公的個人認証システムを民間企業に開放しよう (2005年10月)ネット時評
インターネットを使ってビジネスをする企業にとって情報セキュリティ対策は必須である。特にお金を直接扱う銀行にとって、セキュリティ対策の不備は致命傷になりかねない。その銀行が最近、セキュリティ問題で頭を抱えている。原因はキーロガーによる「なりすまし」問題だ。全国銀行協会によれば、キーロガーによるなりすまし被害は今年7月までにみずほ銀行など3行で計9件、約940万円である。まだ犯罪件数も被害額もそれほど大きくはないが、今後、被害が急拡大する可能性は十分ある。
スパイウェアの一種であるキーロガーは、キーボード入力を記録するソフトで、種類によっては、その記録を外部に送信するものもある。パソコンにそんなキーロガーが仕掛けられていれば、そのパソコンのキー操作は逐一記録され、知らない間に誰かに転送されてしまう。自分の銀行口座を守るために、誰にも推測できないようなランダムな文字列をパスワードにしていても、入力したパスワードがそのまま盗まれるのだから「なりすまし」は防げない。当然のことながら、インターネット・バンキング・サービスを提供する大手銀行やネット銀行は、様々なキーロガー対策を打ち出している。
たとえば、みずほ銀行は8月22日から、第2暗証番号の入力を全桁入力からランダムに指定された4桁を入力する方法に変更するとともに、画面に表示したキーボード(ソフト・キーボード)をマウスでクリックすることによってログイン・パスワードを入力する方法を採用した。マウスのクリックはキーロガーでは記録できない。
イーバンク銀行は、8月5日から画面に表示した暗号表をつかって暗証番号を別の文字列に置換して入力する方法を採用している。暗号表はログイン毎に異なるので、入力情報を盗まれても暗証番号は分からない。
しかし、こうした対策も専門家からみれば完璧だとは言いがたい。最近のスパイウェアの中には、画面を記録して外部に送信するものもあるからだ。キー入力と画面を同時に記録すれば、こうした対策は水泡に帰してしまう。
一般的にセキュリティ・レベルを上げようとすると利便性は下がる。インターネット・バンキングにおける本人確認をATMと共通の暗証番号だけにすれば、操作は簡単になるが、セキュリティ・レベルは低くなる。本人確認に複雑な可変パスワードを用いればセキュリティ・レベルは高くなるが、操作は面倒になる。
そこで提案なのだが、思い切って政府が構築した公的個人認証システムを銀行を含む民間企業に開放してはどうだろうか。公的個人認証システムは公開鍵暗号方式による電子署名を用いており、秘密鍵が盗まれない限り「なりすまし」が起きることはない。その秘密鍵は、住基カードあるいは同様の仕様のICカードに収められ、電子署名もICカード内で処理されるため、秘密鍵を収めたICカードをきちんと保管していれば「なりすまし」が起きる危険性はほとんどゼロになる。カードリーダーをパソコンに接続すれば、カードをリーダーにかざすだけでよいので、利便性が損なわれることもない。
公的個人認証システムを民間企業に開放すれば、インターネット・バンキングだけでなく、インターネット株取引、インターネット・オークションなど、インターネット上の取引が安全になり、利用者はなりすましや詐欺を心配することなく利用できるようになる。
現在、公的個人認証システムは、国や地方公共団体の行政機関等と民間の認証事業者にしか開放されていない。直接民間に開放すると、民業を圧迫するからだと言われている。しかし、現実には圧迫する民間の個人認証サービスの実態はほとんどない。ネット上の「なりすまし」を防ぐ究極の手段である公的個人認証システムがあるのだから、これを使わない手はない。すぐに公的個人認証サービスを民間企業に開放しよう。