情報漏えい対策の今
今、情報の漏洩・流出が社会問題になっていますね。
顧客情報が持ち出されたり、内部資料が流出したり。
三井住友銀行が、2月からネットバンキングの利用に際して、顧客の要望によりパスワードをログインごとに変更する、使い捨てパスワードを導入することになりました。
銀行講座の暗証番号の変遷をみると、
初期のキャッシュカードは、それ自体に暗証番号が書き込まれていました。ATMにカードを入れると利用者がATMに入力した暗証番号とカードに書き込まれた暗証番号を照合していました。
しかし、カード内の情報が不正に読み取られ、悪用される事件があってからキャッシュカードに暗証番号は書き込まれず全て、銀行のホストコンピューターに納められ、その都度通信により承認をとる方式に変更されました。このシステムでは、ホストコンピュータの管理者さえもその暗証番号を知ることが出来ないようになっています。
また、この方式に変更後は、暗証番号が記録されているキャッシュカードをATMに通すと自動的にカード上の情報を抹消するようになっています。
現在もこの方式ですが、今流行のネットバンクでは方式は各社さまざまですが、複数の暗証番号をあらかじめ顧客に渡しておいてセキュリティーを高めていました。
しかし、この方法でも暗証番号が記載されたものが盗まれてしまえばそれでおしまいです。
そこで、今回三井住友銀行が採用したのが、ワンタイムパスワードと呼ばれる使い捨て型の暗証番号システムです。この方式は、ログインに際して1回限り有効なパスワードを生成し、一度利用された番号は2度と利用できなくするもので、たとえ第3者が暗証番号を知ったとしても成りすますことが不可能に近くなるのです。さらに、三井住友銀行は60秒ごとに暗証番号を変更する方式を利用していて、さらにセキュリティーが高くなっています。サーバー側と顧客に配られたパスワード表示機(写真)で60秒ごとに同じパスワードが生成されるようになるのです。
(IT用語辞典?e-Wordsより)使い捨てパスワードの実現方法としては、いくつかの種類があるが、最も簡単なしくみの1つは、「シンクロナイズド・ランダムジェネレータ」を利用するものである。この方法では、ローカルマシンとリモートマシン(認証を受ける側と、認証を行う側)でそれぞれ乱数発生器を使用し、両者を同期させて、一定期間ごとに、両者で同じ乱数を発生させるようにする。こうして生成された乱数をパスワードとして使用する。両者は同じ乱数を発生しているので、次の新しい乱数が発生されるまでの間は、その乱数で認証を受けることができる。そして次の乱数が発生されると、もはや以前の乱数値は無効になるので、ネットワークがモニタされてパスワードが傍受されても、そのパスワードは使えなくなっている。
三菱東京UFJ銀行も採用する方針。
Security Union9社連合というものがあります。これは以下のようなさまざまな情報漏洩防止対策を統合ソリューションとして提案していくというもの。
・データを暗号化して万が一の漏えいに備える(日立ソフト)
・ネットワーク使用履歴把握(内部対策)(エムオーテックス
・個人認証でネットワークの不正利用を防御(RSAセキュリティ)
・PCの適正化とその維持運用管理/文書閲覧権管理(クオリティ)
・ウイルス感染による情報漏えいを防ぐ(トレンドマイクロ)
・シンクライアント環境を実現(シトリックス・システムズ)
・OSの強化基盤(マイクロソフト)
・万が一の個人情報漏えいによる損害に備えて(損害保険ジャパン)
・セキュリティ教育及びコンサル(大塚商会)
情報漏えいの対策に必要なソリューションは各社違うわけですが、9種類もの違ったサービスを展開する会社がバックアップをしないと事実上完全な漏洩対策が出来ないことを逆に示していると思います。
ネットワークを介した実在しない情報をやり取りするリスクは近年大幅に増しています。東証の前社長が体験したように人間が作ったものは人間でメンテナンスが必要。
あらかじめ多額の投資をしてある程度のリスクを抑えるのがいいのか、対策を後回しにして多額の目に見えない損失をあとで出すのがいいのかといったところでしょうか。