ＩＴ維新研究所

■生態認証方式の問題点について

■今週のトピックス

何日か冷たい雨が続きましたが、昨日今日と晴れのようです。

それでも、夜は、肌寒くなってきましたが、日中はまだ暑いようです。

ところで、前回でインターネットバンキングの脆弱性に関して次回と予告していましたが、その前に、「生体認証」に関して触れておきたいと思います。

更にその前に、もうひとつ、ヤフーのホームページの偽装サイトを三分間で簡単に作ることができるという記事がありました。

現実に、偽装サイトでニセのニュースが流れていました。

先週の日経新聞の記事だったと思います。

米国では、フィッシングのためのサイトが作られ、これにより７３００万人以上が平均５０件以上のフィシングメールを受け取り被害額は１０００億円を上回るという米国ガートナーの報告があります。

日本でも、いよいよかと連想した次第です。

このヤフーサイトの偽造事件と米国のフィッシング事件との関係は、無関係ではないのです。

３分間で作れるというのは、最初は、すごい技術力と考えていましたが、実は、たいしたことではなかったのです。

インターネットのブラウザーの機能に、「ソースの表示」という機能があります。

ご存知でしたか？

この機能を使えば、ウェッブサイトのコピーは簡単にできてしまうのです。

これに「ちょこっと」手を加えれば偽装サイトは作れてしまうのです。

この防止策はないものかと思っていましたら、ありました。

ウェッブサイトのソースを見えなくする方法です。

私の友人が経営している、オープンソースジャパンという会社　　http://www.opensource.co.jp/　　の子会社の

ＰＨＰというウエブ言語の関連商品を扱っている、

ゼンドジャパンという会社 http://www.zend.co.jp/　の

商品である、

Zend Encoder 日本語版/Zend SafeGuard Suite 日本語版

を使えば問題ないとのことでした。

簡単な説明を引用しておくと、

「Zend Encoder 日本語版は、テキスト形式の

PHPスクリプトをプラットフォーム非依存なZend独自の

中間コード（バイナリ形式）に変換します。

この変換によりオリジナルのソースコードファイルへの

アクセスやコピーをできないようにします。

同時にファイルの最適化も行い、リバースエンジニアリングを

防ぎます。」

ということのようです。

なるほどと先週は納得したところでした。

この件に関しては、後刻、触れることにしますが、

話を戻して、

今回は生体認証に関しての考えをまとめてみました。

■生体認証の背景

キャッシュカードのスキミング事件等の一連の

キャッシュカードを利用した預金盗難事件を契機として、

銀行預金のセキュリティー対策が社会問題となってきました。

従来、「磁気ストライプ付きのキャッシュカード」は、

暗証番号さえ盗まれなければ、「セキュリティー」上問題なし

といわれてきました。

しかし、現実問題として、各種の盗難事件が起こり、

この欠点を補完するために、法的には、

「預金保護法」が２００５年８月に成立し、

２００６年２月から施行されることになったのです。

一方、技術的な解決策としては、ＩＣカード化や生態認証方式が

採用されようとしています。

■生態認証技術について

キャッシュカードのセキュリティー強化対策として

「ＩＣカード化」に加えて各種の方式が検討されてきました。

このひとつに「生態認証技術の採用」がキャッシュカードの

スキミング事件を契機として急浮上してきました。

本人確認技術はいろいろな方式があります。

一番ポピュラーな方式は、「指紋認証」であり、

世間的には一番普及している方式です。

これ以外にも、音声認証、眼の光彩認証、顔の骨格認証、

そして、手の平、または、手の指先の血流パターンを利用した

「静脈認証」等と各種の方式が実用化されています。

今回も東京三菱銀行が先行して、

「手の平の静脈パターン」をキャッシュカードに埋め込んだ

ＩＣカードに記録する方式の本人認証サービスを開始しました。

歴史は繰り返すというか、またもや、「業界統一」の問題が

発生したのです。

この技術は「富士通」のものです。

対抗方式としては、「手の平」ではなく、

「手の指」の静脈流を使うものが登場してきました。

この技術は「日立」のものです。

また、両者を両立させる製品として「沖電気」からの

アナウンスもありました。

どちらかに統一すべきか、両方の方式を併用すべかが

再び問題となってきたのです。

「富士通」対「日立」の勢力争いということなのでしょうか？

■静脈による本人認証方式の問題点

しかし、この静脈による「本人確認」手段は、

いくつかの問題を抱えており、業界内でも疑問視する声が

多いのです。

その第一の問題点は、「コストがかかりすぎる」ということです。

ＡＴＭに認証装置を取り付ける必要があり、ＡＴＭの改造コストを

負担する必要があります。

また、「ＩＣキャッシュカードの発行コスト」だけでなく、

「生体認証情報」の書き込みのための移行コストも

無視できません。

国民一人当たり２－３枚ともいわれる「磁気ストライプ付き」

のキャッシュカードを「ＩＣカード」に転換するコストも

単純に一枚千円としても２－３千億円という試算となります。

更に、問題なのは、「ＩＣカード単独の専用カード」以外は、

従来方式と新方式が利便性の問題から、

並存することになります。

従って、並存期間中のセキュリティー状況は、

現状と全く変わらないということです。

ＡＴＭ端末、ＰＯＳ端末、デビットキャッシュ可能な携帯端末等々

と「現状の磁気ストライプ方式」を利用したシステムは

多種多様となっています。

単に、金融機関だけでなく、他業態の端末までが、

この「全銀統一の磁気ストライプ仕様を採用しています。

従って、「磁気ストライプ」方式は、

今後とも長期間存続し続けることになります。

現状からの変更には相当な時間が必要なのです。

■生態方式以外に代替方式はないのか？

ところで、

突如「静脈認証方式」が脚光を浴びることになりましたが、

この方式以外にも「本人認証方式」の強化策は

いくつか考えられます。

【技術的解決策】としては、現行の磁気ストライプ方式でも、

改善の余地はあるのです。

☆暗証番号を数字の四桁に限定するのではなく、

４桁以上の桁数自由な数字にするとか。

☆数字だけでなく、英数字や特殊文字も許容するとか、

☆カナやひらがなも可能とするとか 代替方式はいくつか

　考えられます。

システムの更改や端末の改造は必要になりますが、

「生態認証方式」採用よりは低コストで実現可能な

方式と思います。

☆【保険等による保障】による「安全性」の強化も実現されます。

２００５年８月に成立し、２００６年２月から施行される

「預金者保護法」により、事故が発生した場合でも、

利用者に相応の注意義務が保たれていれば

全額補償されることになります。

遅まきながらの「預金」の安全性が強化されることになるのです。

☆【支払い限度額の設定】によ安全性の強化策

ＡＴＭの支払い限度額を一律低額に設定するとか、

個々人別に自由設定可能とするとかのセンターソフトによる

対応も可能となりました。

果たして、

現実問題として「生体認証」方式は、普及するのでしょうか？

大いに疑問ありと思います。

■まとめ

「キャッシュカード」の安全性強化の方法として、

急浮上したきた「生態認証方式」は、導入コスト、

運用コスト等を検討すれば、一挙に普及する方式とは

思えないのです。

「預金者保護法」による保障方式の方が、

「コスト」的にみれば安価であり、現実的な方法です。

また、前述のような「代替方式」の可能性も検討の余地あり

思います。

技術は常に進歩し続けるものであり、

「絶対に安全」というセキュリティー技術は存在しません。

「静脈認証方式」も絶対的に安全なセキュリティー技術

ではないのです。

盗人側の技術も常に進歩し続けることになり、

いつかは「静脈認証方式」のキャッシュカードからの

盗難事件は発生しうるのです。

要するに、預金者保護の視点から、

消費者の損失をカバーする仕組みは、

「技術的な側面」からだけでなく、

「総合的な視点からの対策」を探索し続けることが

【重要】ということなのです。

【編集後記】

今回は、「生体認証」に関して考えてみました。

今週は、「ＵＦＪ銀行のＡＴＭに、小型カメラがセットされていた。」

という報道記事もありました。

また、

ヨーロッパの共通通貨である「ユーロ紙幣」の精巧な偽造紙幣が、

流通しているとの報道もありました。

専門家でも簡単には、見分けがつかないほどの精巧なもの

だそうです。

お金を盗み取るいろんなテクニックが

次々と開発されてきています。

まさに、 「盗む側」と「盗まれまいと守る側」の

知恵比べということです。

■今週のトピックス

東京モーターショウが今週の土曜日から開催されます。

http://motorshow2005.yahoo.co.jp/

次世代省エネ車がテーマのようです。

ハイブリッドカーと新型ディーゼルエンジンが期待され、

燃費の安さと環境への配慮が重視されています。

自動車業界も激烈な新技術開発競争が行われています。

さて、今回は、略称「預金者保護法」をテーマにしました。

■預金者保護法に関して

キヤッシュカードをめぐる犯罪・トラブルが多発したことを発端として、
「預金者保護法」が成立し、2006年2月に施行されることになりました。

この法律の正式名称は、
「偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金
払戻し等からの預貯金者の保護等に関する法律」です。

「等」の文字が四文字もある非常に長い名称の法律となっています。

省略して「預金者保護法」と呼ぶことが妥当ということでしょう。

この法律では、キャッシュカードが何者かに偽造されたり盗まれたりして、
預貯金がATMから不正に引き出された場合に、預貯金者が受けた被害に
ついて金融機関側に補償を義務づける法律です。

この法律の施行を前に、
全銀協は「預金の不正な払い戻しへの対応について」という文書を
１０月６日に公表しました。

http://www.zenginkyo.or.jp/news/index.html

■全銀協の公表文書の概要

公表内容は三点構成になっています。
１）カード規定の改定試案
２）偽造・盗難キャッシュカードに関する預金者保護の申し合わせ
３）預金の不正な払い戻しへの対応

概要を要約すると、

☆１）カード規定の改定試案

「預金者保護法」に対応したもので、キャッシュカード規定を法律の趣旨
に則して改定した業界共通の標準とすべき雛形です。

新たな規定として、
ａ）カード・暗証の管理等に関する預貯金者の管理責任に関しての規定。
ｂ）偽造カード等による払戻し等に対しての証明義務は
　金融機関側にあるという規定。
ｃ）盗難カードによる払戻し等が発生した場合には、
　一定の条件を満たしていれば、善意の第三者である預貯金者の被害を
　補償するという規定。

これにより、
「預金者保護法」の趣旨が規定に盛り込まれることになります。

☆２）偽造・盗難キャッシュカードに関する預金者保護の申し合わせ

この申し合わせは、預金者保護の強化の趣旨を踏まえ、
ＡＴＭでのキャッシュカードによる払戻しに関しての金融機関側の
技術的対応を図ると同時に、預金者側への啓蒙と注意喚起を徹底すること
を申し合わせたものです。

☆３）預金の不正な払い戻しへの対応
対応のポイントは３点。

ａ）盗難通帳による不正払戻しへの対策として、
　　平成１５年９月の申し合わせしたこと。
ｂ）偽造・盗難キャッシュカード問題への対策についての今回の公表文書。
ｃ）インターネットバンキングに係る犯罪への対策

以上より構成されています。

詳細に関してはともかくとして、
従来の金融機関に優位な免責規定が「預金者保護」の
視点から改定されることになったということは、大変望ましいことです。

また、
新たな「コンピュータ犯罪」に対する取り組み姿勢を明確化したことは
評価されることです。

しかし、
過去の経緯を振り返ってみると、銀行の個人認証技術に関しては、
技術進歩に対して、後手後手の対応に終始しているように思います。

以前、幻に終わってしまった「電子マネーのモンデックス」のシステムを
開発しているチームのオフィスを訪問したことがあります。
まるで、メーカーや大学の研究所のような実験装置等を設置しており、
銀行自らシステムの安全性や事故への対応策を研究していたことを
思い出します。

発行者自身の技術的な責任も明確にする姿勢に感動した記憶があります。

それに対して、日本の金融機関の場合には、メーカー依存型というか、
提供メーカーの技術を信頼してシステムの採用を決定している傾向が
あります。

自ら技術的な検証実験をすることは稀なことです。
確かに、個々の金融機関で技術開発研究を行うことは
実質的には不可能なことです。

しかしながら、金融機関の預貯金の払戻しシステムが、
一種の社会インフラとして普及してきた現状においては、
金融機関自身でも専門の技術開発研究機関を設置すべき時代
となっているようにも思います。

以前にも書いたことがありますが、
発行者側の仕様の盲点をつかれた事故や犯罪の発生を生じた原因が
技術進歩に関しての配慮が欠けていたことにあるという過去の事実を
反省すべきであるということです。

具体的には、
「キャッシュカードの暗証番号を磁気ストライプに記憶した仕様」を
決めてしまったこと。

預貯金通帳の「オープン形式の副印鑑方式を普及させてしまったこと」等、

安全性に問題のある「本人認証手段」を採用してしまったことへの反省が
必要ということです。

結果として、「オープン式副印鑑」は、廃止されました。

「キャッシュカードの磁気ストライプ」から暗証番号は消去されました。

しかし、「磁気ストライプ方式のキャッシュカード」は、
「ＩＣカード化」へ移行の方針が固まっていますが、しばらくは並行期間が
続くわけで、安全性が保障されている訳ではないのです。

そこで、今回の「預金者保護法」により、
ＡＴＭの払戻しに関しての補償が法律により担保されたことになりました。
これで一応の決着はついたことになりました。

しかしながら、インターネットバンキングの脅威等も残された課題です。

これに関しては、次回で触れることにします。

【編集後記】

このメルマガは、ブログにも登録していますが、
最近アクセスが増えているようです。

しかも、一人のアクセス回数が多いということも特徴があります。

【検索】エンジンから訪問していただいた方が、他の記事をも丁寧に
読んでいただいているようです。

発行者としては、何らかのお役に立っているということで満足しています。

今後とも引き続き情報発信続けていきたいと思います。

情報セキュリティー（６）

■今週のトピックス

１０月も半ばを過ぎてしまいました。

ここのところ肌寒い日が続いています。

それに冷たい雨が降っています。

皆さんお変わりありませんか？

朝晩うっかりしていると風邪を引いてしまいそうです。

ところで、株の買占め問題が再燃してきました。

村上ファンドが阪神電鉄株の筆頭株主に、そして、阪神球団の上場を提案。

楽天がＴＢＳの筆頭株主に、横浜ベイスターズの売却問題にまで発展か？

日本のプロ野球の再編成問題が、再燃したようです。

一昔前は、ライブドァの堀江もんが、プロ野球球団への新規参入、日本放送株の買収、

衆議院選挙への立候補、広島カープの買収も計画中とか？で話題となっていました。

今度は、三木谷社長の登場です。

ソフトバンクの孫さんも、なにかを狙っているのかもしれません。

この三人の発想と行動パターンは、共通するところがあります。

新興ＩＴ企業のオーナーの使命として、株式会社の価値を高めるために

なにか目新しいことに進出する必然性があるようです。

注目度を高めることが、株価維持と株価上昇のテクニックなのでしょうか？？

この裏には、大量の投資資金の金余り状態があります。

外資の投資ファンド、メガバンクの融資資金等です。

ところで、

彼らが、「放送事業」と「プロ野球球団」に関心を示すのはなぜでしょうか？

それは、インターネットビジネスの世界で、コンテンツの重要性を認識しているからです。

インターネット企業の収入の大部分は、広告収入といわれています。

広告収入を維持し、増大していくためには、「コンテンツ」は欠かせない要素なのです。

従って、インターネットでの集客のためには、

魅力あるコンテンツが不可欠ということになります。

コンテンツの豊富な企業として、目に付くのが「放送事業者」であり、

「プロ野球」等のスポーツ業界なのでしょう。

今回の決着がどうなるのかは、時間の問題と思いますが、

それにしても、「村上ファンド」の投資収益率は相当なものと思います。

さて、本題に移ります。

■情報セキュリティー（６）■

■「情報セキュリティー」の点検は日常化することが重要です。

「情報セキュリティー」の対策を有効なものにするには、企業活動を継続する限り

常時見直しを実施し、厳格な対応となっているかどうかを第三者の視点から

常時点検する体制の整備が必要です。

即ち「情報セキュリティー」対策は、日常化することが必要であり、一時的な活動として

点検を実施するだけでは実効性に乏しいものになります。

「一時しのぎ」の問題ではありません。

「情報セキュリティー」対策は、日常化を定着させることが肝要であり、

企業の日常活動の一環として組み込み、定着化させるための施策が必要なのです。

「情報セキュリティー」は、難しく考えるのではなく、まず、簡単な身の回りのことから

ステップバイステップで順次見直していくことが重要なのです。

ドロボーが入る前までは、誰もがまさかと思っており、対策に関してはルーズである場合が多いのです。

「情報セキュリティー」も同様であり、事件が起こらなければ「当社とは無縁」と考えがちです、

「情報漏洩」が発生してしまってからでは手遅れです。

ドロ縄式の対策では遅すぎるのです。

■情報共有化との関係について

ところで、ネットワーク技術の発達により、個々人の入手できる情報量は飛躍的に増大してきています。

さらに、ネットワーク技術を利用することにより、「情報の共有化」は、経営効率の推進と活動の活性化

のツールのひとつとして普及してきました。

しかし、この情報共有化の推進にも落とし穴がありました。

情報共有化に関しては、共有すべき情報の対象範囲を明確化し、情報共有化できる人間を絞り込まなければ

「情報漏洩」の危険を回避することはできないということです。

情報共有化のメリットとデメリットを十分吟味した上で、システム設計を考慮すべきと言うことです。

当たり前のことですが、この当たり前のことが疎かになっているのです。

■「情報セキュリティー」関するＩＴ技術による防御ツールについて

「情報セキュリティー」のためのＩＴ技術ツールは各種のものが開発され販売されています。

しかしながら、これらの防衛ツールを導入すればすべてＯＫというオールマイティーの製品は、

現時点では存在しません。

個々の防御機能をいくつか組み合わせて導入するしか方法はありません。

しかも注意しなければならないことは、複数のソフトを導入することにより、

相互に影響がありシステムトラブルの誘因となりえるということです。

「情報セキュリティー」対策のために導入したソフトがシステム不安定の誘因となるとすれば、

これは本末転倒としか言いようがありません。

しかし、現実にはこのような現象が発生する可能性は大きいのです。

「情報セキュリティー」ソフトの導入には、従来以上の安全性の確認テストが必要となるというのは

自己矛盾としか言いようがありませんね。

【編集後記】

プロ野球再編成の問題はともかくとして、

千葉ロッテがパリーグ優勝となりました。

セリーグの阪神とパリーグの千葉ロッテが日本シリーズで決戦ということになりました。

私個人としては、余り興味のないことなのですが・・・・・。

また、昨日は、小泉首相の靖国神社の参拝が行われました。

これに対する反応として、「中国」と「韓国」が、敏感に反応してきました。

私個人としては、日本人の感情として、内政干渉としか思えません。

中国と韓国がどうして「靖国神社」にあんなにも拘るのか理解できません。

「靖国神社」に関しては、「Ａ級戦犯が祀られている事」だけでなく、

いろいろなことがいわれています。

国益のためには、「靖国神社」参拝は延期すべきかも知れません。

国家運営のためには、個人の心情は抑制すべきなのかも知れません。

リーダーシップを維持するための「リーダーの決断」としては、難しい問題です。