文月: まずアニメ制作の方々には敬意を払っています、ということを理解していただいた上で、内閣サイバーセキュリティセンターの職員として真剣にお答えします。
OZのユーザーアカウントが、そのまま企業だったり国の機関だったりと共通で現実の権限とひも付いていますが、これが1番まずい。私たちの世界に例えると、むしろパスワードの使いまわしやソーシャルログインに近いです。
ソーシャルログインのように、SNSのアカウントで外部サービスにログインしていて、SNSのアカウントを乗っ取られると、連携したサービスの権限を全て奪われてしまうのと同じです。そうした意味ではフェイルセーフ(※)な作りになっていません。
(※)フェイルセーフ……システムの一部に不具合が起こっても、システム全体としては安全性が確保されるように二重三重の防止策を備えておくこと
例えば、マイナンバー制度について言えば、そもそもマイナンバーの利用自体が身分証明書などによる本人確認が前提であり、端末も職員が操作し、インターネットから直接アクセスできるものではありません。その上で、マイナンバーにひも付くさまざまな行政サービスの個人情報を、マイナンバーを奪っただけで芋づる式に引き出すことはできません。
具体的には、マイナンバーとひも付けて管理しているAとBという行政サービスの個人情報がある場合でも、一方の行政サービスにおいて他方の個人情報を取得する場合には、そもそもマイナンバーそのもので連携しておらず、それぞれ異なる符号を使います。ですので、マイナンバーやAの符号だけを入手しても、Bのデータを盗み出すことはできないのです(※)。
(※)その上、マイナンバー制度では、民間事業者が法令上定められた手続のために行政機関にマイナンバー付きの情報を提出する場合を除き、自らのサービスについてマイナンバー(個人番号)そのものを使うことはない。一方「マイナンバーカード」を使う場合は、マイナンバーカード内のICチップに記録された電子証明書を使い、ユーザーが本人かどうかを確認する(公的個人認証サービス)。
これに対してOZの場合は、1つのアカウントで行政サービスにも民間サービスにも使えるのでソーシャルログインに近いのです。さらに実際の世界にひも付いたものにまで権限があるというのは、なかなかにまずいシステム。アカウントを押さえられると全て一本釣りされるということは、OZのシステム設計自体に脆弱性があるわけです。
さて、ここまでは“お約束”として気にしないことにした上で、実際の世界でも起こり得るシーンがあります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR