ＩＴ維新研究所

　今年も残り１０日余りとなってしまいました。

　不動産の耐震計算のプログラムに不正なデータを入力して、構造上の問題点を偽装した事件が大きな社会問題となっています。

　コンピュータの出力を信頼してしまう風潮から入力の不正を見過ごしたとのことです。

　また、みずほ証券の株式売買取引の誤入力に関しも大きな損失が発生するという事件が発生しました。

この両事件とも、コンピュータ処理の入力段階の誤操作（耐震設計に関しては意図的な不正入力）により、大きな損失を発生する事件となってしまいました。

コンピュータ社会が進展する中で、コンピュータシステムが社会に与える影響の大きさを再認識する事件であると思います。

大規模なオンラインシステムの障害は、時々マスコミを賑わすニュースになる場合が多いのですが、マスコミの話題とならないシステムトラブルは日常茶飯事に発生しているのです。

システム開発を担当している人間にとっては、今回の事件は、「対岸の火事」として傍観していられる問題ではありません。

コンピュータシステムに対する基本的な問題として、再考すべき問題といえます。

ところで、われわれが若い頃に言われたことがあります。

それは、「コンピュータ利用の三原則」という基本ルールです。

１）インプットがなければ、アウトプットもない。
２）論理が組めないものはプログラム化できない。
３）最終的には、人間の管理能力を組み込むこと。

以上の三原則です。

　システムの規模やシステムの内容により、解釈は様々ですが、今回のみずほ証券事件に関して、当てはめて考えてみたいと思います。

■１）インプットがなければ、アウトプットもない。

　これは、言うまでもないことですが、みすほ証券の端末入力で、新規上場のジェイコムの株式の売り注文をインプットすることが事件の発端となっています。

みずほ証券の担当者が、午前の取引開始直後、コンピューター端末で「６１万円で１株」の売り注文を出すべきところを、誤って「１円で６１万株」と誤入力してしまったことです。

この操作が異常であるということをシステムでも認識していたようで、警告メッセージが出ていたようです。しかし、この警告メッセージを無視して、売り注文がコンピュータにインプットされてしまったようです。

ここから、問題が発生することになったわけです。

　コンピュータシステムの設計で最も重要なことは、インプットシステムの設計であると考えています。

　いかに、誤ったインプットデータを排除するかが、システム設計上の【重要】な課題となります。

　異常なインプットデータにより、システムの異常やデータベースの異常処理が発生するからです。

　いかに、クリーンで正当なデータのみをインプットさせるかが【重要】なのです。

　今回の場合には、ジェイコムの発行済み株式１４５００株の約４０倍の取引ということで、取引自体が成立しないインプットであることは自明なのです。取引株数の限度や存在可否チェックを行えば異常であることは明白であったはずです。

　また、株価の１円も、上場の初値予定が６０万円前後の水準であり、この値段よりの乖離度から判断して異常であることも自明なのです。

　上記の二条件から判断しても、インプット拒否すべき処理であることは自明であり、警告メッセージで済ませるべきインプットではないはずです。

　どうしても、例外的なデータをインプットする必要があれば、例外インプット処理用の端末インプット画面を設定し、厳重な承認処理手続きを経てインプットすべきなのです。

　全くの初歩的な部分のミスを排除すべきシステムが組み込まれていないことが根本的な原因ということになります。

■２）論理が組めないものはプログラム化できない。

　この原則は、コンピュータは万能と考えている人がおり、コンピュータに過大な期待を寄せすぎる人に対して説得するときに利用する原則です。

　設計する人間が論理的に考えて、ロジックとして組み込むことができないものは、コンピュータ処理不能であり、システム化できない部分であり、人的な対応が必要であるという意味です。

　また、論理的に組み込むことが可能でも、コンピュータの処理能力の限界を超える処理はシステム化できない場合も多いということです。

　今回の誤インプットは、論理的に組み込むことが可能なものであり、当然システム設計の段階で組み込んでおくべきロジックと言えます。

　この点では、東証側のシステムの欠点を露呈したことになります。

■３）最終的には、人間の管理能力を組み込むこと。

　コンピュータシステムも所詮は人間が作り上げたシステムに過ぎません。

　配慮不足や機能不足は数多く内包するシステムであるということです。

　いわゆる、明確にバグといわれる異常な動作以外にも、今回のような機能設計上の漏れが存在するということです。

　通常は起こりえない「想定外」のトラブルが発生することは、システム開発に関与した人間ならば実感できる現実です。

　異常事態が発生した場合を想定して、システム上は、強制取引処理というものを組み込みます。

　取引処理を人為的に強制的に停止する機能を組み込みます。

　停止には、全面的にシステムを停止するケース、部分的な限定した取引を停止するケース、異常な取引のみを停止するケースといろいろあります。

　今回のケースでは、みすほ証券の取引のみを取り消す処理が当然組み込まれていたはずですが、これが正常に機能しなかったということが、損害を大きくした要因となっています。

　損失を東証にも負担させるということになる根拠になっているようです。

　誤入力に気がついた場合には、端末インプット側から取消処理するケース、コンピュータセンターの管理者による強制取消処理が当然組み込まれているはずです。

　これが、今回のケースでは、取消処理が正常に作動しなかったということで、被害が拡大することになったようです。

　しかし、コンピュータシステムが正常に稼動しなかった場合でも、システム運営者から全端末に異常取引の停止メッセージを発信することも機能としては組み込まれているはずで、このメッセージを発信すべきであったとも思われます。

　マスコミを利用しての広報の方法もあったはずです。

　残念ながら、システムの異常動作は、よくあることであり、異常が発生した場合には瞬時の状況判断を要求されます。

　コンピュータ管理者には、迅速な対応処理が求められることになるのです。

　即ち、どんなに精緻に作られたシステムでも最終的には、「運用・管理する人間の能力」に依存することが大ということになります。

　人間の管理能力とコンピュータの処理能力の両者の能力を組み合わせた「マンマシンシステム」の設計が【重要】という教訓となります。

　以上、「コンピュータ利用の三原則」をみすほ証券事件に当てはめ、簡単に考察してみました。

■それにしても、みずほ証券の誤発注問題では、わずか１６分間の間に「結局は４００億円」の損失が発生したわけですから、コンピュータ社会の脆弱性を再認識する契機となります。

　最近では、個人でも、ホームページの画面を１回押すだけで、株の取引や買い物が瞬時に成立する時代になっています。

　われわれの身近な問題として、単純なインプットミスの怖さを再認識すべき事件であったといえます。

　みずほ証券と同様の株式取引の発注ミスは、２００１年の電通の株式上場の際にも起ていました。外資系証券が「６１万円で１６株の売り」とするところを、「１６円で６１万株の売り」と誤って発注したケースだったようです。

　株数と株価の入り繰インプットミスは発生しやすいということです。端末のインプット画面の設計に問題があるのか、インプット指図書の設計に問題があるかの原因を追究し、再発防止対策を厳重化すべきであるのは当然のことです。

　同じ２００１年、別の外資系証券もいすゞ自動車株の９万株の売りを９０００万株の売りと誤発注した事例もあったようです。

　急増している個人投資家のネットでの株取引も、コンピューターに株数、売買価格を書き込んで売り買いするという意味ではみずほ証券とまったく変わりません。

　個人取引の場合には、個々人の預かり株数や個人の信用限度により取引の異常を発見する仕組みが組み込まれているはずですから、今回のような大事件にはならないとは思われますが、大なり小なりのリスクが発生することは事実です。

　株取引以外でも、一昨年には総合商社丸紅のネット直販サイトでＮＥＣ製パソコンの販売価格１９８０００円を１９８００円とゼロを一桁ミスインプットし、買い注文が殺到した事件を思い出します。結局、丸紅は１９８００円で販売せざるを得なくなり、約二億円の損害を出したとされ、直販サイトは閉鎖されてしまいました。

　システム設計に係る人間にとっては、システム設計上で、いかに誤操作や誤入力を発見し、排除するシステムを組み込むか。

　誤操作や誤入力が発生した場合でも、システムの被害が拡大する前にシステムの機能を取り消す方法を組み込みか。

　異常事態が発生した場合に、組織として異常事態に対応するための人材の教育と訓練を心がける必要があります。

　また、個人的にネット取引の利用者立場としても、単純なインプットミスから大損害を発生させるネットワーク社会にわれわれは生活している訳であり、最後のインプット確認には細心の注意が必要あるということを肝に銘じておきたいものです。

【編集後記】

　みずほ証券の決着は、みずほ証券の４００億円の実損発生、東証トップの退任と減俸、富士通の経営幹部の減俸処理ということと、誤入力と気付きながら、大量の株取引により利益をあげた大手証券会社の利益処分の問題へと決着に向かいつつあります。

　しかし、この問題は、各方面に大きな後遺症を残すことになるものと思います。

　システムに係る者として、大きな教訓としたいものです。

　今回のメールは、今年最後のメールになるものと思います。

読者の皆様には、今年もこのメールをお読みいただきありがとうございます。

来年も、その時々のトピックスを捉えて、コメントしていきたいと思います。

来年もよろしくお願いいたします。

■（続）インターネットバンクのセキュリティー対策

■前回は、インターネットバンキングのセキュリティー対策について考察しました。
銀行も対応策として具体的な対策を次々と発表しています。
インターネットバンキングを実際ご利用の方は、ご存知と思いますが、お取引銀行からセキュリティー強化対策の通知されていると思います。

今回は、新生銀行の具体的な対応策の事例をベースに対策の概要をご紹介したいと思います。
皆さんの取引銀行のインターネットバンキングサービスのセキュリティー対策と比較してみてください。

【新生銀行】のケースを中心事例として、【注】は著者がコメントとして追加したものです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

【新生銀行のインターネットバンキングの具体的なセキュリティー対策】

● 128bit SSLの暗号化通信方式の採用

インターネットで送受信される情報は伝送中に盗聴されることを想定して、保護のため暗号化され送受信されます。この暗号化通信方式には現時点でもっとも解読が困難といわれている128bit SSLが採用されています。

【注】※SSLとは・・・Secure Sockets Layerの略。米Netscape社によって提唱されたプロトコル（通信の方式）。通信の暗号化と認証を行なうことによって、第三者によるデータの盗用や改竄を防ぎます。
現在、同社のNetscape Navigatorや米Microsoft社のInternet Explorerに実装されています。


● 複数の確認コードによるご本人確認

新生パワーダイレクトでは、３桁の店番号と７桁の口座番号を続けた１０桁の番号、４桁の暗証番号、パワーダイレクトパスワードの「３つの確認コード」により、お客さまご本人であることを確認しております。

【注】新生銀行では、口座番号と２つの暗証番号を利用していますが、口座番号は一般には入手しやい番号です。ＡＴＭを利用したメモ帳がＡＴＭコーナーに落ちている光景をご覧になることが多いかと思います。
また、振込口座等を相手に知らせる場合等で比較的目に付きやすい番号です。少々問題ありと思います。
従って、一般的にはインターネットバンキング利用契約時に特別な契約者番号を発行し、これを利用します。

●パワーダイレクトパスワードの変更は、いつでも新生パワーダイレクトバンキング画面の「お客さまサポート」の「パスワード変更」にてお手続きできます。セキュリティをより確実にするため定期的にご変更ください。

【注】定期的に変更しなさいという警告は、最近のインターネットバンキングのログイン時の警告ですが、前回も述べたように、変更するとどれがどの暗証であったか混乱してしまいます。現実問題として難しいと実感しています。理論と現実の相違を感じる問題ですね。

● セキュリティキーボードによる暗証番号・パスワード入力

セキュリティーキーボードは、画面上のキーボードをマウスでクリックし、パスワード等の入力をしていくもので、キーボードの操作履歴が残らないため、通常のキーボードより安全な入力方法です。特にインターネットカフェ等の不特定多数の方が使用するパソコン等をご利用の場合は、セキュリティーキーボードをお使いになることを強くお勧めいたします。
（※安全な取引のため、基本的にはそのようなパソコン等でのご利用はお控えください。）

【注】このセキュリティーキーボードは、別称、ソフトウエァキーボード、ソフトキーボードとも呼ばれています。
実際には、YahooカフェのＰＣにスパイウェアが組み込まれており、実害が発生した事例が発生しています。

【注】パスワードに関しては、固定のパスワードを入れる方法と入力のたびに変化する方式の二種類があります。
☆三井住友銀行の例では、第二暗証番号の入力方法として、４Ｘ４の１６種類の２桁の数字の表示のあるカードを配布し、この縦横の行・列をランダムに表示し、４桁の数字を暗証番号入力する方式を採用しています。

☆みずほ銀行では、第二暗証は、従来は、６桁の固定入力方式でしたが、６桁のうちの４桁をランダムに入力させる方式に変更になっています。

【注】以上のように、暗証番号も固定方式からランダム方式に変更になってはいるのですが、実際には事故が発生しています。犯罪者の悪知恵は一般には想像できない方法を活用しているようです。

【注】先月、ＵＦＪ銀行のＡＴＭに小型カメラがセットされ、ＡＴＭでの入力データを撮影するという事件が発覚しましたが、これなどもどうしてこんな発想になるのか想定外の事件でした。

● 各種お取引限度額の設定

[振込・振替に上限金額を設定いただけます]
   
2005年12月1日から、１日あたりの振込および振替の合計上限金額が一律50万円に設定されております。当初の設定は一律50万円ですが、お客さまのご要望により上限金額を変更いただくことも可能です。
１．振込・振替限度額が５０万円といたしました。

2005年12月1日から、１日あたりの振込および振替の合計上限金額を一律５０万円に設定いたしました。当初の設定は一律５０万円ですが、上限金額を変更いただくことも可能です。

【注】他行のインターネットバンキングでも同様ですが、取り扱い金額に制限する方式が定着化するようです。事故が発生した場合でも被害金額を小額に抑えるための方法ですが、これを越える金額を振り込む場合には、銀行の店頭に並ばなければならず、不便になりますね。
セキュリティー強化の代替として、不便を我慢せざるを得ないということでしょう。
 
２．「パワーダイレクトパスワード」のセキュリティ強化。

2005年12月1日からパワーダイレクトパスワードについて、90日ごとに、ログイン時にパスワード変更をおすすめするメッセージが表示されます。セキュリティ強化のため、ぜひ定期的な変更をお願いします。
また、次回のパスワード変更時から、数字ではなく英文字と数字の両方を使ったパスワードの設定が必要となります。

【注】定期的にパスワードを変更することを警告するシステムが一般化しています。
しかし、実際はなかなか難しい問題です。

【注】数字だけのパスワードから英数字に変更により、パスワードの強化には結びついています。


● 各種取引通知メールのご提供

　新生パワーダイレクト内の「お取引通知メール」にご登録いただくと、下記の変更を実施した際に通知メールが発信されます。

１）振込がエラーとなった場合
２）ＡＴＭ出金・J-Debit利用限度額を変更した時
３）パワーダイレクトパスワードを変更した時
４）通知メールアドレスを変更した時 

【注】これにより、見に覚えのない取引が発生した場合気づくのが早くなるという効果を生み出します。

※お客さまへ安全のための新生銀行からのお願い

[ パスワード ]
・ パワーダイレクトパスワードは、誕生日や電話番号など第三者から推測されやすいものは避けてください。
・ パワーダイレクトパスワードと同じ番号を、銀行取引以外の取引で使用しないことをお勧めいたします。
・ パワーダイレクトパスワードは、メモに残したり、パソコンに記憶させたり、電子メール等に記入したりしないでください。 
・ 安全のために、定期的にパワーダイレクトパスワードを変更することをおすすめします。2005年12月1日からは、90日ごとにパスワード変更をおすすめするメッセージが出るようになります。新しいパスワードには英文字と数字を両方混ぜた設定が必要になります。
（パワーダイレクトパスワードは、パワーダイレクトのメインメニュー「お客さまサポート」の「パスワード変更」にて変更できます。） 
・ 当行行員が、暗証番号やパワーダイレクトパスワードを、口頭や電子メールでお伺いしたり、お知らせしたりすることはありません。 
・ 万一、第三者に暗証番号やパワーダイレクトパスワードを知られた恐れがある場合は、すぐに変更していただくか、新生パワーコール（0120-456-007）までご連絡ください。 
・ 海外でインターナショナルキャッシュサービスをご利用の場合は、帰国時に暗証番号を変更されることをお勧めいたします。 
・ 不審なEメール等をお受取になった場合は、お手数ですが新生パワーコール（0120-456-007）までご連絡ください。 

[ ログイン・ログアウト ]
新生パワーダイレクトにログイン（確認コードを入力しログインボタンをクリック）していただきますと、画面に「前回のご利用日時」が表示されます。毎回ログイン（バンキングのご利用）の際にはご確認の上、不審な点がございましたら至急、新生パワーコール（0120-456-007）までご連絡ください。また、新生パワーダイレクトではログインしたまま一定時間お客さまからの入力がない場合には、自動的にログアウト（切断）をする仕組みになっていますが、離席する場合などは必ずログアウトを選択してください。

[ ご利用パソコン ]
安全なお取引のため、インターネットカフェ等の不特定多数の方が利用されるパソコンでの、新生パワーダイレクトのご利用はお控えください。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以上が新生銀行のインターネットバンキングのセキュリティー強化対策の具体事例です。

読者のみなさまも、ご自身の銀行でインターネットバンキングサービスをご利用のことと思います。
どんなセキュリティー対策がとられているのか、一度じっくり検証してみることをお奨めいたします。

【編集後記】

あっという間に、１２月になってしまいました。今年も残り一ヶ月となりました。

今年もいろんなことがありました。

特に、銀行のセキュリティー対策に関しての強化策が話題になった年だったように思います。

今年も残り少なくなってきましたが、積み残した仕事をさっさと片付けて、新年を迎えたいものです。