LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@k568

Digital Identity Forum 2025 参加レポート

Posted at

はじめに

PwC Japan 主催の Digital Identity Forum 2025 に参加してきました。
近年のFintech事情とID管理・セキュリティの内容が中心のカンファレンスになります。
もし社内で関連する取り組みをされている方がいれば、参考までに御覧いただければと思います。

  • 公式ページ

主なタイムスケジュールは以下の通り。
今回私が参加していないセッションは()付きのセッションになります。

  • タイムスケジュール
    • 開会挨拶
    • Session1 オープンファイナンスの未来とデジタルアイデンティティの重要性
    • Session2 ビジネス戦略で重要性を増す本人確認――企業を支えるデジタル社会の新基準
    • (Session3) 激増するIDに求められるIDガバナンス管理――重要性と導入のポイント
    • (Session4) カスタマーアイデンティティの保護とユーザー利便性・顧客体験改善のためのテクノロジー活用
    • Session5 特権ID管理の最前線――効果的な導入と拡張のための実践ガイド
    • 懇親会・デモ展示

講演内容

各講演の中でキーワードとなる内容をピックアップして掲載します。
さらに詳しく知りたい方はキーワードベースで検索してみると良いかもしれません。

Session1 オープンファイナンスの未来とデジタルアイデンティティの重要性

金融事業でIT活用推進するにあたり、なりすましが無いよう「本人認証」をしっかりする必要があり、その仕組みづくりを考える必要がある。
一方海外のIT推進による影響(即時決済システム)で日本での取引ができなくなる状況は避けていきたい。

  • 海外におけるインスタントペイメント
    • 銀行間の少額送金(即時決済)が可能
    • 特にブラジルでの即時決済システムは国内需要が非常に高く成功例とされている
    • 一方、簡便な手続きで送信ができることにより、なりすましが横行している
    • なりすましを防ぐには「受け取り手が誰なのか」の認証チェックが重要
  • 日本における金融取引事情
    • 2017年改正銀行法によりオープンAPIが利用可能となった。これによりID・PW管理を銀行側で管理しつつ、安全にデータ取引ができるようになった。
    • 銀行間通信においては全銀ネットでやり取りしており、送り先の認証チェックが十分されている。
    • 一方、海外規格とプロトコルをそろえることは容易ではないため、インスタントペイメントと統合するなどは技術的な弊害がある。
    • 上記によりBtoB決済において弊害にならないよう、認証の仕組み・安全性を確立した通信基準を設ける必要がある。
  • 参考情報

Session2 ビジネス戦略で重要性を増す本人確認――企業を支えるデジタル社会の新基準

デジタルで本人を識別する際には「身元確認」「当人認証」「認証連携」の3つの観点を抑える必要がある。
デジタルアイデンティティ基準であるガイドライン「NIST SP 800-63」をベースにしつつ、ドコモでは独自基準dAALを採用し、各サービスの保証レベルを定めている。

  • フィッシング詐欺対策の要「パスキー」
    • 現在も様々なサービスで2段階認証(パスワードベース)が採用されているが、物理デバイスに紐づけた認証であってもなりすまし事例が多く、セキュリティとして懸念が残っている。
    • パスキーは生体認証を利用しつつ生体情報はデバイス上で管理することで、なりすましをほぼ完全に防止することが出来る。
    • 生体認証そのものは再現が不可能であり、第三者の不正ログイン対策に有効。
  • 参考情報

Session5 特権ID管理の最前線――効果的な導入と拡張のための実践ガイド

ほぼ全ての企業が何らかのシステムで特権IDを保有しており、その管理をどのようするのがベストか、最新製品や事例を交え紹介。
基本的にはゼロトラストの考え方をベースとし、それに合わせた管理方法が望ましいとされている。

  • 現在の特権IDを取り巻く状況・トレンド
    • アプリ・サービス細分化、マシンユーザーによる管理IDの増加
    • AIを活用した異常検知(AIOpsの考え方)
    • 管理モデルの高度化、ゼロスタンディング特権(ZSP)
  • 特権アクセス管理(PAM)
    • オンプレ・クラウド問わずID/PASSを一元管理することができ、そのアクセス履歴の保管や制限をかけることが出来る。
    • 必要に応じてIDを貸し出すことで、ジャストインタイムのように必要なタイミングに限定して権限を発行することが出来る。
    • 様々なシステムのIDを統合管理することで、AI分析による能動的防御・モニタリングが可能となる。
  • ゼロスタンディング特権(ZSP)
    • ZSPとは永続特権(特権IDを常にシステム側で保持)を削除すること。=システム側(オンプレ・クラウド)で特権IDを持たないこと
    • システム側にユーザーを持たず、アクセスするタイミングで必要な権限を持った一時アカウントを自動生成し、ログアウト後に自動削除を行う →アカウント発行などはZSP側で管理
    • 攻撃者はシステム側にユーザーが存在しないため乗っ取ることが出来ず、不正アクセス自体が出来なくなる。
  • 参考情報

まとめ

カンファレンスを通じて、最新のセキュリティ事情の一端を知ることが出来とても良い機会となりました。
特に面白かった話として、ID管理の「最小特権の原則は時代遅れ」という話があり、ネットワークの境界防御時代からゼロトラスト時代にシフトしたことで管理方法も変わってきているんだなと感じました。
また通信規格の話で全銀通信については前職取り扱っていたこともあり、理解度が深まった印象です。
金融やセキュリティ関連の仕事をされている方であれば、次の機会に足を運んでも良いかもしれません。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?