情報セキュリティの10大潮流 [7] 安全安心な電子社会の構築 第2の潮流「安全な商取引の展開」【前編】
本連載では、情報セキュリティの進化の中、10大潮流を取り上げています。各潮流は「セキュリティ管理の確立」と「安全安心な電子 社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考
特集
特集
─
1.電子商取引の拡大
(1)電子取引の拡大
インターネット利用者は、総務省の通信利用動向調査によると年々増加しており、利便性の享受とともにネットワーク上での一般消費者の電子商取引も着実に増大しています。また、近年の消費者を取り巻く新しい環境としては、インターネットの普及に伴って消費者自ら海外から直接購入する現象も挙げられます。一方で、代金を支払ったものの製品が到着しないといった金銭的被害など、様々なトラブルも発生しています。
(2)インシデントの状況
平成20年中に報告された不正アクセス行為の発生状況によると、不正アクセスの件数は毎年増加しています。不正アクセス行為の認知件数は2,289件(前年1,818件)、この中でインターネット・オークションで他人になりすまして出品する等が1,559件(前年1,347件)であり、次いでオンライゲームの不正操作457件(前年246件)、ホームページの改ざん・消去152件(前年25件)でありました。不正アクセス禁止法違反事件の検挙件数は1,737件(1,438件)で、そのほとんどが、他人の識別符号を入力する「識別符号窃用型」で1,736件(前年1,438)、その手口について、利用権者のパスワードの設定・管理の甘さにつけ込んだものが1,368件(139件)、フィッシングサイトにより入手したものも88件(1,157件)で上位を占めています。フィッシングとは、正当な電子メールを装って、パスワードやPIN(暗証番号)などの個人情報やセキュリティ情報を取得しようとする手口のことです。
消費者向け電子商取引の市場規模の推移(内閣府 平成20年度国民生活白書)
http://www5.cao.go.jp/seikatsu/whitepaper/h20/10_pdf/01_honpen/pdf/08sh_0101_04.pdf
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の
状況(国家公安委員会)
http://www.npa.go.jp/cyber/statics/h20/pdf47.pdf
2.アクセスの認証がキー
(1)求められる効果的な認証
非対面取引である電子取引では、なりすましが発生し易く、ID・パスワードの詐取によるインシデントが増加しています。このため、金融関連サービスを中心として厳密な本人確認が求められ、法的にも金融機関等による顧客等の本人確認等に関する法律(本人確認法、平成14年)が制定されました。多くのケースではID・パスワードのアイデンティティ情報を使って認証を行いますが、簡易なパスワードのために他人に知られたり、フィッシングなどの手口によりアイデンティティ情報が詐取されることが多くなっています。このため公開鍵暗号による電子証明書の利用や、ワンタイムパスワードやICカードなど複数の認証手段を使う2要素認証やバイオ認証なども広く使われるようになってきました。しかし、一般のネットショッピングなどでは、ビジネス使用とは異なり、運用コストの観点から、依然としてID・パスワードの使用が大勢を占めているのが現状です。
(2)重要性が増すアイデンティティ基盤の形成
今日多くのサービスがインターネットを通じて行われているため、認証用に個人が所有するアイデンティティ情報(ID・パスワードなど)の数は増え続けています。この結果、アイデンティティ情報の扱いが煩雑で管理負担が増える結果、盗難や漏えいに繋がり、なりすまし詐取のリスクが増える一方です。これに対して、1つのID・パスワードで複数のWebサイトにアクセスできるようになるシングルサインオン(SSO)機能の広がりが期待されています。特にアイデンティティ・フェデレーション(アイデンティティ連携)と呼ばれる、異なるWebサイト間でシングルサインオンを実現する技術も急速に進展し注目されているところです。この新たなアイデンティティ基盤の形成により複数のサイトが容易に連携され、旅行の交通手段から宿泊、イベント参加など異なるサイトの複数サービスをワンストップで利用することが可能になってきます。アイデンティティ連携に関わるデファクトスタンダードの動きについては、マイクロソフトのWindows CardSpaceや、SUNを中心としたリバティアライアンス、マイクロソフト、ベリサインや野村総研等が参加するOPEN IDの動きが注目されています。
(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティ
マネージャ 林 誠一郎)
【関連リンク】
情報セキュリティの10大潮流
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》