セキュリティに関して一段とうるさくなってきているが、何が本当に安全なのかがわからなくて困る。
こちらに来て初めて作ったクレジットカードは、作って4ヶ月後にオンライン詐欺にあった。人に話したら、何人かに自分も前に詐欺にあったと言われたので、こちらは多いのかもしれない。
どうしてわかったかというと、オンラインでクレジットカードの明細を見ようと思ったら突然カードのアカウントが消えていた。カード会社に電話をしたところ、「昨日オンラインで使用されたものが詐欺だと思われるのでカードを使用停止にした。その怪しい引き落としのPCアクセスはロスからで、名前はDaniel(違う名前だったが忘れた)だ。引き落とし先の連絡先と引き落とし番号を教えるからそこに確認してほしい。カードは新しいのを送る。」ということだった。前日にランチで使ったばかりだったので、この電話が信じられず前日に使った先を確認したらずばり当てたので、本当だと思えた。
その引き落とし先は、ラグジャリーな旅とかラグジャリーなバスルームグッズとかを売っている会社だった。そこで$500くらいのバスルームグッズを買ったらしい。そこの会社に電話して事情を話して番号を確認してもらうと、驚いたことに謝ってきて、私は何も買ってないことを確認できた。そこでカード会社に確認した旨を伝えると、手紙を送るから正式にその詐欺にあったカードのアカウントの停止を承認して送り返してほしいと言われた。
すぐに新しいカードは来て、問題はなかった。じきに手紙も届いた。請求書に関しては、その詐欺の項目も含まれているが、その金額を除いた額だけ支払えばいいということだった。ちなみに、こちらは口座自動引き落としというのが、一般化していない。カードは毎月自分で、支払える分だけ払うことになる。最低金額はあるが、$10とかかなり小額だ。
この件で驚いたのが、カード会社が気づくほどオンライン詐欺が多いのだろうか?
銀行はさぞたいへんに違いないと思い、銀行のオンラインアカウントのセキュリティをいくつか比較してみた。
------------------------ <アメリカ> -------------------------
1.Bank of America : 画像を選びそれに自分で文章を書くことで Site Key を作っておく。ユーザー名を入れると毎回それらが表示され、そこに決めておいたパスワードを入れる。銀行のホームページを模倣してユーザー名とパスワードを入れさせて盗む詐欺を防ぐため、その Site Key を確認して、正しければ本当のページということになる。
2.Union Bank of California : ユーザー名とパスワードのみ
------------------------- <日本> ---------------------------
3.三井住友銀行 : 契約者番号と第二、第三暗証番号が書いてある暗証カードが送られてくる。しかも固定暗証番号ではない。口座番号、普通の暗証番号の他に、これらを入れなければならない。暗証番号入力時にバーチャルパッドを使用。
4.シティバンク : 郵便で送られてきた暗証番号と自分で決めた暗証番号が必要。暗証番号入力時にバーチャルパッドを使用。
-------------------------------------------------------------
狙われやすいアメリカよりも日本の方がしっかりしているが、暗証番号が増えることは好ましくない。
大量の暗証番号に辟易してはいるものの、やはり心配なのでついいろんな番号を作ってしまう。とはいうものの、使いまわす番号も出てくる。ある日本の通販のホームページで会員登録したところ、ご丁寧に登録確認メールに、名前から住所、パスワードまで書いて送ってきてびっくりした。こういうところがあると、芋づる式にパスワードがばれる可能性があるので、本当に困る。
そこでセキュリティレベルの統一規格を決めて、そこで認証試験を通ったものにロゴをあげてほしいと思う。そのレベル毎に扱えるIDを決めればID情報の漏洩による影響も最小にできるし、また提供する側も扱うサービス内容に応じてレベルを選べることになる。
今でも私達は扱うサービスによってレベルを自分の中で決めてパスワードを使い分けているはずだ。つまり、レベルの低いサービスにはパスワードAを、セキュリティレベルの高いサービスにはパスワードBを使っているのではないだろうか? レベル毎に扱えるIDを決めるというのは、それと同じことだ。
いろいろなホームページに会員登録があるが、そのページが安全かどうかはそのレベルのロゴで判断できれば、どのパスワードを使えばいいか決められる。
さらに、同じ会社の同じサービスでも、セキュリティレベルによって会費に差をつければいい。これは銀行が生体認証カードかICカードかによって値段を変えているのと同じことだ。安全をお金で買うのだ。
セキュリティ上シンクライアントが進み、サーバー側ではハイレベルなセキュリティが必要とされる。企業はともかく、個人データをサーバーに置けるかというのは、まだ難しいところだと思う。やはり自分の手元のPCの方が安全な気がしてしまう。でもよく考えてみると、個人のお金は金の延べ棒にして家の金庫に入れるより、銀行に預ける方が安全だと思えるようになっている。データは財産ではないかもしれないが、他人に見られるのは危険なので、データもサーバーに置いたほうが安全だと思うようになるのだろう。
そのときもやはり、サーバー側はいくつかセキュリティレベルを提供し、ユーザーは自分の置くデータの重要性にあわせていくら払うかを決める。これは、保険に似ている。例えば、火災保険の金額を決めるときには家の価値に応じて保険の金額を決めるはずだ。
このように規格化された多様なセキュリティレベルをロゴで示してくれると、安心して使えると思う。
4 件のコメント:
セキュリティレベルのロゴというのはおもしろいアイデアだと思う。
でも、イタチごっこのセキュリティの世界で誰が安全を認定をできるか、というところが一番の課題じゃないかな。
それから銀行とかのロゴを申請する側のメリットを明確にする必要があると思う。セキュリティレベルの最低ランクを満たしていますというロゴは、お客様に逆に安全ではないという印象を与えるかもしない、また攻撃者には簡単に攻撃できるサイトと思われるかもしれない。
ここまで書いて思ったのたんだけど、こうした認定は国や天下り先の何とか協会がトップダウンでやってしまっても形骸化してうまく行かないだろう。もっと一般の消費者主導で進めるべきのように思った。
時代が変わっていく中で消費者が何を不安に思うか、何を安全だと思うか、口コミを含めて情報を集めて、セキュリティレベルの分類をする。
企業側はその消費者のが求める市場の要求条件を自社が満たせているのか、また他社を越えるにはどうしたらいいか、というように消費者と企業で相互作用が働くのが健全だとおもった。
ロゴの目的は、安全を売ること。安全は今やお金で買うものだから、安全を売ろうという発想。「セキュリティマーケティング」ってところかしら。
だから、消費者でなく、ロゴを申請する側に商品として売るメリットがあるのでロゴをつける。
お客は安全でないという印象をもつというよりも、お客はもう少し賢いもの。この商品は安全性は低いから、こういう使い方をしよう、あるいはもうちょっと安全性の高い商品を買おう、と目的に応じて判断するものだし、人によって基準は様々。
いい例が、Amazonで本を買おうとすると、たくさん候補のサイトがでてきて、それぞれのサイトに評価がついていて、かつ同じ本でも値段が違うわけ。買う人全員が同じサイトを選ぶってことはありえない。安全と値段のトレードオフで、判断は個人に委ねられるから。
どう?
情報セキュリティ対策の成熟度によって企業を格付けするための「情報セキュリティ格付け制度研究会」というのが、NTTコミュニケーションズ、松下、富士ゼロックス、格付け投資情報センターによって設立されたらしい。
格付けレベルは6段階で、AAAISM, AAISM, AISM, BBBSIM, BBISM, BISMとしているらしい。
自分が思いつくようなことは、誰でも考えているものよね。
セキュリティのブランド力のある企業が格付けのノウハウを持つ組織と手を組んでセキュリティの格付けを行うのは面白い取り組みだと思う。
レストランやホテルの五つ星ランクのように最高ランクを際立たせ、各社が自ら努力するような仕組みであれば有意義だと思う。
英検4級みたい最低ランクはクリアしていることのお墨付きを与えるものでは意味がないと思う。
でもやっぱり消費者主導の方が面白くない?ホテルやレストランのレビューのランク付けのように。
コメントを投稿