情報セキュリティ

電子メールでパスワードを送るべからず

情報セキュリティ意識が高まってきていることは歓迎すべきことであるが,誤った対策が広まってしまっているケースもある。メールの添付ファイルを暗号化するまではよいのだが,問題はそのパスワードの受け渡し方法がかなり杜撰なのである。後から同じメールで送られてくるケースが非常に多い。これはむしろ危険なのでやめてもらいたい。

 まず,添付ファイルが暗号化されていると,PCのセキュリティソフトが機能しなくなる。メールサーバ上で稼働しているセキュリティソフトの場合は,マルウェア等を検知するとサーバ上でそのメールを削除してくれるので,PCの危険を軽減できる。暗号化されたファイルがメールに添付されていた場合,これらをすり抜けてしまう。そして,運がよければ,復号した瞬間に検知されることになる。運が悪ければ,マルウェアの餌食となる。

 もう一つは,パスワードが盗まれる危険があることだ。暗号化されたファイルを盗まれ,かつ,パスワードも盗まれては暗号化した意味がまったくない。同じメールアドレス同士であれば,ずっとその間のやり取りを盗聴していれば,暗号化されたファイルと復号のためのパスワードを両方とも窃取できる。

 安全なのは,メール以外の方法でパスワードを受け渡すことである。SMS,チャット,電話,FAX,郵便など,他の手段でパスワードを通知すれば,かなりリスクを低減できる。公開鍵暗号方式を用いるのがよりよい方法ではあるが,そこまでするほど秘匿性が高くない場合には有効な方法だろう。

情報セキュリティ

マネジメントシステム認証を過信すべからず

情報セキュリティマネジメントシステム(ISMS)やプライバシーマークなどの認証を取得して,「うちはしっかりやっています」と宣伝する企業は多数あるが,これらの認証を過信してはならない。認証は2年あるいは3年ごとに継続審査があり,その時の状況でほぼ決まっていると言ってもよい状況である。

 現地審査の時間はまったく足りない。2日程度であることが多いと聞く。審査員も数名しか来ない。この程度では,現地で担当者の説明を聞いたら終わってしまう。

 加えて文書の捏造が横行している。実際には月次でしっかりチェックするというルールを設けていても,その通りに運用できずにチェックシートを過去の日付で作成してしまうような行為が行われているのである。このような行為は認証の信頼性を損なうので,厳に慎むべきである。

 認証を全否定するものではないが,「認証を取得している会社だから大丈夫」とはならないことに留意が必要だ。

情報セキュリティ

立会人型の電子契約サービス

9月4日に総務省,経済産業省,法務省の連名により,「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」という文書が出された。この中で,「立会人型の電子契約サービス」については,「技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているものであり、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を1つの措置と捉え直すことによって、当該措置が利用者の意思に基づいていることが明らかになる場合には、同法第2条第1項に規定する電子署名に該当すると考えられる」と述べて,有効性を認める見解を示している。

 問題となるのが,「サービス提供事業者の意思が介在する余地がなく」という点であろう。果たして,そのような仕組みが現実的に可能なのか,甚だ疑問である。サービス提供事業者は,その意に反するような電子文書の作成を許容するであろうか? 例えば,お金を払わない利用者のアカウントを停止するようなことは,通常の事業者であれば容易に想像がつく。ある文書には電子署名をするけれども,別の文書には電子署名をしないということは非常に簡単であるし,逆に言うと,それができないようにすることは極めて難しい。

 「十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる」という部分の①について,「利用者」が1者のみではない(実際にはそのようなケースの方が多いと考えられる)場合が問題となる。AとBとがこのようなサービスを用いて電子契約をする場合,Aがサービス提供事業者とサービスの提供を受ける契約を結び利用料を支払うとする。AとBとが電子契約を締結する場合,サービス提供事業者とBとの間には契約関係がないか,あっても,無償の契約である。この場合,サービス提供事業者の提供するサービスにはAとBとの間で違いが生じるであろう。これは公平性という点で極めて問題であると言える。サービス提供事業者は,利用料を支払っている利用者に便宜を図ると考えるのが自然である。

 第3の問題として,「利用者が2要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる」という部分について,MFA(多要素認証)を過剰評価していないであろうか。特に組織内においては,共有のメールアドレスを使用する,情報システムのパスワードを使いまわす,多要素認証のトークンを共有している,などのケースは多いと思われる。個人間の認証においてはMFAはある程度有効と考えられるが,組織においては使いまわしが横行している現状を考えると十分な固有性が満たされているとは言えないだろう。

 いずれにしても,本来は利用者自身の秘密鍵を用いて電子署名をすべきところを,サービス提供者の秘密鍵で電子署名をするように変更し,利用者の認証はパスワードとトークンなどのようなより弱いものになってしまっている点において,本来の電子署名よりは脆弱なものと評価せざるを得ない。

情報セキュリティ

安価な電子契約サービスに注意

近年,安価な電子契約サービスが流行しているが,安さにひかれて飛びつくと痛い目にあうかもしれない。電子署名法に基づいたデジタル署名が付されていないのである。

紙媒体の場合でも通常は,当事者が自身の印を押す。それによって,当事者本人の意思によることが推定される。デジタル署名の場合も同様で,当事者の秘密鍵を用いてデジタル署名を行うのが本来の方法である。

安価な電子契約サービスでは,当事者のデジタル署名ではなく,サービス提供事業者のデジタル署名が付されているのである。いわば,立会人が押印しているようなものである。当事者のデジタル署名がなくてもよいのかは,電子署名法には何も書かれていない。拙速に安価なサービスに飛びつくと,万一の際に問題が起こるリスクがある。

情報セキュリティ

情報処理安全確保支援士法定講習

情報処理安全確保支援士(登録情報セキュリティスペシャリスト)の法定講習を受講しました。今年はe-learningだけでよいのですが,それでもかなりの量です。しかもe-learning講習料金は2万円で,それなりのお値段です。

 来年はe-learningに加えて1日間の集合研修が課されます。集合研修は8万円だったように記憶しています。

受講証明書