7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点(1/2 ページ)
セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。
しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん)
ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
安全性確保の手段、二段階認証の他にも
「安全性を確保する方法は、二段階認証の他にもある」として、徳丸さんは「LINE Pay」を例に挙げる。
LINE Payは、支払いの際にパスワード認証、もしくは生体認証で二段階認証を実装しているが、徳丸さんが注目するのは「アプリとデバイスのひもづけ」だ。
LINE Payの利用に必要なLINEアカウントは、原則として1台のスマートフォンでしかアクティベーションできず、スマートフォンの機種変更の際には「引っ越し」作業が必要になる。
もしメールアドレスとパスワードがどこかから漏えいしてしまったとしても、自身の端末上から「アカウント引き継ぎ」の項をオンにしなければ、他の端末からログインすることはできない。
徳丸さんは「ネット企業らしからぬ厳重さだ」とLINEのセキュリティを評価する。
7payの「登録時と別のアドレスでパスワードリセットできる仕様」について、セブン・ペイは「ユーザーの利便性を考えた」という旨の説明をしていたが、徳丸さんは「利便性とセキュリティのトレードオフは言い訳だ」とバッサリ。
「確かにスマートフォンを複数台持っている人からすれば、デバイスとのひもづけは不便に感じることもあるかもしれないが、このようなセキュリティ上の理由がある。1台持ちの人なら普段使う上で不便にもならない。利便性をそれほど損なわず、安全性を高める手段はある」(徳丸さん)
「早まったか」 二段階認証導入、かえって足かせになる可能性
「二段階認証の認識に対する大きな批判から、すぐに導入を決定してしまったのは仕方のない面もあるが、早まった感は否めない。サービス設計など総合的に考えて一番良い方法を模索するべきで、それは1日で、ましてやあのゴタゴタの中で結論を出すことではない」(同)
徳丸さんは、7pay事件で取り沙汰された「SMSによる二段階認証」自体について否定的というわけではない。「海外ではSMSでもなりすましの危険があるが、日本では通信キャリアの信頼性が高いため、なりすまし的な観点は問題ないだろう」(同)。
「ただ、二段階認証を導入するならオプションではなく、必須の形式で入れるべきだ。しかし二段階認証が必須というのは利便性の観点からすれば面倒かもしれない。導入を宣言してしまったことが、かえってサービス改善の足かせにならなければいいが」
7payの脆弱性審査、「一方的には批判できない」
セブン&アイは緊急記者会見の中で「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payも確認したが脆弱性はなかった」と話したが、会見前に「パスワードリセット」の不備などが明らかになっていたため、ネット上から多くの批判を浴びた。
しかし、企業サービスの脆弱性診断を行っている徳丸さんは「脆弱性審査の過程を一方的に批判する気にはなれない」という。
Copyright © ITmedia, Inc. All Rights Reserved.