別途有償でご提供中の「会員制NIS-Be」では、毎月定例的に情報共有する「NIS-Be通信」を発刊しています。ここに、専門記事を除いた一部を「NIS-Be通信+」として投稿します。(今後も1ヶ月遅れで公開します。)
【最新の話題:新聞等のセキュリティに関する最近の話題(概要とコメント)】
- 今年に入って、セキュリティに関する記事を見ない日がないという状況だが、9月に入ると、いちだんと増加し「ドコモ口座の不正利用」については、9月7日の一報から、連日紙面を飾っている。身近な話題の為か、仕事の打合せだけで無く、家庭でも「2段階認証」とか「二要素認証」「多要素認証」と言う言葉が飛び交っており、注意喚起の良い面と、誤った認識の広がりへの危惧を感じている。(用語解説参照)
(参考:「ドコモ口座不正、地銀を標的に」9/9日経新聞)
- また、9月16日の新内閣発足に伴い、普段は話題にもならないIT関連が「デジタル庁創設」と大きな話題になり、従来から存在した、セキュリティ関連対応も今後大きな影響を受けると思われる。その前哨戦の如くに8月下旬頃から「電子認証」や「クリアランス」の記事が散見され、来年に向け色々な動きが加速されると想定されるが、今回の主管となる平井大臣も関与された20年近く前の「電子政府」や「府省共通化」の失敗(効果有りも目標未達)から学んでの推進が期待される。
(参考:「統治機構改革、「デジタル庁」を突破口に」9/19日経新聞)
(参考:「先端情報共有に資格」8/28日経新聞)
- 一方で地味な記事であるが、サプライチェーンに対するサイバー攻撃」をテーマにした記事が掲載され、その中に我々Eva社も関与している「サイバーセキュリティお助け隊」の活動についても言及されており、世間の注目も高まっていることを感じる。
(参考:「サイバー攻撃 供給網の穴(上、下)」9/14,15日経新聞)
【連載:読者への情報提供(用語解説、NIS-Be案内)】
- 用語解説
《二要素認証》 利用者本人確認などの認証において、二つの異なる原理の認証手段(①本人しか知り得ない情報《パスワ-ド、秘密の質問等》で認証、②本人しか持ち得ない物《乱数表、携帯電話等》で認証,③本人の身体的特徴《指紋、静脈等》で認証)を組み合わせて用いる事で、認証の精度と安全性を高める手法。(IT用語辞典など参照)
類似語で「2段階認証」という言葉があり、「二要素認証」も概念と して包含されているが、この手法では「二つの異なる原理の認証」と限定していないため、安全度において劣る場合が有り、用語の使用などに留意が必要である。例えば旧来から良くあるやり方で、入り口と資金移動時に異なる2つのパスワードで認証する方法があるが、この場合は原理が同じ(上記の①)で有り、同時に情報が流出するリスクが大きいと想定される。一方の「二要素認証」の代表例では、入り口はパスワードで認証(上記①)し、資金移動時は別途個人所有の携帯電話にSMSなどを利用してワンタイムパスワードを送付し認証(上記➁)する方式など、原理の異なる二つの手法による認証組み合わせで安全性を確保している。
また、「二要素認証」の概念を拡充した言葉として「多要素認証」という言葉が有り、2つの要素に限定せずもっと安全性を高める(身体特徴の組み合わせ追加など)必要性からも、IPAもこちらの用語を最近は使用しており、Eva社としてもこの「多要素認証」という言葉で、活動を推進していくつもりである。
ただ「多要素認証」であっても、各要素の「本人だけが」という条件が、「なりすまし」等のため不成立となるリスクが増大しており、より安全性を確保するために、第三者による電子認証(電子署名)を合わせて適用する必要性も高まっている。
【編集後記】
- 最新のニュースを調べていて、「デジタル庁」創設には大いに触発された。小生は昔、「電子政府」や「府省共通化」等の理念に共感し、ベンダーのシステムエンジニアの立場ではありますが実現に向け取組んだのですが、中々思い通りにならず,苦悩・苦労したことを想起したからです。色々な方が[何故、前回は失敗したのか」を分析・評価した上で推進をされ、是非とも成功されることを、陰ながら応援したいと思います。
- 最後に、セキュリティに関する「メルマガ」、先行版と言うことで編集・発刊しましたが、まだまだ不十分だと認識しており今後も継続して内容充実等の改善に取組みます。
以上(佃)