RSAセキュリティが主催する「RSA Conference 2005 Japan」が12日から開幕した。セキュリティ関連の各講演やセキュリティ関連製品の展示などが行われ、期間は13日まで。12日は基調講演として、元ホワイトハウス サイバースペース安全保障担当特別補佐官のRichard Clarke氏らが登壇。最初に登場したClarke氏は、インターネット上のID盗難の現状と、いかにそれから身を守るべきかを語った。

ホワイトハウスのサイバースペース安全保障担当特別補佐官を務めていたRichard Clarke氏	米RSA SecurityのPresident兼CEO・Arthur Coviello氏

IDは1ドル以下

Richard Clarke氏は、2003年の同イベントに続く登場で、前回はサイバースペースをいかに守るべきか、という点について論を展開したが、今回は各国で問題視されている個人情報の盗難について語った。

Clarke氏によれば、現在個人を識別するIDは、犯罪者の間で1件「25セントとか1ドルとか」(Clarke氏)という低価格で売買されている。それだけ多く盗まれているわけで、米国では、企業が相次いでハッキングの被害に遭い、IDを盗まれているという深刻な現状を指摘する。

それに対する反応として、インターネットでのビジネスをやめようという気運が高まってきている、とClarke氏。インターネットでビジネスを行うメリットよりも、危険性を考慮してインターネット上のビジネス自体をやめてしまう方向に動き始めているのだという。米政府も最近になって「ようやく重い腰を上げ」(同)、対策に乗り出し始めているのだそうだ。

どう対策すべきか

こうした深刻なID盗難への対策は何か。Clarke氏は香港やシンガポールなどで使われている2要素認証、米カリフォルニア州の、ID盗難の可能性があった時点で顧客に通達しなければならないと定めた州法、欧州評議会のサイバー犯罪条約、米国の国家安全保障大統領令といった例を挙げる。特にClarke氏が強調したのが2要素認証だ。

2要素認証は、パスワード1つだけで個人を認証するのではなく、銀行ATMにおけるキャッシュカードと暗証番号のように、2つの要素がそろわないと認証ができない仕組みで、より強固な認証が実現できる、とされている。Clarke氏は「香港だけでなく、すべての政府が取り入れるべきだ」と、各国政府が政府内のシステム利用時などに2要素認証を行うよう提言する。

企業に関しても、IAM(ID Access Management:IDアクセス管理)が必要で、誰が、どんなIDにアクセスできるのかをきちんと定めるほか、2要素認証を使い、さらにきめ細かいアクセスコントロールが必要だと訴える。

政府、企業に加え、個人がすべきことに対してもClarke氏は言及。電子商取引やISPなど、IDを管理している企業に対して、個人は「何をする必要があるのか。何を要求しなければならないか」(同)。

電子商取引やISPなどの認証は、パスワードが使われる。しかしインターネット上には、パスワードをクラックするためのソフトが出回っており、パスワードが盗まれると、さまざまな個人情報に加えて、オンラインバンキングから預金が窃取されるなど、被害は容易に拡大する。

個人はオンラインサービスを提供する企業に対して「2要素認証を要求すべきだ」とClarke氏。米国ではこの動きが進みはじめており、米ISPのAOL、オンライン証券のE*Tradeなどが2要素認証を導入しており、これが広がるべき、というのがClarke氏の意見だ。

Clarke氏は、オンラインでサービスを提供している銀行の上層部に会うときに、オンラインサービスの利用者がどのくらいいるかを聞いているそうだ。「たいてい30～40%ぐらいという返答」(同)で、その程度の割合しかいないのは、利用しない人は「(オンラインサービスを)信用していないから」で、ID盗難などが相次いでいる現状では、「信用しないのももっともだ」(同)。

しかし、2要素認証によるセキュリティの向上を求める声は出始めている、とClarke氏。「一意の番号にすぎない」(同)IDではあるが、「IDの意味が重要になってきている」(同)。Clarke氏は、さまざまな取り組みによってIDを守っていく必要性を訴える。

Clarke氏は、「犯罪者が最も簡単に盗めてしまえるもの」がIDだと強調し、IDを防御する必要性を繰り返し訴えて講演を終えた。