「企業倫理」としてのコンプライアンスからみた内外セキュリティの重要性
企業とその企業を取り巻く社外との関係性の中で「コンプライアンス」を考えた場合、CSR(企業社会的責任)の概念に近い面があり、単なる法令遵守よりも広く、「企業倫理」として捉えることが望ましい。
大塚雅弘氏は、その前提において重要な鍵を握るITコンプライアンスは、企業が常に社内外におけるセキュリティ上の脅威にさらされていることを認識した上で、その両面からのアプローチを行う必要があると語る。
企業内部からのリスクとしては、従業員や元従業員などによるデータ持ち出しや不正アクセスなどの“うっかり”や“任意の犯行”によるものが多い。こうした社内規定が遵守されていないことや管理の不備を原因とするトラブルは、かなり前から影響の大きさに対して警鐘がならされてきたものだが、いまだ報道される例は後を絶たない。
2009年にも削除されていなかった子会社の社員のIDを使って、顧客データベースに不正にアクセスし、約149万人の情報を外部記憶媒体に取り込み、その一部を名簿業者に販売したという事件があった。当然、当事者は処罰されるわけだが、データを盗み出された企業側も、データの回収費用と作業に膨大なコストと時間が必要であることに加え、少なくとも1人あたり500円、多い場合は3万円程度の金額を個人情報漏洩に対する迷惑料として顧客側に支払うことになる。
しかしながら、さらに大きな影響は、そうした一過性のものだけでなく、会社としての信頼を大きく損ね、風評被害などにより、企業の業績や株価下落などにつながる可能性も否定できない。
こうしたリスクを回避するためには、ITシステム自体の脆弱性を改善していくと言う、技術面からのアプローチと同時に、社内のID管理の仕組みづくりやその遵守、さらに倫理観の育成などに、より一層取り組んでいくことが必要だという。ID管理について、ベリサインは様々な仕組みを提供しているが、その1つが「クライアント証明書」である。これは「クライアント証明書」を使って、クライアント認証、電子署名といった、本人を確認して「なりすまし」を防ぎ、その正当性を実現するというもの。
例えばクライアント認証の場合は、IDやパスワードが漏洩した場合でも、正しいクライアント証明書を持っていない限りログイン画面すら表示されない。通常ID、パスワードは、ユーザー個人の管理に委ねられていることが多いが、万一、それが攻撃者に知られてしまった場合でも、正しいクライアント証明書を持っていなければ、ログイン画面自体にたどり着くことが出来ない、というわけだ。
潜在的な利用者をネット活動に誘導する「ユーザー向けセキュリティ」
ここで大塚氏は「インターネットは、個人情報を入力するサービスとしてまだ十分に信用されてない状況がある」という示唆を提示。ある調査では、「予約」や「利用状況の確認」などを、今後ネットで活用したい人が現在利用している人の倍近く存在している反面、「メールマガジンの登録」は、今後のニーズが現状を下回っており、その背景には、自身が登録した覚えのないサイトからのメールなど、自身の個人情報がインターネット上で、どのように扱われているのかという不安・不信感やセキュリティの脆弱さに対する懸念があると推測される。しかし裏を返せば、不安を取り除くことによって新たな利用を掘り起こすことが可能となる。
こうした状況を生み出している脅威として、大塚氏は、ユーザー側から見た外部セキュリティの観点から「フィッシング」について取り上げた。「フィッシング」とは、IDやパスワードの更新手続きを促す「フィッシングメール」を送信して「フィッシングサイト」に誘導し、個人情報を入力させ、盗み出すという巧妙な手口の詐欺だ。現在、約34,000件/月のフィッシング事例が報告されており、被害は拡大しているという。
大塚氏は「同一企業からのメールも発行部署や担当者が異なると、形式が変わることが多く、ユーザーは不審なメールであっても気づきにくい。またフィッシングサイトでは、正規サイトのコンテンツがコピーされているため、容易には判別しにくく、特に日本企業の場合は、企業名とそのドメイン名が一致しない場合があり、ユーザーは勘違いしやすい傾向がある」と、フィッシング被害が頻発する背景を説明する。結果として、正規サイトの運営者の知らないところで、正規サイトを装ったフィッシングサイトが存在し、そこに正規サイトだと信じ(勘違いし)、アクセスをした善良なユーザーが被害を受けることになるわけである。
そうした状況にあって、企業が、ユーザーや取引先のためにできることとは何か。その問いに対して、大塚氏は、ユーザーがフィッシングメールやフィッシングサイトであることを容易に確認できる方法を提供すること、具体的には、「企業の電子署名によって送信メールの信頼性を担保する方法」、そして「SSLサーバ証明書によって正規サイトと確認させる方法」の2つの対策を挙げる。
「ベリサインセキュアメールID」と「ベリサイン EV SSL証明書」の有効性
ユーザー向けのセキュリティ、特にフィッシング詐欺対策として挙げられた対策の1つである「企業の電子署名によって送信メールの信頼性を担保する方法」は、「ベリサインセキュアメールID」によって実現される。これはユーザー向け送信メールに電子証明書を利用し、電子署名を行うことで、メールの信頼性を高めようというものだ。既に金融機関を中心に「なりすまし」「改ざん」防止の標準ツールになりつつあるという。
しかし最近では、「フィッシングメール」ではなく、検索サイトでの検索結果からフィッシングサイトへ誘導するなど、攻撃方法は、巧妙且つ複雑化している。そこで、サイトについても「SSLサーバ証明書によって正規サイトと確認させる方法」が有効であるが、ベリサインでは、従来のSSLサーバ証明書よりも、さらにユーザーにわかりやすく正当性を証明することのできる「ベリサインEV SSL証明書」を提供している。
これまでのSSLサーバ証明書は、認証プロセス(企業認証、ドメイン認証、独自認証)が違っていても、技術的に経路の暗号化はされているため、暗号通信状態を示す鍵アイコンは、同じように表示されていた。しかし、ドメイン認証や独自認証で発行された証明書を利用したフィッシングサイトが出現し、鍵アイコン自体の信頼が損なわれる可能性が高くなるなど、従来のSSLサーバ証明書の問題点が見えてきた。そしてこのような状態のままでは、インターネット利用拡大の阻害要因になるという認識を共有した世界の主要な電子認証局(CA)とブラウザベンダーにより、米国でCA/Browser Forum(CABF)が設立され、審査発行の標準化と表示基準を制定したEV(Extended Validation)ガイドラインが発行された。「ベリサイン EV SSL証明書」はそれに基づいて発行されるものであり、現在では、主要Webブラウザの約85%が、EV SSL証明書に対応済みである。
「ベリサイン EV SSL証明書」が取得されているサイトでは、アドレスバーが緑に変化し、SSL暗号通信状態を表す鍵アイコンが表示される。その脇にはWebサイトを運営する組織名とEV SSL証明書を発行した認証局が交互に表示されるなど、ユーザー側のIT知識にかかわらず、「安全」をわかりやすく確認できる、というわけだ。
大塚氏は、「ベリサイン EV SSL証明書」を導入しているサイトを運営する会社に対する印象をユーザーにリサーチした結果を紹介し、「サイトのセキュリティに真摯に取り組んでいるということに対してユーザーの信頼性、好感度は向上し、企業価値が上がる」傾向や、「トラブルに巻き込まれないよう、ユーザー自身にも知識・意識を高めてもらうために、セキュリティに関するわかりやすい啓蒙(教育)を行うことが企業に求められている」と語った。
