Skip to content

フィンテックアプリでのデータワークフローの保護

フィンテックの新規参入者や混乱者は従来の金融サービスの領域を再考しています。 しかし、これらの新興企業が大きな影響を与えようとするならば、既存企業を悩ませてきた同じセキュリティ問題に対処しければなりません。 金融業界では、セキュリティが売り物です。 アプリのセキュリティは、もはやITチームと開発者の間の議論ではなく、役員会議室の重要なトピックであり、金融機関の成長戦略の主要な部分です。 

CSOのUS State of Cybercrime Surveyによると、企業の58%が、セキュリティ担当幹部のトップが少なくとも四半期ごとにサイバー問題について取締役会に報告していると述べています。 取締役会にセキュリティに関する情報を伝えていない企業の数は2017年の29%から2018年には19%へと減少しています。

  資産管理アプリ、決済技術、モバイルバンキング、融資、およびクラウドファンディングのプラットフォームが登場するにつれ、セキュリティが前面に押し出されるようになりました。それは当然のことです。

フィンテック企業がアプリを開発する際に考慮すべきセキュリティ上の課題は何ですか? 多様な一連のサービスへの顧客アクセスを管理しながら、複数の利害関係者間のデータ共有を有効にしなければならないとき、ワークフローを安全に保つにはどうすればよいでしょうか?

 

収益、評判、およびリスク管理の交差点

携帯電話でオンラインショッピングをする女性フィンテックアプリはそれぞれ独特です。 多くの場合、独自の個性を持ち、金融サービスの提供についてのさまざまな見解があります。 表面的には似ているように見えても、異なるアーキテクチャで構築されます。 しかし、それらすべてに関連していることは、機密性の高い個人情報や財務情報を扱うという点です。 もし、個々の顧客のデータに基づいて運用していなければ、これらのアプリケーションはどんな価値をもたらすでしょうか?

この個人データと財務データの流れは、非常に安全な方法で処理する必要があります。 金融規制およびプライバシー法の下でコンプライアンスの考慮事項があります。おそらくさらに重要なのは、フィンテック企業は、ビジネスの要である顧客の信頼がデータ侵害によってすぐに破壊される可能性があることを考慮しなければならないということです。

フィンテックアプリを扱う場合、データフローの保護は複雑な問題になる可能性があります。 単純で非公式なデータフローマッピングの演習でさえ、機密データが安全なクラウドからフィンテックが制御できないエコシステムに移動していることをすぐに明らかにします。 

このデータは、次のようなさまざまなプレーヤーによって操作される可能性があります:

     モバイルデバイス

  • モバイルオペレーティングシステム
    • アプリストアおよび関連するメッセージングサービス
    • モバイルデバイスにインストールされた第三者ソフトウェア
    • オープンWiFiホットスポット
    • その他多数
  • アプリ内での最適な体験を提供するためには、関わりのあるすべての関係者間のデータ共有は、エンドユーザからはシームレスで見えない、フリクションレスでなければなりません。 しかし、コンプライアンスを達成し、収益を保護し、消費者の信頼を維持するためには、データワークフロー全体を安全に保つ必要があります。

    セキュリティとは、チャネルを暗号化するだけではありません。 エンドポイントを認証し(中間者攻撃からの保護)、確実にこれらのエンドポイントが侵害されないようにする(デバイス内攻撃からの保護)ことを意味します。

    セキュリティは、ワークフローのすべての段階で優先されなければなりません。特に、昇格された特権が悪用される可能性がある場合、APIがバックエンドと通信する場合、または第三者のSDKを使用する場合です。

     

      

    特権の昇格

    Androidアプリを攻撃する最も一般的な方法の1つは、特権の昇格を可能にする脆弱性を見つけることです。 Unixベースのオペレーティングシステムでは、最高のユーザー権限は「rootアクセス」持つことです。 iOSでは、これはデバイスを「ジェイルブレイク」することで実現されます。i

    安全でセキュアなフィンテックアプリを構築するために、開発者は昇格された特権を利用しようとするハッカーに先んじる必要があります。 これは、積極的なアプローチでアプリを保護し、保護のためにオペレーティングシステムのサンドボックスに依存するという固有のリスクを乗り越えることを意味します。

    一度ジェイルブレイク/ルート化に成功すると、電話はリスクの高い環境になり、ハッカーは暗号化されずに保存されたクレジットカード番号、弱いPIN、脆弱なトークンなどの弱点や設計上の欠陥をより簡単に悪用できるようになります。

     特権を昇格しなくても、ソースコードを改ざんして、マルウェアで再パッケージ化するのは簡単です。 マルウェアは、次のような機密情報を吸い上げるためによく使用されます:

       暗号キー

    • クレジットカード番号や電子メールアドレスなどの機密性の高い認証情報や個人情報

      ソースコードに関する専有情報

  • 通信

  • クライアントデバイスはバックエンドサーバーと通信するため、脆弱な攻撃ベクトルであり、業務全体が「中間者」攻撃にさらされる可能性があります。 クライアントデバイスの通信を保護することは、貴重なデータを保護するための鍵です。

    中間者攻撃は、ハッカーが通信の途中に侵入したときに発生します(例: WiFiホットスポットを侵害することで、攻撃者は通信の途中で気づかれずにいることができます)。 これらの攻撃では、顧客は目的のコンポーネント/サービスと直接やり取りしていると想定しますが、「中間」の攻撃者は情報を盗聴または変更して利益を得ています。

    典型的なフィンテックアプリの場合、通信暗号化は、業界標準のTransport Layer Security(TLS(トランスポート・レイヤー・セキュリティ))と特注のアプリケーション層セキュリティを組み合わせたものです。
    
 攻撃者はアプリを分析することで、プロトコルをリバースエンジニアリングし、それを保護するために使用される暗号キーを見つけることができます。 通信プロトコルは、すべての MFS の基本です。 攻撃者が通信プロトコルの動作を理解している場合、攻撃者はその脆弱性を発見して悪用する可能性があります。 

    第三者コンポーネント

     多くの開発者は、既存の機能を再構築するのではなく、第三者のSDK (Software Development Kitソフトウェア開発キット)を使用してアプリに必要なさまざまな機能や操作にアクセスします。 ライブラリを呼び出すことで、多くの時間を節約することができますが、これには脆弱性も加わります。

    ライブラリはアプリの不可欠な部分になり、大量のデバイス間で非常に標準化されているため、大規模な攻撃で使用できるマルウェアを構築したいサイバー犯罪者にとって魅力的なターゲットです。

    あなたのフィンテックアプリには脆弱性がありますか?

     

     
    多くのフィンテック企業は、難しすぎる、またはコストがかかりすぎると思い込んで
    
アプリのセキュリティの実装を遅らせています。
    
 しかし、適切なセキュリティパートナーを選べば、現実は事実とまるで懸け離れています。実際、Ciscoの年次セキュリティレポートによると、回答者の53%は、セキュリティサービスを外注しています。これは、社内テクノロジーを構築するよりもコスト効率が高いためです(また、セキュリティを完全に回避して、天文学的な影響に対処するよりもはるかにコスト効率が高いのです)。

    フィンテックアプリのセキュリティに関する一般的な懸念事項は次のとおりです:

    安全性の低いコーディング手法 

    暴露した、または誤って設定されたAPI

    公開された個人データ

    スケーラブルな認証情報の詰め込み

    現実には、モバイルアプリの複雑さは、これが常に保証された脆弱性であることを意味します。 それぞれを追跡して封じ込めるのは不可能であり非現実的です。 可能であっても、アプリはリバースエンジニアリングとクローン作成に対してまだ脆弱です。

    • 代わりに、Verimatrixは、フィンテック企業がアプリケーションをシールドするための実用的かつ積極的なアプローチを取ることを推奨しています。これは優れたコーディング手法にに取って代わるものではありませんが、アプリの完全性が維持され、機密データとともに保証された脆弱性が秘密に保たれることを意味します。
    • Verimatrixソリューションは、数え切れないほどのセキュリティ研究所のペンテストで実証され、何億ものアプリに導入されています。そのため、世界最大級の金融機関や決済ネットワークから信頼されています。