前回記事はこちら
今回は、「家計簿アプリのマネーフォワード、便利そうだけどセキュリティ的に大丈夫なの?」という疑問にお答えしようと思います。
Contents
どんな危険があるのか?
皆さんが感じるセキュリティへの不安は
- 銀行口座やクレジットカード番号が盗まれたりしないか
- 不正にログインされて送金されたりしないか
- 資産や口座残高が漏えいしないか
- 個人情報が漏れないか
などではないでしょうか。
(それ以外にも不安があったらぜひ記事下にあるコメント欄に投稿下さい)
それでは以下、技術的な表現もありますが、できるだけわかりやすく解説していきます。
まずは仕組みを知る
前回書いた通り、マネーフォワードは銀行口座やクレジットカードの利用明細等を連携することを前提にサービスが作られています。
もちろんマネーフォワード自体のログイン用アカウントも必要です。
と、言葉では伝わりづらいので、皆さんがマネーフォワードを使用する際の流れを下の図にまとめてみました。
大きく「(マネーフォワードの)アカウント登録」「金融機関との連携」「資産・支出情報の閲覧」の3つに分けています。
図の矢印はユーザーとなる皆さんとマネーフォワード、もしくはマネーフォワードと金融機関の間の情報のやり取りを示しています。
(以下図の説明ですので、わかる方は「危険なポイントはどこか」に飛んで下さい)
アカウント登録
①まずマネーフォワードのアカウント登録をします。
アカウント登録の為には、メールアドレスとパスワードを登録するか、facebookまたはGoogleのアカウントを連携させます。
②正しく入力(or連携)できれば登録完了です。
金融機関との連携
③金融機関と連携するには、各金融機関で持っている自分のログイン情報を入力します。(口座番号などではなく、ネットサービスにログインする為の情報を使います)
④マネーフォワードのシステムを経由して、ユーザーが入力したログイン情報が正しいものかどうか金融機関に問い合わせされます。
⑤⑥情報が正しければ認証され、金融機関との連携が完了します。
資産・支出情報の閲覧
⑦連携を認証された金融機関の(残高や支払明細などの)情報は、マネーフォワードのアプリやPCサイトで閲覧できます。
⑧ユーザーがアプリ(またはPCサイト)を操作すると、マネーフォワードのデータベースにある情報を表示してくれます。
⑨⑩マネーフォワードのデータベースには、バッチ処理と呼ばれるシステムによって定期的に金融機関から情報が収集されています。(もちろん連携している金融機関のみ対象)
危険なポイントはどこか
(1)通信する時(図の矢印部分)が危ない?
アプリとサーバー間、もしくはサーバ同士の間の通信、これはSSLと呼ばれる暗号化技術を使って通信しますので、まず安全だと考えて問題ございません。
(2)マネーフォワードや金融機関のサーバが不正アクセスを受ける?
マネーフォワード社のサーバーですが、同社サイトには
異なるサーバに暗号化して保存し、アクセスについては制限を設け、厳重な管理・運用を行なっております。
セキュリティの安全性を担保する為、自社内の高度な管理体制の構築はもとより、
外部のセキュリティ診断会社からの第三者評価を受けて、サービスを提供しております。
金融機関のシステム構築、運用に長年携わったプロが、システム構築を行っています。
などの記載がありますが、大手金融機関の出資を受けている点は安心感に繋がると思います。
もちろん、大手金融機関のような資金があるわけではないので、セキュリティにかけるコストはそれらには劣るものと思われます。
ただ、このレベルで信用をできないとなると、他のインターネットサービスも利用できないのではないでしょうか。
また、金融機関のサーバー自体が攻撃されるリスクもありますが、これはマネーフォワードを利用しなくても抱えているリスクですのでここでは割愛します。
(3)意外と危険なのがユーザー自身のセキュリティ対策
私は、前述の(1)や(2)よりも慎重に考えるべきはサービスを利用する皆さん自身の心構えや行動だと思います。
アカウント登録の際、簡単なパスワードを使用しないことや、できればfacebook・Googleアカウントの連携はやらない方がよいでしょう。アカウント連携は、連携するサービスのアカウントが乗っ取られた時に不正ログインされるリスクがあるからです。
また、金融機関連携をする際に、例えばスマホであれば屋外で隣の人にIDとパスワードを見られるですとか、ネットカフェのパソコンを使ってログインするようなことがないように注意が必要です。
スマホを落としたりした時も危険にさらされます。端末の画面ロックまたはアプリのパスコードロックをしましょう。
さらに、利用するパソコンやスマホがウイルスに感染していて、ログインIDやパスワードが盗まれるリスクもありますので、ウイルス対策ソフトを入れる等適切な対策も必要です。
というわけで、マネーフォワード社のセキュリティよりも、むしろ利用するユーザーの使い方の方が注意が必要だと思います。
万が一、ログインアカウントが盗まれたら?
上記の対策をしてもリスクはゼロではありません。万が一、マネーフォワードや金融機関のログインアカウントが盗まれるとどのような危険があるのでしょうか?
不正な送金や引き出しをされる可能性はほぼ無い
一番怖いのは、銀行口座からの送金、証券口座の取引、クレジットカードの不正利用などだと思いますが、この点はほぼ心配要らないと思います。
マネーフォワードで利用するのは、あくまでネットサービスのログイン情報だからです。
送金や取引などには専用のパスワードや暗証番号が必要ですが、それらが漏えいする可能性はほぼ無いからです。
口座残高(資産)や支払明細は漏えいする
残念ながら銀行の口座残高、クレジットカードの支払明細など連携しているサービスの情報は漏えいすることになります。
口座番号・住所・電話番号も漏えいする可能性が高い
マネーフォワードのサービス上では口座番号・住所・電話番号及び氏名は扱いません。したがって、マネーフォワードのログインIDとパスワードが盗まれるだけではこれらの情報が漏えいすることはありません。
しかし、金融機関のログインID・パスワードが盗まれた場合は、金融機関のシステム上で扱われるそれらのデータは漏えいすることになります。
ただし、マネーフォワード社サーバーへの不正アクセスによる漏えいの場合、暗号化されているログインID・パスワードを復号化(解読)する必要がありますが、その場合は漏えい直後にパスワード変更をすることで充分対応は可能だと思います。
まとめ
長々と書いてしまいましたが、結局マネーフォワード社を信じるか否かはあなた次第です。ただ、私は信頼できる会社だと思って利用しています。
そして、何より大事なのは利用する皆様自身の情報漏えい対策。
- 簡単なパスワードは使わない
- セキュリティソフトを入れる
- 利用環境に注意する
など、どのサービスを利用する際にも共通しているこれらのことに注意して利用しましょう。
他の方の記事も参考になりますので併せてどうぞ!!
SSLは利用禁止のはず。
TLSなり暗号化通信と書かなければ、信憑性に疑問がでると思います。
ご指摘ありがとうございます。
マネーフォワード社のサイトにも「SSL」と記載されていること、また、wikipediaにもTLSが「(特に区別する場合を除いて)SSL (Secure Sockets Layer) と呼ばれることも多い」と書かれていることなど、業界慣習的に未だにSSLと呼ばれるケースが多いため、特に気にせず使っておりました。
記事更新の機会があれば「SSL/TLS」のような表記に変更したいと思います。
今後ともよろしくお願い致します!