さて、企業の経理部門などでネットバンキングを利用している担当者、責任者、経営者はどのような対策をとるべきだろうか。まず最も重要なことは、「ウイルスやマルウェアに感染しないように対策を練って実行すること」である。
ツール、ネット攻撃対策ソフト、ウイルス対策ソフト、ログ監視、そして従業員への情報セキュリティ教育――様々な対応策が考えられる。これら基本的な対策を講じたうえで、前項の必須項目についてそれぞれ対応されているかチェックしてほしい。必須項目はもちろんだが、「推奨項目」がクリアされていることが望ましい。
利用者には次の3つの点が求められる。
そして、万一の場合にもきちんとした補償を金融機関から受けられるようにするには、全銀協の通達にある「補償減額または補償せずの取り扱いとなり得るケース」に当たらないように、対応を慎重に実施することが重要になる。
全銀協の通達では次のようになっている。
「お客様が実施されていないケース」とは以下の通りだ。
1.前述した「銀行が導入しているセキュリティ対策」を導入していない
2.身に覚えのない残高変動や不正取引が発生した場合の、一定期間内の銀行への通知がない
3.不正取引が発生した場合の一定期間内の警察への通報がない
4.不正取引が発生した場合の銀行による調査および警察による捜査への協力がない
「過失があるケース」は以下のような場合である。
1.正当な理由がなく、他人にID・パスワード等を回答してしまった、あるいは、安易に乱数表やトークンなどを渡してしまった
2.PCや携帯電話などが盗難に遭った場合において、ID・パスワードなどをPCや携帯電話などに保存していた
3.銀行が注意喚起しているにも関わらず、注意喚起された方法で、メール型のフィッシングにだまされるなど、不用意にID・パスワードなどを入力してしまった
「その他」のケースとしては、例えば「会社関係者の犯行であることが判明した場合」があり、それ以外にも、「過失があるケース」の場合と同程度の注意義務違反が認められた場合となっている。関係者はこの情報をよく理解し、注意していただきたい。
あまり言いたくないのだが、ワンタイムパスワードも二要素認証も既に破られ、被害が報告されている。ウイルス対策ソフトは既に単体ではあまり効果がなく、クラウド型やハードウェアセキュリティとの連携型、その他の組み合わせによる複合型製品など高次のレベルに移行しつつある。
しかし、これらを完璧に実装しても実は100%ガードはできない。これが現実である。だから、今後はリスクを抱えていることを前提に、ネットバンキングを利用するしかない。リスクがあってもこの便利な機能を手放す企業はまずいない。それがこのIT世界の宿命ともいえるものかもしれない。ドラスティックな対応策が今後実現するかもしれないが、それまで企業はこのリスクを軽減する対応を必至で行わなければ、生き残れないと肝に銘じるべきである。本屋における「万引き」が絶対にゼロにはならないように、「絶対・安全で安心な」ネットバンキングはこの世に存在しない。専門家ならだれでもが知っている事実だ。
ネットバンキング、生体認証、暗号化――登場間もない頃の期待感から実態が見えてくると「脱力感」を思わずにはいられない様々なキーワードがある。対策側は現実を目の前にして逃げることなく最善を尽くしているが……。このジレンマを解決する“何か”が待たれる。
※編集部より……筆者の夏季休暇のため、次回(2014年8月15日)はお休みいたします。
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.