【ネット時評 : 前川 徹(サイバー大学)】
公的個人認証システムを民間企業に開放しよう

maegawatoru2.jpg
 
 インターネットを使ってビジネスをする企業にとって情報セキュリティー対策は必須である。特にお金を直接扱う銀行にとって、セキュリティー対策の不備は致命傷になりかねない。その銀行が最近、セキュリティ問題で頭を抱えている。原因はキーロガーによる「なりすまし」問題だ。全国銀行協会によれば、キーロガーによるなりすまし被害は今年7月までにみずほ銀行など3行で計9件あり、約940万円が不正に出金された。まだ犯罪件数も被害額もそれほど大きくはないが、今後、被害が急拡大する可能性は十分にある。

キーロガーとは何か

 すでにスパイウエアの一種となったキーロガーは、キーボード入力を記録するソフトで、その記録を外部に送信するものもある。パソコンにそんなキーロガーが仕掛けられていれば、キー操作を逐一記録され、知らない間に誰かに転送されてしまう。自分の銀行口座を守るために、誰にも推測できないようなランダムな文字列をパスワードにしていても、入力したパスワードがそのまま盗まれるのだから「なりすまし」は防げない。当然のことながら、インターネット・バンキング・サービスを提供する大手銀行やネット銀行は、様々なキーロガー対策を打ち出している。
 たとえば、みずほ銀行は8月22日から、第2暗証番号の入力を全桁入力からランダムに指定された4桁を入力する方法に変更するとともに、画面に表示したキーボード(ソフト・キーボード)をマウスでクリックすることによってログイン・パスワードを入力する方法を採用した。マウスのクリックはキーロガーでは記録できない。またイーバンク銀行は、8月5日から画面に表示した暗号表を使って、暗証番号を別の文字列に置換して入力する方法を採用している。暗号表はログイン毎に異なるので、入力情報を盗まれても暗証番号は分からない。
 しかし、こうした対策も専門家からみれば完璧だとは言いがたい。最近のスパイウエアの中には、画面を記録して外部に送信するものもあるからだ。キー入力と画面を同時に記録すれば、こうした対策は水泡に帰してしまう。

公的個人認証の開放を

 一般的に、セキュリティーレベルを上げようとすると利便性は下がる。インターネットバンキングにおける本人確認をATMと共通の暗証番号だけにすれば、操作は簡単になるが、セキュリティーレベルは低くなる。本人確認に複雑な可変パスワードを用いればセキュリティーレベルは高くなるが、操作は面倒になる。
 そこで提案なのだが、思い切って政府が構築した公的個人認証サービスのシステムを銀行を含む民間企業に開放してはどうだろうか。公的個人認証システムは公開鍵暗号方式による電子署名を用いており、秘密鍵が盗まれない限り「なりすまし」が起きることはない。その秘密鍵は、住基カードあるいは同様の仕様のICカードに収められ、電子署名もICカード内で処理されるため、秘密鍵を収めたICカードをきちんと保管していれば「なりすまし」が起きる危険性はほとんどゼロになる。カードリーダーをパソコンに接続すれば、カードをリーダーにかざすだけでよいので、利便性が損なわれることもない。
 公的個人認証システムを民間企業に開放すれば、ネットバンキングだけでなく、インターネット株取引、インターネット・オークションなど、インターネット上の取引が安全になり、利用者はなりすましや詐欺を心配することなく利用できるようになる。
 現在、公的個人認証システムは、国や地方公共団体の行政機関等と民間の認証事業者にしか開放されていない。直接民間に開放すると、民業を圧迫するからだと言われている。しかし、現実には圧迫する民間の個人認証サービスの実態はほとんどない。ネット上の「なりすまし」を防ぐ究極の手段である公的個人認証システムがあるのだから、これを使わない手はない。すぐに公的個人認証サービスを民間企業に開放しよう。

<筆者紹介>前川 徹(まえがわ とおる)
富士通総研 経済研究所 主任研究員
1955年生まれ、名古屋工業大学情報工学科卒、78年に通産省に入省、機械情報産業局情報政策企画室長、JETRO New York センター産業用電子機器部長、情報処理振興事業協会(IPA)セキュリティセンター所長、早稲田大学客員教授(常勤)を経て、2003年9月より現職。早稲田大学客員教授(非常勤)を兼任。

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/61

コメント一覧

メニュー