こんにちは。IT忍者です。ドコモ口座の不正利用のニュースが流れていますが衝撃を受けますよね。利便性を取りつつセキュリティ面も考慮する必要がある。口座の紐づけって怖いなっと思います。性格が悪い人の方が、セキュリティ対策、セキュリティ対応が優れているといわれる事も多いです。システム設計などでも、どうすべきかを悩む事もあると思いますが、やはり多くの気づきが必要になる部分かと思われます。
外部システム連携と利便性
目的とゴールが明確になっているに越したことはないのですが、利便性を追求する時に「想定しておくべき課題と考慮すべき内容」かなとも思います。外部システムとの連携する事で、今まで実現できなかった事が実現可能になるのですが、連携と同時に考慮が漏れていた場合、そこがセキュリティホールになるという事です。
究極のセキュリティ スタンドアロン
ネットワークにも繋がっていないコンピュータなら、外部ネットワークからのアタックも受けません。とはいえ出来る事が限られますよね。内部メンバーと内部に物理的に入ってくる人のみに注力しておけば良くなるわけです。100%で外部ネットワークを断てば検討する必要がないという方法。
例えば、企業の中で社員のマイナンバー情報など管理する必要があるときなどは、ネットワークを切り離したPC内として、適切なPCアクセス権を持ったユーザーのみ参照が可能になる。
とはいえ、ここで犠牲になるのは利便性。PCの目の前に行かないと参照できない。物理的に壊れたら終わり。などなど。
トレードオフとなる条件決め
すべてを叶えられる事が出来ればベストですが、やらなくてもいい、必要ない事まで手を出して脆弱性を生んでしまう事もあるかもしれません。
ゆえに「何のために必要なのか、結果どうなるのか、弊害はなにか、誰がメリットを享受できるのか」という思考も合わせて検討事項として加えておかないと失敗してしまう可能性があります。
よくある外部連携でのお見合い状態
利便性を高める上で外部連携が必要になった時に、比較的発生しやすいのはシステム境界で、相手方がやるだろうという「思い込み」。きっちりシステム境界と責任範囲を明確化しておかないと問題が起きたときに、うやむやになります。
ドコモ口座事例の怖い部分
ニュースを見ていて、怖いなと思った部分ですが、ドコモ利用者じゃないのに勝手に作られたドコモ口座と金融機関口座が紐づけられてお金が送金されているという点は怖いですね。本人が防ぎようがないわけですから、仕組みそのものに欠陥があるわけで。
メールアドレスだけで口座開設可能
これは流石に「え?!」となりますよね。このサイトを見てくださる方はIT関連の方だと思いますので感覚的に「それはまずいよね」と思っていただけるかと思いますが、お金が扱える口座がメアドのみでOKなんて犯罪に使われたどうするのかとか瞬時にいろいろ頭をよぎりますよね。
そもそもどうやって口座情報が入手できたのか?
フィッシングサイト説が強いようですが、こればかりは分かりませんね。
普段から自分のセキュリティ意識を高めて、「自分自身の機密情報となる部分は利便性を犠牲にしても守る」に越したことがない気がします。今、マイナンバーカードに口座情報紐づけるという話も聞こえてきますが、仮にですがもし使うとなったらそれだけに使う口座開設からの空っぽの口座とかにしないと危ないなと感じます。他の人が作ったITシステムを信用しすぎないですかね。
Web口座振替受付サービス
銀行側も、多要素認証でしっかり守っていればよかったですよね。ワンタイムパスワードとか導入していれば違った結果だったかもしれません。
まとめ
ITエンジニアとして理解しておくべきワードは下記ですね。
・「多要素認証」(本人しか知らない情報、生体情報、所有情報)
・「 eKYC(Electronic Know Your Customer) 」
さらに言えば、昨年から発生していたとう話ですから気が付くのが遅いので検知の仕組みも弱かったのかなっと個人的には感じました。普段からセキュリティと利便性のトレードオフ想定の範囲を広げて意識しておく事が、役に立つ気がします。
