SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Summit2010セミナーレポート

企業倫理から考えるセキュリティ対策

日本ベリサイン株式会社 SSL製品本部 ダイレクトマーケティング部 マネージャー 大塚雅弘氏

企業における「コンプライアンス」は、既に従来の「法令遵守」という概念以上の意味を持ち、企業と企業を取り巻くステークホルダーとの信頼関係を保つために不可欠な「企業倫理」としての捉え方がなされている。はたしてコンプライアンスをアピールすべき「企業倫理」と捉えた際に、ユーザーや取引先に対してどのような対策をとるべきなのか。企業の信頼性を高めるための方策とそのためのソリューションについて、日本ベリサインの大塚雅弘氏による紹介が行なわれた。

「企業倫理」としてのコンプライアンスからみた内外セキュリティの重要性

  企業とその企業を取り巻く社外との関係性の中で「コンプライアンス」を考えた場合、CSR(企業社会的責任)の概念に近い面があり、単なる法令遵守よりも広く、「企業倫理」として捉えることが望ましい。

 大塚雅弘氏は、その前提において重要な鍵を握るITコンプライアンスは、企業が常に社内外におけるセキュリティ上の脅威にさらされていることを認識した上で、その両面からのアプローチを行う必要があると語る。

 企業内部からのリスクとしては、従業員や元従業員などによるデータ持ち出しや不正アクセスなどの“うっかり”や“任意の犯行”によるものが多い。こうした社内規定が遵守されていないことや管理の不備を原因とするトラブルは、かなり前から影響の大きさに対して警鐘がならされてきたものだが、いまだ報道される例は後を絶たない。

 2009年にも削除されていなかった子会社の社員のIDを使って、顧客データベースに不正にアクセスし、約149万人の情報を外部記憶媒体に取り込み、その一部を名簿業者に販売したという事件があった。当然、当事者は処罰されるわけだが、データを盗み出された企業側も、データの回収費用と作業に膨大なコストと時間が必要であることに加え、少なくとも1人あたり500円、多い場合は3万円程度の金額を個人情報漏洩に対する迷惑料として顧客側に支払うことになる。
 
 しかしながら、さらに大きな影響は、そうした一過性のものだけでなく、会社としての信頼を大きく損ね、風評被害などにより、企業の業績や株価下落などにつながる可能性も否定できない。

 こうしたリスクを回避するためには、ITシステム自体の脆弱性を改善していくと言う、技術面からのアプローチと同時に、社内のID管理の仕組みづくりやその遵守、さらに倫理観の育成などに、より一層取り組んでいくことが必要だという。ID管理について、ベリサインは様々な仕組みを提供しているが、その1つが「クライアント証明書」である。これは「クライアント証明書」を使って、クライアント認証、電子署名といった、本人を確認して「なりすまし」を防ぎ、その正当性を実現するというもの。

 例えばクライアント認証の場合は、IDやパスワードが漏洩した場合でも、正しいクライアント証明書を持っていない限りログイン画面すら表示されない。通常ID、パスワードは、ユーザー個人の管理に委ねられていることが多いが、万一、それが攻撃者に知られてしまった場合でも、正しいクライアント証明書を持っていなければ、ログイン画面自体にたどり着くことが出来ない、というわけだ。

日本ベリサイン株式会社
SSL製品本部 ダイレクトマーケティング部
マネージャー
大塚雅弘氏
日本ベリサイン株式会社 SSL製品本部 ダイレクトマーケティング部 マネージャー 大塚雅弘氏

潜在的な利用者をネット活動に誘導する「ユーザー向けセキュリティ」

  ここで大塚氏は「インターネットは、個人情報を入力するサービスとしてまだ十分に信用されてない状況がある」という示唆を提示。ある調査では、「予約」や「利用状況の確認」などを、今後ネットで活用したい人が現在利用している人の倍近く存在している反面、「メールマガジンの登録」は、今後のニーズが現状を下回っており、その背景には、自身が登録した覚えのないサイトからのメールなど、自身の個人情報がインターネット上で、どのように扱われているのかという不安・不信感やセキュリティの脆弱さに対する懸念があると推測される。しかし裏を返せば、不安を取り除くことによって新たな利用を掘り起こすことが可能となる。

 こうした状況を生み出している脅威として、大塚氏は、ユーザー側から見た外部セキュリティの観点から「フィッシング」について取り上げた。「フィッシング」とは、IDやパスワードの更新手続きを促す「フィッシングメール」を送信して「フィッシングサイト」に誘導し、個人情報を入力させ、盗み出すという巧妙な手口の詐欺だ。現在、約34,000件/月のフィッシング事例が報告されており、被害は拡大しているという。

 大塚氏は「同一企業からのメールも発行部署や担当者が異なると、形式が変わることが多く、ユーザーは不審なメールであっても気づきにくい。またフィッシングサイトでは、正規サイトのコンテンツがコピーされているため、容易には判別しにくく、特に日本企業の場合は、企業名とそのドメイン名が一致しない場合があり、ユーザーは勘違いしやすい傾向がある」と、フィッシング被害が頻発する背景を説明する。結果として、正規サイトの運営者の知らないところで、正規サイトを装ったフィッシングサイトが存在し、そこに正規サイトだと信じ(勘違いし)、アクセスをした善良なユーザーが被害を受けることになるわけである。

そうした状況にあって、企業が、ユーザーや取引先のためにできることとは何か。その問いに対して、大塚氏は、ユーザーがフィッシングメールやフィッシングサイトであることを容易に確認できる方法を提供すること、具体的には、「企業の電子署名によって送信メールの信頼性を担保する方法」、そして「SSLサーバ証明書によって正規サイトと確認させる方法」の2つの対策を挙げる。

「ベリサインセキュアメールID」と「ベリサイン EV SSL証明書」の有効性

  ユーザー向けのセキュリティ、特にフィッシング詐欺対策として挙げられた対策の1つである「企業の電子署名によって送信メールの信頼性を担保する方法」は、「ベリサインセキュアメールID」によって実現される。これはユーザー向け送信メールに電子証明書を利用し、電子署名を行うことで、メールの信頼性を高めようというものだ。既に金融機関を中心に「なりすまし」「改ざん」防止の標準ツールになりつつあるという。

 しかし最近では、「フィッシングメール」ではなく、検索サイトでの検索結果からフィッシングサイトへ誘導するなど、攻撃方法は、巧妙且つ複雑化している。そこで、サイトについても「SSLサーバ証明書によって正規サイトと確認させる方法」が有効であるが、ベリサインでは、従来のSSLサーバ証明書よりも、さらにユーザーにわかりやすく正当性を証明することのできる「ベリサインEV SSL証明書」を提供している。

 これまでのSSLサーバ証明書は、認証プロセス(企業認証、ドメイン認証、独自認証)が違っていても、技術的に経路の暗号化はされているため、暗号通信状態を示す鍵アイコンは、同じように表示されていた。しかし、ドメイン認証や独自認証で発行された証明書を利用したフィッシングサイトが出現し、鍵アイコン自体の信頼が損なわれる可能性が高くなるなど、従来のSSLサーバ証明書の問題点が見えてきた。そしてこのような状態のままでは、インターネット利用拡大の阻害要因になるという認識を共有した世界の主要な電子認証局(CA)とブラウザベンダーにより、米国でCA/Browser Forum(CABF)が設立され、審査発行の標準化と表示基準を制定したEV(Extended Validation)ガイドラインが発行された。「ベリサイン EV SSL証明書」はそれに基づいて発行されるものであり、現在では、主要Webブラウザの約85%が、EV SSL証明書に対応済みである。

 「ベリサイン EV SSL証明書」が取得されているサイトでは、アドレスバーが緑に変化し、SSL暗号通信状態を表す鍵アイコンが表示される。その脇にはWebサイトを運営する組織名とEV SSL証明書を発行した認証局が交互に表示されるなど、ユーザー側のIT知識にかかわらず、「安全」をわかりやすく確認できる、というわけだ。

 大塚氏は、「ベリサイン EV SSL証明書」を導入しているサイトを運営する会社に対する印象をユーザーにリサーチした結果を紹介し、「サイトのセキュリティに真摯に取り組んでいるということに対してユーザーの信頼性、好感度は向上し、企業価値が上がる」傾向や、「トラブルに巻き込まれないよう、ユーザー自身にも知識・意識を高めてもらうために、セキュリティに関するわかりやすい啓蒙(教育)を行うことが企業に求められている」と語った。

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Summit2010セミナーレポート連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/2191 2010/03/26 07:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング