」「eKYC(オンライン本人認証)などのエラー」「認証の仕方」を挙げる。

 「画面遷移があまりに多いと、その間にユーザーは離脱してしまう。規約の内容をきちんと伝える意味でも、画面の遷移を減らしてポイントを抑えた説明方法に変更するなど工夫する必要がある」(笹川氏)

 昨今用いられるeKYCは、ツールによっては操作が難しくエラーが頻発してUXを低下させうるという。システムの改善でエラーを減らすこともできるが、ユーザー登録を減らす一因となるので注意が必要だという。そして多要素認証や多段階認証といった認証の仕方については、どの様は方法で強化すべきかを見定める必要があるとし、次のように指摘する。

 「例えばサービス内の機能にアクセスする度、毎回ワンタイムパスワードを発行するようでは使い勝手が悪すぎる。適切なタイミングでのワンタイムパスワードや生体認証の活用によって、セキュリティの改善度がどれぐらいなのかを精査して有効性を把握する必要がある」

●Next:セキュリティ強化とユーザー利便性/生産性のトレードオフに注意

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

LINE / FinTech / 金融 / UI/UX / ゼロトラスト / LINE Pay / モバイル決済 / CISO

関連記事

トピックス

[Sponsored]

LINE PayのCISOが語る、FinTech企業が必須で講じるべきセキュリティ施策人と人、人と情報の距離を縮めることをビジョンに掲げ、メッセージングサービスを中核にさまざまなサービスを展開しているLINE。2023年5月17日・18日に開催された「CISO Japan Summit 2023」(主催:マーカス・エバンズ・イベント・ジャパン・リミテッド)に、LINE Pay執行役員CISO IT統制本部長(登壇当時)の笹川豪介氏が登壇。高いセキュリティレベルが要求されるFinTech企業における防御策を紹介した。

PAGE TOP