[https://www.youtube.com/watch?v=FXIOX4b7jpw:embed:cite]

この動画では、令和４年度春期情報処理安全確保支援士試験の午後Ⅰ問３について解説します。スマートフォン向けQRコード決済サービスの開発を題材に、不正利用を防ぐためのセキュリティ要件定義と実装について学びます。特に、銀行口座紐付け時のなりすまし対策としての「身元確認（eKYC）」や、公的個人認証サービス（JPKI）を用いた電子証明書の検証フローなど、現代のFinTech分野で必須となる知識を深めることができます。 本動画を通じて学習すべき中心的なテーマは、オンラインサービスにおける厳格な本人確認手法と多層防御の具体的な実装です。まず理解すべきは、アカウント作成時の「身元確認」とログイン時の「当人認証」というセキュリティ上の役割の違いです。問題文の事例では、銀行口座の紐付けにおいて暗証番号のみに依存する設計が、漏洩した情報を用いた第三者によるなりすましリスクを招くことが指摘されており、これを防ぐために犯罪収益移転防止法に準拠したオンライン本人確認（eKYC）の導入が議論されます。ここでは、写真付き本人確認書類と本人の容貌画像を送信する手法において、あらかじめ用意された写真や動画による偽装を防ぐための具体的な対策として、アプリが提示したランダムな数字を紙に書き、その紙とともに自身の顔を撮影して直ちに送信させるという、リアルタイム性を担保する手法（Liveness Detectionの一種）について詳細に解説しています。さらに、より強固な本人確認手段としてマイナンバーカードを用いた公的個人認証サービス（JPKI）の仕組みも重要な学習ポイントとなります。このプロセスでは公開鍵暗号方式の理解が不可欠であり、利用者がマイナンバーカード内の秘密鍵でデジタル署名を施し、サーバ側が公開鍵を用いて検証するという流れに加え、単に署名が正しいかを確認するだけでなく、その電子証明書自体が有効であるか、あるいは紛失届などによって失効していないかを認証局（J-LIS）に確認する手順（OCSPやCRLの参照）がセキュリティ上必須である点を深く掘り下げています。また、スマートフォン自体が盗難に遭った場合のリスクシナリオ分析も重要です。OSの画面ロックが設定されていない、あるいは解除された状態で端末が盗まれた場合、アプリのログイン状態が保持されていると容易に不正決済されてしまいます。これを防ぐため、アプリの起動時にOSのロックとは独立したアプリ独自のPINコード認証や生体認証を求める機能を追加し、セキュリティを多層化するという設計思想についても触れています。これらの知識は、単なる用語の暗記にとどまらず、実際のシステム開発現場における脆弱性の洗い出しと、ユーザビリティとセキュリティのバランスを考慮した対策立案能力を養うために極めて実践的な内容となっています。