金融機関コード:0041
大和ネクスト銀行のセキュリティ対策について
大和ネクスト銀行では、お客さまの大切な口座をお守りするため、以下のセキュリティ対策を備えております。
| セキュリティ強化への取り組み | |
|---|---|
| セキュリティ対策 | 目的 |
| 第三者によるなりすまし防止 | |
| 第三者によるなりすまし防止 | |
| 第三者によるなりすまし防止 | |
| 不正アクセス防止 | |
| 不正アクセス防止 | |
| 不正アクセス防止 | |
| フィッシング詐欺対策 | |
| フィッシング詐欺対策 | |
| 不正プログラム・トロイの木馬対策 | |
| ウェブサイト上の誤認防止への取り組み | |
|---|---|
| セキュリティ対策 | 目的 |
| 誤認防止 | |
| フィッシング詐欺対策 | |
セキュリティ強化への取り組み
4つの認証要素を組み合わせた本人確認
当社では、第三者によるなりすましを防止し、お客さまの大切な口座を守るため、「ログインパスワード」、「プラス認証 [ワンタイムパスワード] 、または、プラス認証 [合言葉] 」、「取引パスワード」、「お取引カードに記載された認証番号」の4つの認証要素により、お客さまご本人であることを確認しています。
- ※プラス認証は当社取引サイトのログイン画面から大和ネクスト銀行のID (10桁) でログインする場合に利用します。
初期ログインパスワードや、パスワードを忘れた際の仮ログインパスワードの発行
口座開設後、当社から送られてくる初期ログインパスワードや、再発行依頼時に郵送で届く仮ログインパスワードは、最初のログイン時に変更していただきます。これは印刷された情報が、第三者に悪用されることを防ぐための取り組みです。
自動ログアウト・強制ログアウト機能
当社取引サイトには、ログイン後に何もしないまま一定時間を経過すると、自動的にログアウトされる機能がついています。
ログアウト後、取引サイトをご利用いただくには、再度ログインをする必要があります。
連続して一定回数、「取引パスワード」や「認証番号」の誤入力があった場合には、第三者が不正に操作している可能性があると判断し、それ以上の操作が行われないように強制的にログアウトします。
ファイアウォール
ファイアウォールとは、組織内のコンピューターネットワークに第三者が侵入し、データやプログラムを盗んだり、壊すことがないよう、外部との境界で流れるデータを監視して不正なアクセスを遮断するシステムやコンピューターのことです。
大和ネクスト銀行のシステムは、ファイアウォールによって保護され、不正侵入を防止しています。
![[図]](img/index_pic_01_pc.png)
![[図]](img/index_pic_01_sp.png)
不正アクセス検知機能 (IDS/WAF)
大和ネクスト銀行では、IDSやWAFを導入して、OS層やミドルウェア、WEBアプリケーションの脆弱性を狙った不正アクセスを検知する仕組みを構築しています。
外部のセキュリティ会社と連携し、ファイヤウォールを突破する不正アクセスをリアルタイムに検知し、迅速かつ確実に不正アクセスへの対応を行います。
IDS (Intrusion Detective System) とは、OS層やミドルウェア層の脆弱性を狙った不正アクセスを検知するシステムやコンピュータのことです。IDSではネットワーク上に流れるパケットを分析し不正アクセスを検知します。
WAF (Web Application Firewall) とは、Webアプリケーション層の脆弱性を狙った不正アクセスを検知するシステムやコンピュータのことです。WAFではWebアプリケーションに渡される入力内容を検査し不正アクセスを検知します。
![[図]](img/index_pic_02_pc.png)
![[図]](img/index_pic_02_sp.png)
電子署名付き電子メール
フィッシング詐欺対策として、お客さまがお取引をされる際に当社からお客さまにお送りする電子メールには電子署名をつけています。これにより“電子メールの送信者が大和ネクスト銀行であること”と、“電子メールが途中で改ざんされていないこと”をお客さまご自身でご確認いただけます。
電子署名とは、インターネット上の文書の作成者が確かにその人本人であることを確認する手段であり、紙の文書に例えるとサインや印鑑に相当するものです。また、文書受領者が電子署名を誰がしたかを確認する際には、インターネット版の身分証明書である電子証明書を用います。こちらは、紙の文書に例えると印鑑証明書に相当します。この電子証明書は、認証局と呼ばれる第三者機関が発行するものであり、当社では、デジサート・ジャパンから電子証明書を取得しております。
- ※フィッシング詐欺とは
金融機関を装って電子メールを送信し、メールの受信者を偽のウェブサイトに誘導し、パスワードや暗証番号等の重要情報を入力させるなどして個人情報等を不正に取得する詐欺行為。
![[図]](img/index_pic_06_pc.png)
![[図]](img/index_pic_06_sp.png)
フィッシングサイトを閉鎖するサービスの導入
大和ネクスト銀行の取引サイトを装った偽のウェブサイト (フィッシングサイト) を迅速に閉鎖させるために、フィッシングサイトを検知・強制閉鎖するフィッシング対策サービスを採用しています。
![[図]](img/index_pic_05.png)
不正プログラム・トロイの木馬を配布するサイトを閉鎖するサービスの導入
大和ネクスト銀行の取引サイトを狙った不正プログラム・トロイの木馬を配布するサイトを迅速に閉鎖させるため、不正プログラム・トロイの木馬配布サイトを検知・強制閉鎖するサービスを採用しています。
- ※不正プログラム・トロイの木馬とは
ユーザーに気づかれずにパソコンに入り込み、様々な活動を行う不正プログラムです。感染すると、パソコンに保存されているファイルを全て見られる、また外部に送信される等のリスクに晒されます。こうして取得された個人情報が悪用され、第三者に不正利用される等の被害が発生します。
ウェブサイト上の誤認防止への取り組み
ウェブサイト上の誤認防止
当社サイトから他社サイト(※)へ移動する場合は、移動用ページ (以下参照) を表示し、それが他社サイトへのリンクであることがわかるよう明確に案内しています。
- ※当社の銀行代理業者である大和証券のウェブサイトを除く
![[図]](img/index_pic_03.png)
デジサート・ジャパン発行のデジタル証明書
当社では、デジサート・ジャパン合同会社のEV SSL証明書を取得しています。EV SSL証明書を導入したサイトを一定水準以上のブラウザーで表示すると、サイトを運営する会社名 (Daiwa Next Bank, Ltd.) と証明書を発行した認証局名 (DigiCert) が表示され、サイトの安全性を確認することができます。
- ※表示内容はブラウザーの種類によって異なります。
![[図]](img/index_pic_04.png)
運用面への取り組み
システム運営施設
当社のシステム運営施設は、震度7クラスの地震にも耐え得る高度な耐震性や、電源系統の多重化および自家発電システムを利用した信頼度が高い電源が完備されております。セキュリティ面においても、警備員や監視カメラによる24時間365日全館の監視以外に、サーバールームはもちろん、センター内のゲートの入退室には非接触型カードリーダや個人識別装置を設置し、ハード・ソフトの両面で最高レベルの技術・ノウハウを導入しております。
なお、万が一システムセンターが被災した場合には、同等の堅牢性とセキュリティを確保した災害対策センターにてお客さまにサービスを継続いただけるよう努めております。
- ※セキュリティ上、システムセンターの場所などの具体的な内容に関するお問い合わせにはお答えいたしかねますので、あらかじめご了承ください。