2011年10月17日
内海 善雄 | 国際電気通信連合(ITU)前事務総局長 | 経歴はこちら>> |
---|
ちぐはぐなセキュリティー
銀行のオンラインシステムは、かつては、外のシステムとは接続されておらず、自行内で完全に独立したものであった。そのうちネット・バンキングのサービ
スを行うためにインターネットに接続された。その瞬間、銀行システムは、ハッカーの攻撃を受ける大きなリスクを負ったのである。もちろん銀行システムには
強固なファイア・ウォール(遮断壁)やウイルス対策が施されているが、知恵を絞るハッカーの攻撃を完全に排除する保証はない。更に、顧客は、自分に成りす
まして預金を盗まれるリスクも負ったのである。
日本の銀行では、パスワードと25個の乱数が記入された簡単な乱数表(カード)だけで本人確認をしている。使用したパスワードと乱数を、ウイルスなどを
使って盗むと、本人になりすますことが可能だ。証券会社などは、乱数表さえも使っていない。一方、例えばスイスの郵便局や銀行は、顧客に本人のICカード
とパスワードがなければ使用できない乱数発生器を配布して、取引のつど異なった乱数で本人確認をおこなっている。従って、ICカード自体を物理的に盗まな
い限り、本人になりすますことは不可能だ。日本の金融機関の安全度は、まことに低いといえる。
ところが、国税庁の電子納税システムでは、個人認証を本人だけしか持たない住民基本台帳カードと公的認証機関とを使って行っている。税金を納める者の本
人確認が、銀行から預金を引き出す者の本人確認よりも、よほど徹底的に行われているのである。しかるに税務署では、書面による確定申告をする場合は、一切
の本人確認を行っていないのが実態だ。これでは、あまりにもバランスを欠く取り扱いではないか。
最近起きているサイバー犯罪は、大量の個人情報を取り扱う企業や政府機関のサーバーから、顧客情報を盗み出すというものである。アタックを受けた企業の
みならず、情報を盗まれた多数の個人が被害を受ける。ソニーの海外子会社が襲われたケースが記憶に新しい。被害を被った個人は、自分では防ぎようがないか
ら、十分な対策をとっていなかった企業の責任は極めて重い。オンライン取引のように、多数の顧客とインターネットを経由して重要な個人情報を扱わなければ
成り立たない業種のシステムは、考え得る最高のセキュリティー対策をとる必要があるが、日本の現状は,決して十分とは言えまい。私物のPCを業務に利用
し、そのPCからファイル共用ソフトで個人情報が流出したというよくある不祥事は、初歩的なセキュリティー対策さえも採っておらず、サイバー・アタック以
前の問題である。
しかし、いずれにしてもこれらの「コソ泥」的なサイバー・アタックは、個人レベルでは、最新のウイルス対策ソフトや、ファイア・ウオールの導入により、
また、企業レベルでは、それらに加えて、外部との通信の管理を徹底することなどで防げる。要するに、出入口には鍵をかけ、用心棒を置き、大事なものは外か
ら手の届かない金庫にしまっておくことで対処できるものである。
国債格付けの引き下げ時代。10月に入っても、格下げが連発された。そのニュースをめぐって、新聞3紙の扱いが大きく異なっている。何を意味するのか、勝手に考えてみた。 ① 10月5日、ムーディ・・・>>続き
東日本大震災からの本格復興に向けた第三次補正予算の編成と復興資金の財源確保に関して、先週、野田内閣は「平成23年度第3次補正予算及び復興財源の基本的方針」を閣議決定した。 内閣は主たる増税策・・・>>続き