ITmedia NEWS > 社会とIT >
連載
2017年08月24日 07時00分 UPDATE

ITりてらしぃのすゝめ:本当に使って大丈夫? “お金が絡む”Webサービスの安全性を見分ける4つの方法 (2/3)

[宮田健,ITmedia]

クレジットカードのセキュリティコードを確認してくること

 ECサイトや有料会員サービスであれば、クレジットカードによる決済が関連してくるはずです。このとき、クレジットカードの入力欄として「セキュリティコード」の欄が存在するかをチェックしてください。

 セキュリティコードとは、カードの裏面に記載された3桁または4桁の数字で、カード保持者しか知り得ない番号です。これはサーバ上で保管してはならない番号で、これを使うと今行われている決済がカード保持者本人かどうか確認できます。

 問題は、このセキュリティコードが保管されていないことを利用者は確認できないということ。もしクレジットカード情報を保存するような仕組みがあり、そこにセキュリティコードも含まれるような実装だった場合、そのWebサービスを提供する企業はクレジットカード決済の基本すら分かっていないと判断できます。

 個人的には、さらにセキュリティ強度を上げられる本人認証サービス「3Dセキュア」を利用していることが望ましいですが、カード会社によって呼び方が違ったり(VISA認証サービスMasterCard SecureCodeJ/Secure)、そもそも日本では普及しておらず理解が進んでいなかったりという点が悩ましいです。

2要素認証が使えること

 こちらも金融関係のサービスならば、ぜひ対応してほしい機能です。2要素認証とは、ログイン時にID、パスワードを使うだけでなく、本人が持つデバイスをもとに、ログインしようとしている利用者がパスワードを盗んだものではなく、本人であることを確認する仕組みです。

 例えば、「利用者本人がスマートフォンを持っている」という前提だとしましょう。もしパスワードが漏えいして、IDとパスワードのセットを悪意ある者が知っていたとします。何も対策がないと、これだけであなたのアカウントはのっとられてしまいます。銀行のアカウントならば、これであなたの預金はアウトです。2要素認証があれば、パスワードが漏えいしてもスマートフォンにSMSで送られるコードや、アプリで表示したコードをさらに入力しなければログインできません。これにより、安全性が高まるわけです。

 最近の金融機関は、ほとんどがこの2要素認証が利用できるはずです。徐々に浸透してきた仕組みで、お金が絡むサービスでは積極的に活用したい機能になったといえます。お金に絡むサービスでなくても、今ではGoogle(Gmail)、Apple(Apple ID)、Amazon、Twitter、Facebookなど主要なサービスは2要素認証が使えます。ぜひ、皆さんも使ってみてください。

パスワードの扱いが適切であること

 実はこれが一番重要なポイントであり、かつ「簡単に見分けられる」もの。もしそのサービスのセキュリティレベルを把握したい場合、まず「パスワードは定期的に変更してください」という文言が“ない”ことを確認してください。ログイン画面や規約、登録時のメールにありがちなこの文言ですが、なぜパスワードの定期変更はいけないのでしょうか。

Copyright © ITmedia, Inc. All Rights Reserved.