三井住友銀ネットバンクにはないものねだりをしているわけではありません | 栗原潔のIT弁理士日記
ログイン云々だけで全てを語るべからず。確かにパスワードの部分に問題はあるが、ただ、振込手続きには別途認証カードが必要なわけでネット経由で誰でも出金できるわけではない。どっちかというと利用者側の問題。
まぁ、よくある話だけどね。
ただ、だいぶ狭い範囲で物事を語っているので微妙な話になってる。
そもそも、振込手続きというのは昔のATM時代の流れを多少なりとも踏襲している。三井住友銀行の場合は、旧さくら系やなんやらあるんですが、振込カードを使っていたことは記憶に新しい。まだ使えるんじゃないかな。
で、それの利便性って何がいいかというと、既に振込実績のある処には簡単に送金手続きができるという事。正直な話、ATMの前でおもにお金を動かす人にとって、セキュリティが云々とか、OTPが云々とかいっても永遠に理解しません。
銀行側として難解なシステムを導入する事はおそらく簡単な話。
ただ、おそらく大半の日本人、それも銀行を利用する頻度が多い人程、振込手続きにひと手間はいる事へのストレス係数は高くなる。
残念ながら、これは、銀行側の問題よりも、利用者側のリテラシーの低さの問題が大きい。
実際の所私自身も住友銀行を使っているわけですが、登録済みの振込先が未認証で送金されることに危機感なんて覚えたことはない。
理由は以下の通り。
- そもそも認証するというのは、一度は正常に振込実績のある処なので、その後必要だから登録しており、危険な相手ではない。
- 1度目の送金処理時には、パスワードカードによる認証ができない限りは送金事態が完了しないので、その部分の不正を疑う事はもはややりすぎ。
- 送金処理時に有料ではあるがメール通知機能もある為、そもそもお金の出入りはかなりリアルタイムでわかる。
という感じ。
で、過剰なセキュリティのコストを利用者としても払う価値があるかは真剣に考えるべきだと私は思います。
つまり、なんでも過剰なセキュリティを入れればよいというわけではなく、利便性と安全性のバランスが必要であると。それを理解せずに何でもこうすべき、ああすべきと言い続けると、最後だれが一番負担を負う必要が出るのかというと間違いなく利用者自身が負う事になります。
ちなみに私は、JNB、三井住友銀行、楽天銀行、住信SBI銀行、新生銀行あたりを国内ではメインに使っています。
あえてログインのみの厳しさでいうならば楽天銀行が一番厳しいです。
楽天銀行の場合は、過去のアクセス状況を元に環境の変化を検出しているらしく、認証が通っていない環境からアクセスすると秘密の質問による認証を求められます。
正直、これは過剰と思いますが、ただ、不正には非常に有効だと思いました。
なぜなら、入力情報が正しいか否かではなく、アクセス方法が変わったか否かですから、かなりの確率でチェックに引っかかります。正直ストレスたまりまくりなわけですが、セキュリティという面ではかなり高いです。
例えば、仮に認証情報が書かれたカードを落としたとします。ID&パスワードですね。で、その状態で第三者がそれを使ってアクセスします。しかし、ログインできないわけですね。なぜなら接続元環境が変わっているから。
一方で、一度正常にログインできた環境ではなかなか追加認証は求められません。
個人的に楽天系は嫌いですが、この部分に限定するとよくできてるなと感じました。旧来型の認証システムを継承しながら、バランスよく、自然な形でリスクに対して警笛を鳴らしているわけです。
ちなみに、追加認証が求められた場合はメールが届きますから、第三者が別な場所からログインしようとしたことは本人にもわかります。
良くできていますわ。
正直な話、ログインレベルのセキュリティを語るなら、JNBが特別高いとはぜんぜん思わないし、それなら楽天銀行の話も語れよってことなんですが、元記事はJNBからお金でももらってるんでしょうか。と、勘ぐりたくなるぐらい狭い範囲での比較です(ようはあえて低いところと比較しているという感じ)。
JALやANAの時もそうでしたが、広報やサポートがどう答えたから会社の姿勢が云々と声だかに叫ぶことに何の意味があるのかなとも感じます。
