現在,ユーザーにセキュリティ上の脅威を与えている主役は,金銭目的でユーザーを攻撃する「犯罪者集団」だ。手口は,より巧妙なスピア(標的)型攻撃にシフトしている。これに対し,専門組織の設置や企業間の横のつながりで対応しようとする動きが出てきている。(聞き手は小松原 健=ITpro)
まずは,ITpro読者がどのようなキーワードに注目しているのか見てみましょう。ITpro読者が2008年に向けて最も注目しているのは「バイオメトリクス認証」でした。
菊池 銀行のATM(現金自動預け払い機)のおかげで,バイオメトリクス認証が身近になったからでしょう。最近,銀行のネット・バンキングのセキュリティ基準が厳しくなって,「パスワードを変更して下さい」と頻繁に言われるようになりました。ユーザーはそろそろ,「ネット・バンキングでもバイオメトリクス認証が使えればいいのに」と思い始めているのかもしれません。
ネット・バンキングで怖いのが,「偽ネット・バンキング・サイト」にユーザーをおびき寄せる「フィッシング」の存在ですね。最近は,ユーザーの事情に合わせて攻撃手段を工夫する「スピア(標的)型攻撃」が増えていますから,不安が募ります。
中田 それでも2007年は,フィッシング対策に進歩が見られた年でした。例えば,SSLサーバーの証明書の信頼性を高めた「EV(Extended Validation) SSL」の導入が始まりました。
EV SSLと一般のSSLの違いは?
河井 認証局が利用者(SSLサーバーを運用する企業)に証明書を発行する際に,身元情報などをより厳格に審査するのが「EV証明書」。そのEV証明書を使ったSSLが「EV SSL」です。
最近,怪しげな企業にも証明書を発行してしまう認証局が増えています。SSLを使っているだけでは,そのサイトが「信頼できるサイト」かどうか,判断できなくなりました。そこで登場したのが,EV SSLです。
中田 Internet Explorer(IE) 7でEV SSLを使ったサイトにアクセスすると,アドレス・バーの背景色が「緑」になります。ユーザーは一目で,「このサイトは安全だ」とわかるでしょう。
ユーザーを守るためには,EV SSLのような仕組みを取り入れていくしかないと思います。Webサイトが安全かどうか,URLだけではもう判断できないからです。
 |
| より厳格にサーバーを審査する「EV SSL」 EV SSLを使用しているWebサイトにIE7でアクセスすると,アドレス・バーや,アドレス・バー脇の鍵のアイコンの部分が「緑色」となる(Webサイトは三井住友銀行のネット・バンキング「One's ダイレクト」)。 |
