セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

暗証番号は何がしたいのか?

暗証番号は何がしたいのか?

まず、サービスを提供する側(銀行)は暗証番号で何がしたいのでしょうか? 利用者からすれば、あんなものはないに越したことはありません。

めんどくさいですから。

「岡嶋です。

お金をおろさせてください」「ああ、岡嶋さんですね。

いつもありがとうございます。

いくらでも持ってってください」とやってくれれば、スムーズで気分がいい気がします。

銀行だって民間企業ですし、利用者の満足度を(あやしいもんですけど)高めようとしていますから、いじわるであんなことをしているわけではありません。

ちゃんと理由があるはずです。

ここでは、その理由を考察してみましょう。

先ほどのようなサービスの仕方では何がいけないのでしょうか? これはちょっと考えれば自明ですよね。

「○○ですけど、お金おろしていいですよね?」「もちろんです。

がんがん持っていってください」「(いひひ、ほんとは俺、後藤だもんねごなんてケースが出てきてしまいます。

こうした不正行為を防ぐために、銀行がしなければならないことは3つあります。

1、まず、ATMにやってきた人が、ちゃんとその銀行に口座を持ってお金を預けている人か確かめること。

2、口座を持っている人と、今、引き出しにきている人が、ほんとに同じ人か確認すること。

3、いくらまで引き出していいかコントロールすること。

ATMで行われていることは、この3つを軸に回っています。

1と2について詳しく見ていきましょう。

1、まず誰がやってきたのか見分けるATMの最初の仕事ですが、まずは誰がやってきたのか見分けなければなりません。

中には口座も持っていないのに「金を出せ」なんて言い出す図々しい人がいるかもしれませんから、「こいつは誰だ?」とチェックを入れるのがファーストステップです。

窓口だったら、預金通帳を差し出すところですし、小さなブランチ(支店)だったら係員が顧客の顔を見ただけで「○○さんだ」と気がつくかもしれません。

ATMはまだ顔相を見分けられるほど賢くないので、磁気ストライプやICチップに記載された口座番号で「○○さんだな」と見分けています。

つまり、預金通帳やキャッシュカードに織り込まれた口座番号で、人の区別をしているわけですね。

この作業をセキュリティの世界では「識別」といいます。

2、次にその人がにせものでないのか確かめるさて、「識別」ができたらそれでお金を渡していいでしょうか?不思議なことかもしれませんが、ここで「いい」としてしまうこともできます。

ええっ、と思いますか? そうですよね。

ひょっとしたら、そのキャッシュカードは落としたり盗まれたりしたもので、持ってきた人=口座にお金を預けている人とは限らないですものね。

でも、例えば車のキーはどうでしょう? あるいは家の鍵でも構いません。

想像してみてください。

あれは、識別の機能を持っています。

「持っている」という事実が、家のメンバであるということを示しています。

家族でなければ鍵を渡したりしませんから、これはいいですよね。

問題なのは、鍵があれば家の中に入れてしまうことです。

「持っている=家人」なんだからいいでしょ、と思うところですが、先の例にもあるように、鍵は盗まれたり置き忘れたりします。

「最初に鍵を渡された=家人」は成立しても、必ずしも「今鍵を持っている人=家人」とは言い切れません。

車のキーや家の鍵は、この2つの要素を合わせてしまっているので、=「セキュリティシステムの崩壊」になってしまうのです。

銀行はお金の出し入れが本業ですから、この点に関してもうちょっと慎重です。

すなわち、「キャッシュカードを持ってきたからといって、本人とは限らないよね」という疑りの姿勢が業務に組み込まれています。

大事なお金を低金利で預けてるんですから、そのくらいはやって欲しいところですが、銀行側の視点に立つと「どうやって本人だと見分ければいいんだ?」という大問題が発生します。

「顔で見分けよう」なんて方法もありますね。

これは先ほどの「識別」とセットで行えます。

これも非常によい方法ですが、村民加入の郵便局。

みたいな環境でないと難しいかもしれません。

そ・こ・で、出てくるのが「暗証番号」なのです。

「顔を覚えきれないんだったら、本人にしか分からない秘密のことばを設定してもらおう。

お金を引き出すときはそれを答えてもらえばいい。

本人しか知らないんだから、本人だということが確認できるぞ。

なんでいいアイデアだ!」なんて言ったかどうかは分かりませんが、そう考えた人がいたわけです。

ただし、これは特別独創的なアイデアというわけではありません。

「山と言えば川」に代表される、符牒やら合い言葉は昔からありました。

これを応用したのが、現代の暗証番号と言えます。

「今、お金を引き出そうとしているこいつは、ほんものだと思っていいのか?」を確認するステップなんですね。

セキュリティ用語では、「認証」と言います。

ポイントになるのは、銀行や利用者がやりたい(やって欲しい) のは認証という行為であって、暗証番号の確認はその手段でしかないということです。

「認証」ができればその手段は本当はなんでもいいのです。

「認証がしたい」→「暗証番号を使ってみょうか」という流れであって、「暗証番号ありき」→「認証ができたぞ」ではないことは、是非把握しておきましょう。

順序が違うとだいぶ結果が違ってしまいます。