★☆★JNSAメールマガジン 第14号 2013.7.19.☆★☆

こんにちは
JNSAメールマガジン 第14号 をお届けします。

通称「ネット選挙」適用第一号参議院議員選挙も終盤となりました。
JNSAでは、便乗したサイバー攻撃やネット利用犯罪の発生の可能性について、 警戒を呼び掛けていますが、今のところ、大きな事件は起きていないようですね。 「米中サイバー対話」なども多少影響しているのかもしれません。

もし、選挙にかこつけたと思われる不審なメールを受け取られたら、JNSAの 発信ページ「しんだん」を参考になさってください。
 http://www.jnsa.org/secshindan/
JNSAメールマガジン第13号(7月5日)にもプチ考察を載せています。
そして、怪しいと思われたら、「投げ込み箱」もご利用ください。
 http://www.jnsa.org/net_election/

今回の連載リレーコラムは、JNSA理事でNTTアドバンステクノロジ株式会社 取締役の小橋喜嗣氏にご登場いただきます。ITにおける「安心感」という、深み のある考察です。


【連載リレーコラム】
「利用者の安心感」
(JNSA理事 NTTアドバンステクノロジ株式会社 取締役
          ネットワークソリューション事業本部長 小橋 喜嗣)

私は入社後の約20年間、汎用大型計算機および大規模システムの開発に従事し てきた。最近の若い人で汎用計算機を知っている人は少ないと思うが、20〜40年 前のバンキング向け等のためのハイエンドの計算機のことである。

これらの開発を通じて一番印象的だったことは、計算機が間違うことがあると いう事実であった。子供のころのマンガ等で「計算機は間違いません」という先 入観を埋め込まれていたので、余計強く感じた。システム開発経験のある方は、 プログラム(ソフト)には潜在バグが残っているので当たり前と思われるが、ソ フトだけでなく計算機(ハード)も間違うことがあることを体験した。大規模シ ステムの設計では、計算機+ソフトのシステム全体としての「最後の砦」となる しかけを取り入れている。例えば、毎月の電話料金の料金請求書を作成するよう なシステムでは、請求書を送付する直前の最終段階で、通常月の請求額の(例え ば)3倍以上になっていないか等のチェックを行い、そのチェックに引っかかる と、再度請求額の計算を行うようにしている。(厳密に考えると、この例では請 求額が通常月の3倍未満なら間違った請求でも、そのまま行われることになる。 もちろん、確率的に発生するのは極めて少ないのは事実である。)

間違いがほとんど起こらないので、更なるゼロ化に向けた検討はコスト効率が 悪く、視点を変えて、たとえ間違いがあっても、利用者の安心感をどう担保する のかという観点で「最後の砦」の考え方が導入されたと思う。決して、少額の場 合の間違いをもみ消すという意思はないことを強調しておきたい。

利用者を巻き込んだ「最後の砦」は、利用者による明細書の確認行為だと考え る。しかし、間違いの発生確率が極めて小さく、かつ間違っていても少額だろう という、利用者にとっての受けとめ方が定着し、電話料金の明細書はほとんど活 用されなくなったように思う。こういう背景で、「計算機は間違いません」とい う感覚が、現在でも多くの利用者に、残っていると思う。

私の従事したようなシステムとは異なる、セキュリティを売りにした決済関連 サービスを提供するシステムに対しては、最近の利用者の中で、「絶対に安全 だ」と思って利用している人は少ないとは思う。それは、システムの間違いに比 べ発生が格段に多く、その理由が攻撃者によるアタックなど犯罪によって間違い が起こると考えているためである。

例えばクレジット会社にとっての利用者を巻き込んだ「最後の砦」は、毎月利 用者に送付する取引明細書を利用者自身に確認してもらうことだと思う。しか し、多くの利用者は自分だけは大丈夫だと思っており、かつ上記のように電話料 金の明細書などで身に着いた感覚から、取引明細書を真剣に確認していないのが 現状である。

最近私は、次のような経験をした。娘がアメリカの片田舎でクレジットカード を使った翌々日にクレジット会社から私に電話があり、利用状況が報告され、問 題ないかとの問い合わせを受けた。スキミング事件の話などを聞いていたので、 このクレジット会社に対しての私の信頼感は膨らんだ。しかし、よくよく考えて みると、どのようなケースでクレジット会社が問い合わせてくれるかを明示して くれないと、本当の「安心」感につながらない。例えば、娘の渡航記録がない期 間に海外でカードが使われたら不正利用と証明できるが、そのように簡単ではな いケースも考えられる。

利用者にとってメリットがあるのは、利用履歴を簡単に証明できないような ケースに対して、クレジット会社側がこういう仕掛けを使って、利用者の巻き込 まれる負担を解消してくれるようなことだと思う。クレジット会社の「最後の 砦」として、どういうことを行っているかを利用者に明らかにしてくれてこそ、 利用者の「安心」感につながると思うので、是非行っている内容を開示して欲しい。

「絶対に安全です」というような宣言をすると、却って多くの賢い利用者から 怪しまれる時代において、セキュリティを売りにした決済関連サービスにおける 利用者の「安心」感とは、究極的には、間違いが起こったケースで、利用者の負 担を最小限に抑えてくれることだと思う。損害額を補償してくれるのもその一つ だが、利用者がグルになった犯罪の可能性もあり、利用者の最低損害額を決める ような取組みは難しいのであろう。

公開はしていないが、いずれのシステムでも「最後の砦」を日夜工夫して作り 続けていると思う。その意味を利用者に分かりやすく説明することが、利用者の 「安心」感を膨らまし、その結果、他社との競争に勝つと思うがいかがであろうか。



#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【ワーキンググループ便り】
★組織で働く人間が引き起こす不正・事故対応WGでは、 「組織における内部不正防止ソリューションガイド」の作成・公開に向けてメンバーを募集しています。
 ソリューションガイド作成説明会を開催しますので、参加希望の方は事務局までご連絡下さい。
 日時:7月23日(火)16:00〜17:10
 場所:JNSA事務局(西新橋)1階 会議室
★セキュリティ被害調査WG・SNSセキュリティWG・セキュリティ理解度チェックWGによる合同セミナーを開催します。
 「セキュリティ事故の傾向と企業で安全にソーシャルメディアを使うために〜社員教育のススメ〜」
 日時:7月29日(月)14時〜17時(受付開始 13時半)
 会場:五反田ゆうぽうと
 料金:1,000円
 プログラム・お申込みはこちらをご覧下さい。
   http://www.jnsa.org/seminar/2013/0729/

★部会・WG予定 
その他、活動スケジュールはこちらをご覧下さい。
 http://www.jnsa.org/aboutus/schedule.html
-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい!
-----------------------------------------------------------------

【事務局からの連絡、お知らせ】
★「インターネット安全教室」夏休み特集ページを公開しました。
 クロスワードパズルに正解するとセキュリーナの壁紙がもらえます。
 ぜひご家族で挑戦してみてください。
 http://www.net-anzen.go.jp/study/natsuyasumi/index.html
★2012年度活動報告会(6月7日開催)のビデオ映像を公開しました。
 http://www.jnsa.org/seminar/2013/0607/
★SECCON(Security Contest)2013のスポンサーを募集しています。ぜひご協力・ご支援をお願いします。詳細はこちらをご覧下さい。
http://www.jnsa.org/seccon/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail
*************************************
JNSAメールマガジン 第14号 
発信日:2013年7月19日
発行: JNSA事務局 jnsa-mail
編集: 勝見 勉
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.