金融サービスにおける 安全な e-ビジネスの実現

金融サービスにおける
安全な e-ビジネスの実現
e インボイスを始めとする電子プロセスの信頼性構築と
コスト削減を実現するための重要要件および戦略
本ホワイトペーパーは、米国 SafeNet, Inc.のホワイトペーパーを翻訳したものです。
本書の内容は予告なく変更されることがございます。記載の会社名、製品名は各社の商標または登録商標です。
Copyright 2010 SafeNet, Inc. All right reserved
序論
要旨
e インボイスなどの電子サービス
は、紙ベースの請求書処理からの
脱却を目指している金融サービス
機関に、数多くの利点をもたらしま
す。しかし、これらの利点は、デジ
タル化されたファイルの完全性、正
確性、安全性を確保できる場合に
しか実現できません。本書では、セ
キュアな電子サービスインフラを構
築するための重要要件について説
明します。また、企業がいかにして
安全性を向上させながら投資のビ
ジネス利益を最適化できるかにつ
いても解説します。
長年にわたり資産のデジタル化が進んだ結果、金融サービス業界は激変を遂げました。現在、銀行、
貸金業者、決済処理業者は、独自の社内イニシアチブや法による義務付けのために、特に請求書、
住宅ローン、調達、公証に関して、紙ベースのプロセスからデジタル化されたプロセスへと移行を進め
ています。
e インボイス
金融サービス機関は e インボイスとして知られる電子請求書への移行を進めています。European
Association of Corporate Treasurers によると、普及率は前年比 3%増ですが、導入した金融
サービス機関は 80%以上のコスト削減を実現しています。普及への動きは、今後他の数多くの業界
へと広がり、次のようなさまざまな利点を実現すると考えられます。
o
コスト削減:請求書の印刷用紙を購入する必要がなくなり、請求書処理にかかる時間と費用
を削減し、紙ベースのファイル保管のスペースと費用を節減し、郵送費が不要になります。
これにより金融サービス機関は、直接的なコスト削減を実現できます。
o
業務効率の向上:e インボイスは、請求書の作成、管理、配布のプロセスの合理化を促進し、
バックエンドアプリケーションとの統合を可能にして制御の合理化を実現します。
o
請求書処理の迅速化:手動プロセスと郵送を排除することで、支払請求と承認のサイクルを
大幅に削減できます。
o
正確性の向上:間違いを起こしやすい数多くの手作業が排除されるため、e インボイスによ
る請求書はより正確になります。
o
二酸化炭素排出量の削減:電子請求書は、紙の利用や郵送による化石燃料使用量を削減
します。
金融サービス機関は、こうした多数の利点以外にも、コンプライアンスのために電子請求書を導入せ
ざるを得なくなっています。こうした例としては、以下が挙げられます。
o European Directive on Invoicing(請求書に関する欧州指針):この法令は、欧州
連合加盟国に、各国で異なる規則に対処するのではなく、1 つの単純化された規則の集合
を提供します。請求書の真正性と完全性を保証し、この規制に順守するために、電子署名
または電子データ交換(EDI)が利用されます。
o
Brazil Nota Fiscal (NF-e):これは、二者間の商品やサービスの移動について文書
化する電子 B/L(船荷証券)の使用に関するブラジル政府の規則です。法的に有効な NFe 文書は、商品の実際の発送やサービス配信の前に、発行者のデジタル署名と税務当局
による保証書とが関連付けられます。
Moving toward Electronic Business Processes for Financial Services
White Paper
2
さらなる電子サービス
電子住宅ローン処理
住宅購入経験者やローン借り換え経験者にとっては、電子住宅ローンの見通しは実現不可能な夢に
思えるかもしれません。従来の住宅ローンから生じるこれまでの書類の束に比べ、電子住宅ローンは、
1 つのプロセスでローン書類の作成、実行、転送、保管がすべて電子的に行われます。消費者にとっ
ては手続きが簡便になり、分厚い書類の束をファクス送信したり、対面契約をおこなったりするなどの
煩わしさがなくなります。こうした顧客側の利点は電子サービスの利点のほんの一部に過ぎません。
関係企業にとっては従業員効率の大幅な改善が期待できるだけでなく、発送、印刷、用紙の費用も削
減できます。
電子住宅ローンが広く普及するためには、セキュリティ対策、業界標準、電子公証(下記参照)、その
他多くのプロセスと機能を開発していく必要があります。
電子公証
どの業界でも、契約や取引を証明するノータリーパブリックを継続的に利用する必要があり、多大な
負担になっています。これは特に、付け値や仕様などの変更による文書変更の激しい業界に当ては
まります。そうした業界では、従来の公証方法による遅れが業務効率を妨げています。
米国では現在、数多くの州が、電子公証(eNotaries)、つまりデジタル化された文書を証明するノー
タリーパブリックの利用を認めています。これらのサービスは公証プロセスを迅速化しコスト削減も実
現するため、多くの業界で大きな継続的利益をもたらすと期待されています。
オンラインのクレジットカード PIN 発行
従来、銀行などクレジットカードやデビットカードを発行する企業は、新しいカードを消費者に配布する
際の PIN 番号の提供に、個別郵送という方法を採ってきました。郵便を利用した暗証番号の配布は、
安全性が低く、費用と時間がかかります。これが、多くのカード発行会社が電子配布メカニズムを探し
始めた理由です。
PIN を電子的に配布することにも多くの潜在的リスクはありますが、安全なオンラインプロセスの利用
により、銀行は PIN 情報の郵送リスクを排除できます。さらに銀行は、より良いサービスを顧客に提
供しながら、郵送と調達コストの大部分が不要になるため、大幅なコスト削減を実現できます。また、
PIN 要求の郵送は最大 10 日かかる場合があるのとは対照的に、オンライン PIN 要求は即座に処
理されます。つまり、顧客はより早くカードを使用でき、銀行はより早く収益を上げることができるよう
になります。
Moving toward Electronic Business Processes for Financial Services
White Paper
3
電子小切手処理
銀行は電子小切手処理により、小切手取り扱い時の電子取引の安全性、スピード、処理効率を向上
させることができます。また顧客から受け取った紙の小切手を、顧客側の口座から資金を引き落とし
て銀行側の口座に振り込む電信振替に変換できるようになります。
紙の小切手のファイリングから小切手画像のデジタル管理へと移行することにより、銀行は大幅なコ
スト削減と効率性の向上を実現しています。たとえば、デジタル小切手イメージングシステムへ移行す
ると、小切手処理時間が短縮します。対照的に紙ベースの処理では、夜間に小切手預金が支払銀行
に送られ、小切手振出人の口座から引き落とされるのは翌営業日になります。電子小切手処理を実
装するには、電子小切手処理の完全性と安全性を確保するための多数の保護措置を導入する必要
があります。
効果的な電子サービスには信頼性が不可欠
電子サービスで実現する利益は大きなものですが、金融サービス機関はプロセス全体にわたって信
頼性を確保する必要があります。署名当事者が名乗っている本人であることを確認し、オリジナルの
文書が途中で変更されないようにし、契約と承認に拘束力を持たせるために、プロセスや機能を実装
する必要があります。
たとえば、金融サービス機関は、どうすればペーパートレールなしで、確実に正しい責任者によって文
書が承認されるようにできるでしょうか? またどうすれば、デジタルファイルが生成されて配布された
後に変更不可能にすることができるでしょうか? 文書を受け取った企業は、どうすればそれが本当に
文書を送ったと主張する企業から送られたものであると確認できるでしょうか? 効果的でセキュアな
デジタルプロセスによって、企業はワークフローを効率化し、コストを減らし、コンプライアンスを達成
できます。
セキュアな電子文書プロセスを効率的に実装するには、次の機能が必要です。
o
完全性の確保:すべての関係者が、金額、請求先住所、決済情報などを含むオリジナルの
全情報が正確で変更されていないと確信する必要があります。
o
受発信の否認防止:金融サービス機関は、文書などあらゆる承認が検証可能であり、受発
信ともに事後に反証または否認できないようにする必要があります。
o
セキュアな電子追跡と保管:金融サービス機関は、電子文書に誰がアクセスしたかを追跡
でき、保管した電子文書やアーカイブをセキュアな状態に保つ必要があります。
o
大量の請求書を収容できる拡張性:金融サービス機関は、電子文書処理の急速な増加や
長期の需要を満たすために拡張できるようにしておく必要があります。
Moving toward Electronic Business Processes for Financial Services
White Paper
4
電子文書とビジネスプロセスの安全確保
「European Association
of Corporate Treasurers
の(CAST)プロジェクトによる
と、電子請求書を使用するこ
とで平均 80%のコスト削減を
達成できます」 - 欧州電子請
求書の最終報告書
上記のとおり、信頼性は e インボイスなどの電子文書サービスを実現するための重要な要件です。
暗号化と公開鍵インフラ(PKI)を備えたデジタル署名は、信頼を確立する手段といえます。デジタル
署名は、電子文書が既知の実体から送られてきたもので、途中で改ざんされていないと確信できるだ
けの信頼を、すべての関係者に与えます。これらのデジタル署名は、電子文書を保護するために、完
全に信頼できる包括的なセキュリティ対策が必要です。デジタル署名が何らかの形で危険にさらされ
た場合、ビジネスプロセスインフラ全体が危険にさらされることもあります。ハードウェアセキュリティモ
ジュール(HSM)は、そうしたことを防ぐためにあります。
暗号鍵は、デジタル化された情報へのアクセスをロックしたり解除したりします。最も強力な暗号化ア
ルゴリズムが使われていても、暗号鍵周辺のセキュリティが不十分であれば、セキュリティはまだ脆
弱です。HSM は、デジタル署名の中心となる暗号鍵と暗号処理を物理的かつ論理的にセキュアにす
る専用システムです。HSM は次の機能をサポートします。
o
エンタープライズキーのライフサイクル管理機能:鍵の生成、配布、ローテーション、保管、終了、
アーカイブが含まれます。
o
暗号処理機能:アプリケーションサーバからの暗号処理の切り離しとオフロードという 2 つの利
点をもたらします。
電子文書はセキュアなプライベート署名鍵でデジタル署名を実現します。これには、認証局の管理タ
スクを実行できる HSM が必要です。HSM は鍵のライフサイクル全体にわたってアプライアンスのセ
キュアな範囲内に鍵を保管します。HSM により、認証機関の ID が電子文書に暗号化されて結合し、
金融サービス機関は、デジタル的に認証された文書の安全性を確保できます。HSM は集中型の強
化されたデバイスに暗号鍵を保管するため、安全性が不十分な異種のプラットフォームにデジタル資
産を保管するというリスクがなくなります。また、この集中化によって、セキュリティ管理を効率化でき
ます。
HSM の利点
暗号鍵をアプリケーションサーバ上のソフトウェアに保管するプロセスと比べて、HSM は次のような
多くの利点をもたらします。
完全性
HSM は、暗号処理、鍵生成、鍵保管を目的とした完全性の高いソリューションです。HSM には
専用アプライアンスとして、統合型パッケージに必要なハードウェアとファームウェア(ソフトウェ
ア)が予め含まれています。アプライアンスの物理的・論理的な保護は、耐タンパー性やタンパー
エビデンス性によってサポートされます。論理的な脅威からの保護は、ベンダーの製品に応じて、
統合ファイアウォールと侵入防止ディフェンスによってサポートされます。HSM ベンダーの中に
は 2 要素認証用の統合サポートを含めているベンダーもあります。また、クラス最高の HSM ベ
ンダーは、製品の機能提供の一部としてセキュリティ認証を追求しています。
Moving toward Electronic Business Processes for Financial Services
White Paper
5
一方、同じ機能のソフトウェアは、すぐに使える完全なソリューションではありません。未使用の
サーバがない限り、ファイアウォール、侵入防止、2 要素認証と同じで、サーバハードウェアを別
途購入する必要があります。耐タンパー性は、汎用サーバに一般的についている機能ではあり
ません。ハードウェアプラットフォームとソフトウェアの組み合わせを含むセキュリティ認証は、ユ
ーザーの責任となります。特に、ソフトウェアを使用する金融サービス機関が認証機関と普段か
ら接していない場合は、非常に手間とコストがかかります。
パフォーマンス
暗号化は、これに依存するどんなアプリケーションにも遅延をもたらすリソース集約的なプロセス
です。関連するアプリケーションにもよりますが、金融機関のタイプによっては、暗号化によっても
たらされる遅延を最小限に抑えることを目標にしているところもあります。HSM は、最適化の面
からいうとソフトウェアよりも多くの利点があります。暗号処理はハードウェアアプライアンス内で
実行され、ソフトウェアにオフロードしないため、より迅速なパフォーマンスが実現できます。
o
効率的な検索と処理:電子ファイルを使うことで、企業はビジネスプロセスをより素早く生成、
配置、検索、実行できます。
o
時間のかかる、非効率な紙ベースのプロセスの排除:企業はセキュアな電子文書システム
により、間違いやすい手作業での紙文書の処理や配布によるミスを排除できます。
o
ベンダーとの関係の向上:信頼を確立しプロセス全体のスピードを上げ、効率性を最適化す
ることで、企業はベンダーとの関係を向上させることができます。
o
正確性の向上と調整時間の低減:企業は、e インボイスなどの電子文書サービスの生成・
承認プロセスの正確性を向上できます。また、請求などに対して質問や異議が生じた場合
も、問題をより迅速に解決し、決済サイクルを加速させることができます。
o
バックオフィス統合による効率化:セキュアなシステムを導入すれば、企業は、調達や ERP
(企業資源計画)などの他のバックエンドアプリケーションとデジタルプロセスを統合するの
に十分な能力が得られます。これにより、さらなる効率性と正確性の向上を実現できます。
コンプライアンスとセキュリティ
金融機関は、コンプライアンスのために、頻繁に暗号化インフラを導入します。しかし、セキュリテ
ィポリシーと管理を実装せずに、暗号化のみを使用しても、情報の安全性は保証されません。セ
キュリティポリシーの目的は、脆弱性の数と脆弱性の悪用の可能性を減らすことにより、リスクを
管理することです。前述した HSM の完全性という特徴により、HSM を導入する金融機関は、コ
ンプライアンスとセキュリティの同時達成に向けて効率的なステップを踏み出すことができます。
Moving toward Electronic Business Processes for Financial Services
White Paper
6
企業が電子文書を導入する際に重要なのは、最大のセキュリティを実現し、ライフサイクル全体
で最適な信頼性を確保できる、高度なセキュリティ機能を提供する HSM を選ぶことです。HSM
選択の要件としては、以下が挙げられます。
o
認定:FIPS(Federal information Processing Standards; 連邦情報処理標準)認定
および CC(Common Criteria 国際共通基準)検証の厳しい要件を満たしていること
o
コンプライアンス:European Directive on Invoicing、Brazil Nota Fiscal (NF-e)な
どの規制を順守できるレベルの強固なセキュリティ要件を満たしていること
o
複数署名管理:拡張性、パフォーマンス、セキュリティのために、複数の署名を管理できること
鍵管理の一元化
ソフトウェアには、移植できるという特徴があります。ソフトウェアは複数のサーバにインストール
できます。そのため暗号鍵は、複数の場所/ソフトウェアホストに存在する可能性が高くなります。
このマルチロケーション特性は、暗号鍵のライフサイクル管理(例: ローテーション、取り消し)の
複雑さと過失の可能性を増大させます。また、ソフトウェアホストの保護層(例: ファイアウォール、
侵入防止、アクセス制御)の整合性が確保できない場合、鍵が危険にさらされるリスクはさらに
増します。HSM では、一般的に鍵を単一ユニットに保管します。これは、管理を効率化し、過失
の可能性を減らすだけでなく、鍵の保護層の整合性を確保します。
ケーススタディ: アントワープ港湾局(Antwerp Port Authority)
課題
European Directive on Invoicing (EC/115/2001)は、ベルギーなどの加盟国に対し、国境を
越えた請求書処理の効率化を図るために、現地の付加価値税(VAT)法に電子請求書を導入するこ
とを要求しています。VAT 規則では、サプライヤに対し、作成した請求書の内容の完全性と請求書原
本の真正性を証明することを求めています。
ソリューション
VAT 法を順守するために、アントワープ港湾局は、デジタル署名をベースとした高度な e インボイス
ソリューションを実装しました。アントワープ港湾局は、デジタル署名を保管し暗号鍵を保護するため
に SafeNet のハードウェアセキュリティモジュール(HSM)を選び、Adobe の LiveCycle
Enterprise Suite (ES)と GlobalSign の DocumentSign デジタル証明書を組み合わせたマル
チパートナー投資を利用しました。
Moving toward Electronic Business Processes for Financial Services
White Paper
7
効果
アントワープ港湾局は、SafeNet、Adobe、GlobalSign のソリューションを組み合わせたことにより、
IT 投資を最大限に活用して、電子請求書の完全性と真正性を証明する法令を順守したセキュリティ
ソリューションを提供できるようになりました。PKI ネットワーク環境内にデジタル署名と暗号化技術を
組み込むことによって、アントワープ港湾局は、請求書作成プロセスの自動化を短期間で実現し、そ
の結果、ワークフローの効率化、コスト削減、強制力を持つ欧州指針への順守に成功しました。
処理の流れ
サプライヤは顧客に販売する製品
またはサービスの請求書を作成し
ます。
請求書は Adobe LiveCycle ES
によって PDF フォーマットに変換
されます。
サプライヤ
GlobalSign
証明書
GlobalSign
証明書付き
Luna HSM
SafeNet HSM によって保護され
た GlobalSign 証明書を使用し、
Adobe LiveCycle ES が PDF
にタイムスタンプとデジタル署名を
加えます。
サプライヤは e メールで顧客に署
名された PDF 請求書を送ります。
顧客
顧客は Adobe Reader を使用し
て、デジタル署名の検証を行い、
完全性と真正性が確保された
PDF 請求書を開きます。
PDF 請求書は既に買入債務処理
の準備とそれに続くファイル保管
の準備ができています。
e インボイスを導入して Adobe LiveCycle ES、GlobalSign 証明書、SafeNet HSM のよう
な優れたソリューションを統合すると、金融サービス機関は請求書処理に最適な効率性と安全性
を実現できます。
最後に
電子ベースサービスへの移行は、紙ベースのプロセスと比べて数多くの利点を金融サービス機関に
もたらします。それはコスト削減、効率性と正確性の向上、環境への影響の低減などです。しかし、企
業がプロセス全体にわたって信頼を確立しなければ、どんな電子イニシアチブも失敗に終わります。
HSM を利用してデジタル署名と暗号鍵の安全性を確保するだけで、金融サービス機関はインフラセ
キュリティを最適化できます。現在、SafeNet は幅広い種類の HSM を取り揃え、金融サービス機関
のさまざまなニーズに対応し、投資から最大の利益を実現できるソリューションを提供しています。
Moving toward Electronic Business Processes for Financial Services
White Paper
8
SafeNet ハードウェアセキュリティモジュールについて
SafeNet のハードウェアセキュリティモジュール(HSM)は、暗号化セキュリティソリューションの中心
となる暗号鍵の保護機能により、アプリケーション、トランザクション、情報資産に信頼性の高いセキュ
リティを提供する製品です。SafeNet HSM は、市場で最も高速で安全であり、またアプリケーション
への統合も簡単にできる、企業または政府機関向けの製品です。コンプライアンスの確保、法的責任
のリスク軽減、生産性の向上に役立ちます。
カタログはこちら
http://jp.safenet-inc.com/Download/KeyManagementSol_200910.pdf
SafeNet について
SafeNet は、1983 年に設立された、情報セキュリティ業界における世界的なリーダー企業です。
SafeNet は、お客様の貴重な資産である ID や、トランザクション、通信、データ、ソフトウェアライセ
ンスを IT セキュリティの視点から、情報ライフサイクル全般にわたり保護しています。SafeNet のお
客様は、100 カ国以上、2 万 5 千を超える企業や政府機関に及び、その情報セキュリティの保護を
SafeNet に委ねています。
日本セーフネットについて
日本セーフネット株式会社(http://jp.safenet-inc.com 代表取締役社長:酒匂 潔、本社:東京都
港区)は、米国 SafeNet, Inc.の日本法人で、2001 年の設立以来、ネットワークやアプリケーション
のセキュリティ製品の日本国内での販売、マーケティング、サポートを提供しています。
本ホワイトペーパーの内容、製品・ソリューションについてのお問合せは下記までお願いいたします。
日本セーフネット株式会社
エンタープライズセキュリティ事業部
東京都港区新橋 6-17-17 御成門センタービル 8F
Tel: 03-5776-2751
Email: jp-info@safenet-inc.com
Moving toward Electronic Business Processes for Financial Services
White Paper
9