もしもの時の対応を事前に考えて顧客本位のサービスを提供することが重要
2021年3月 | Expert interview
サイバーセキュリティーの問題はセンセーショナルな事件だけが注目されがちです。しかし、効果的な対策をとるためには現状を冷静な視点で捉える必要があります。ここでは、セキュリティーのエキスパートであるJapan Digital Design株式会社のCTO 楠 正憲氏にサイバーセキュリティーの現状と、今の時代に考慮すべきリスク、さらに認証デバイスとしての携帯電話の評価などについて伺いました。
Japan Digital Design株式会社 CTO 楠 正憲 氏
三菱UFJフィナンシャル・グループのJapan Digital Design株式会社でCTOとして次世代金融サービスの開発エンジニアを率いている。ヤフー株式会社在籍時にはID認証とサイバーセキュリティーを担当。現在もセキュリティーのエキスパートとしてカンファレンスでの講演活動なども行う。2011年から内閣官房 社会保障改革担当室 番号制度推進管理補佐官としてマイナンバーとマイナポータルの構築に貢献。一般社団法人 OpenIDファウンデーションジャパン代表理事。
Japan Digital Design株式会社
セキュリティーレベルは向上するが攻撃側は分業を進める
サイバーセキュリティーの現状について楠氏は、”報告されない事例があるので全体像を把握するのは難しい”としながらも次のように解説してくれました。
「金融機関やIT企業は多くの資金と人員を投入してセキュリティーの強化に取り組んでいます。例えばネットバンキングに対するフィッシング詐欺の被害については徐々に減少する傾向にあります。しかし、新しい攻撃手段が見つかると一時的に被害が増え、対策が進むと再び減少に転じるという流れを繰り返しています」
防御側の対策が進む一方で、攻撃者の側では分業化による技術の高度化が進んでいるそうです。
「匿名性の高い仮想通貨(暗号資産)の登場で、犯罪者間での利益の分配が容易になりました。これによりサイバー犯罪の実行犯と、彼らにツールを提供する者の分業化が進み、一種のエコシステムができあがっています」(楠氏)
国境を越えて行われるサイバー犯罪はなかなか捕まらないという印象がありますが、海外では捜査機関の国際的な連携によって多くのサイバー犯罪が摘発されているそうです。
「米国やEUではサイバー犯罪の温床となっていたダークウェブサイトを閉鎖したり、仮想通貨を使ったマネーロンダリングに対する対策も進められています」(楠氏)
サイバー犯罪が行われる背景には多くの要因があり一朝一夕には解決しません。サイバーセキュリティーにおける攻守の綱引きは、今後も続いていくことが予想されます。
システムの前提条件が変わった時にリスクが高まる
日本では2020年、キャッシュレス決済に関連した不正利用の問題が大きなニュースとなりました。楠氏は不正利用が発生した要因のひとつに、システムが想定した前提条件とは異なる使われ方をした点があると分析します。
「不正利用が行われたシステムのひとつは、公共料金の引き落としなどの限られた範囲で使われていた頃には、大きなトラブルはありませんでした。しかしこのシステムをキャッシュレス決済という不特定多数が利用するサービスに連携してしまったことが不正利用の発生につながったと思います」(楠氏)
設計の前提となる接続先や使い方が変わった時には、当初の想定とは全く異なるリスクが生まれる可能性があります。例えば、もともと外部からの接続を想定していない古いシステムにゲートウエイを追加してリモートワークに対応したり、外部のクラウドサービスと連携すると前提条件が変わるのでリスクを再評価する必要があります。
楠氏は、前述の不正利用のようなケースはどの会社でも起きうることだと警告します。
「それなりに歴史があって、過去に大きな問題を起こしていないシステムの安全性を疑うことは難しいものです。システムの運用・保守を行っているIT部門の方であれば、形は違えども、同じようなヒヤリハットを経験することがあるのではないでしょうか」
不正利用が起こることを想定してサービスを構築すべき
楠氏はまた、ビジネスの観点から見た場合、システムのセキュリティーを高めるだけでなく、事業全体として顧客本位のサービス設計をすることが重要だといいます。
「全く不正利用がない状態を作ることができればよいのでしょうが、セキュリティーにそこまでコストをかけてしまうと事業として成り立ちません。サービスを構築する際に、ある程度不正が起こることを前提として、被害報告があったときの対応や、誰がどうやって保証するかなどをあらかじめ決めておくべきです。特に複数の企業が連携するサービスでは、それぞれの責任範囲や対応を明確にしておく必要があります。問題が発生したときにお客さまを取り残さないようなサービス設計をしておくことで、多くの人が不幸になる事態を防げるはずです」
認証デバイスとして有力なスマートフォン 課題はスムーズなデータ移行
認証デバイスとして使われることが多くなったスマートフォンについてセキュリティーの専門家はどのように評価しているのでしょうか。
「スマートフォンはセンサーの塊で生体認証の機能を備えていますし、暗号鍵管理のための特別なハードウエアもPCに先んじて搭載されています。しかも本人が肌身離さず持ち歩いているので紛失にもすぐに気がつき、通信機能を使って遠隔消去することもできます。多くのお客様に提供するサービスにおける認証デバイスは、もうスマートフォン一択になってきていると思います」(楠氏)
ただし、紛失や機種変更時の認証情報の移行にはまだ課題が残るといいます。
「スマートフォン用の認証アプリを使っていると、サービス一つひとつの認証情報を移行するのにとても手間がかかります。生体認証を使ったパスワードレス認証規格であるFIDOもセキュリティー面ではとても有望ですが、機種変更や紛失時のアカウントリカバリーを、ユーザーに負担をかけない形でデザインできるかどうかが普及のカギとなるでしょう」(楠氏)
システムの発展とリスク変化のイメージ
時間の経過とともに外部との接続が増えることで、 システム構築当初の想定とはリスクが変わってしまう。
本記事は、Japan Digital Design株式会社の楠 正憲 氏への取材に基づいて構成しています。
本記事は、情報誌「MELTOPIA(No.255)」に掲載した内容を転載したものです。