Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

S/MIMEを導入した三井住友銀行、決め手は「顧客への説明のわかりやすさ」


 Web Application Securityフォーラムは28日、都内で第4回コンファレンスを開催した。コンファレンスでは、三井住友銀行マスリテール事業部の山口賢二氏が登壇し、同行が送信するメールへのS/MIMEの導入と運用について講演した。


セキュリティ対策は「わかりやすく」「継続的な啓蒙活動」が大事

三井住友銀行マスリテール事業部の山口賢二氏
 山口氏は、三井住友銀行がセキュリティ対策を進めている背景として、インターネットバンキングの現状を説明。2006年5月現在で、三井住友銀行のインターネットバンキングの契約者数は約670万契約、取引件数は月間約830万件に達しており、インターネットバンキングは欠かせないサービスになっているとした。

 一方では、利用者が増えるに連れて、利用者側のセキュリティ対策が十分でないことが問題となっているという。これまでも、銀行のシステム本体に対しても侵入などを狙った攻撃は多く試みられているが、銀行側でもこうした攻撃には当然対策を取っているため、実際には侵入は難しい。そこで、攻撃者はターゲットを銀行本体から銀行の利用者に移しており、フィッシング詐欺やスパイウェアなどで顧客のIDとパスワードを入手し、金銭を騙し取ろうという攻撃が数多く発生しているという現状があるという。

 山口氏は、「顧客側を狙われると、銀行側でできるシステム的な対策には限界がある」としながらも、こうした状況の中で顧客がインターネットバンキングについて「怖いので使わない」と思ってしまうことや、逆に「まあ大丈夫だろうから使ってしまえ」と安易に考えてしまうことは、どちらも銀行としては困る状況だとした。こうしたことから、顧客に対して「わかりやすく、継続的な啓蒙活動が何より大事だ」と説明した。

 三井住友銀行では、セキュリティを解説する「やさしいセキュリティ教室」というサイトを設けている。このサイトでは、読みやすくするためにマンガを多用し、難しい用語などは身近な例を挙げるなどの工夫をし、ユーザーにセキュリティ対策を説明している。

 また、サイトの作成にあたっては、「『これで安全』とは言わないこと」を注意事項にしているという。山口氏は、「ワンタイムパスワードやソフトウェアキーボードなどの対策も、それですべてがカバーできるわけではない。『これを導入すれば安全です』と言ってしまうと、それだけで十分だと勘違いされかねない」と語り、セキュリティ対策の解説では対策で守れることと守れないことをきちんと示すことが重要だとした。


銀行を狙った攻撃は銀行本体のシステムから利用者へと移行 セキュリティ対策は「わかりやすい対策」「継続的な啓蒙活動」が重要

S/MIMEによるメールの電子署名を導入、普及にはまだ課題も多い

 こうしたセキュリティ対策を進める中で、三井住友銀行ではメールのセキュリティ対策にも取り組むことになる。新商品の案内や、入出金時にメールで通知するサービスなど、銀行にとってはメールも欠かせないツールであるにも関わらず、セキュリティ的にはほとんど対策がされていない状態であったためだ。

 山口氏は、「WebについてはSSL通信を採用し、IDとパスワードによる保護などの対策は当然のように行なわれている。しかし、メールについては全く手当てがされておらず、顧客がメールの真贋を確認する手段さえない状態」と説明。三井住友銀行からのメールであることを確実に証明する何らかの対応が必要であるとして、検討を重ねてきたという。

 メールの真正性を証明する対策としては、S/MIMEやPGP、Sender ID、DomainKeysなどが候補に挙がったが、この中から「信頼できる技術であること」「顧客が容易に導入できること」「わかりやすいこと」といった観点から、S/MIMEの導入を決定した。S/MIMEは、メールに電子署名を添付することで送信者と内容が改竄されていないことを保証するもので、Outlook Expressなど広く利用されているメールソフトでそのまま利用できることも導入の決め手になった。

 また、電子署名の導入にあたっては、三井住友銀行から送信するすべてのメールを対象としている。これも、対策としてのわかりやすさを考えたためだという。つまり、三井住友銀行からのメールには常に電子署名が付いており、署名が無かったり、署名が不正であるという警告が表示されている場合には“危険なメール”と判断していい、という簡単な説明で済むからだ。

 三井住友銀行では、2006年5月からメールへの電子署名の付与を開始し、これまでに約250万通のメールを送信しているが、この件についての問い合わせはこれまでに約200件寄せられている。最も多い質問は「これはいったい何か」といったもので、説明すれば理解してもらえるものだが、トラブルも少なくはないという。

 S/MIMEの利用はまだ一般的とは言いがたい状況で、三井住友銀行のような多数の顧客を抱える企業の導入例は国内ではほぼ初めてであることから、実際に導入してみて発見されたことも多いという。最も多い不具合の事例は、メールが文字化けを起こしてしまうというもので、メールソフトの設定変更やアップデートにより解消されることなどがわかった。一方、フリーメールなどではISP側が本文に広告を挿入してしまうため「改竄」と判断されてしまう例など、問題も多いと語った。

 山口氏は今後の課題について、電子証明書の有効期限が1年間であるために更新期間をまたいだメールの証明書が無効とされてしまう問題や、Webメールや携帯メールがS/MIMEに未対応であること、一部のウイルス対策ソフトが本文を改竄してしまうために警告が出るケースがあることなどを挙げ、ソフトウェアベンダーやメールサービス事業者にはS/MIMEへの対応を進めて欲しいと主張。また、電子署名に対応しているメールソフトも、正しく証明されたメールであることをユーザーにわかりやすい用語・インターフェイスで示してほしいと語り、講演を締めくくった。


信頼性と導入の容易さからS/MIMEを選択 メールソフトの側にも、電子署名をユーザーにわかりやすく示す工夫が欲しいと指摘した

関連情報

URL
  Web Application Securityフォーラム
  http://www.wasf.net/
  三井住友銀行
  http://www.smbc.co.jp/
  簡単!やさしいセキュリティ教室
  http://www.smbc.co.jp/kojin/security/index.html

関連記事
「三井住友銀行」名義のメールに電子署名、国内の大手行では初めて(2006/04/13)


( 三柳英樹 )
2006/07/28 20:03

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.