|
|
|
|
ITEMS BY CATEGORY
aphorism(2)
biz(11) in english(6) indian food(16) kaneko(17) korea(21) life and love(23) misc(81) salsa(3) soc(71) tech(48) things(22) travel(16)
Topics With Recent Comments
Archives
February 2008 (1)
December 2007 (1) November 2007 (1) October 2007 (2) September 2007 (3) August 2007 (2) June 2007 (2) May 2006 (1) March 2006 (1) February 2006 (3) December 2005 (1) November 2005 (2) October 2005 (1) August 2005 (8) July 2005 (6) June 2005 (8) May 2005 (5) April 2005 (10) March 2005 (9) February 2005 (5) January 2005 (8) December 2004 (6) November 2004 (5) October 2004 (7) September 2004 (5) August 2004 (3) July 2004 (6) June 2004 (3) May 2004 (19) April 2004 (10) March 2004 (20) February 2004 (7) January 2004 (6) December 2003 (6) November 2003 (7) October 2003 (7) September 2003 (5) August 2003 (8) July 2003 (6) June 2003 (12) May 2003 (12) April 2003 (15) March 2003 (14) February 2003 (11) January 2003 (12) December 2002 (14) November 2002 (15) October 2002 (7)
Recent Entries
精神科医薬とサイエントロジー
Asiajin - アジアのITに関する英語ブログ Rozerem - 全く新しい睡眠薬 A380ようやく就航 Animate! 福岡空港の増設・移転 Techcrunch20行きます mockmail.rb Embassy Suites Rails初心者講習会
Search
A-vertisement
|
October 27, 2004銀行のセキュリティ私はつねづね、銀行預金が通帳と印鑑で引き出せることに不安を感じていました。人によっては数千万円にもなる預金が、盗まれ得る物理的な認証手段だけで引き出せるというのですから。 私は不安に思って、東京三菱銀行に「通帳と印鑑ではすぐにおろせないようにしてくれ、本人確認をしてくれてもいい」と言ったのですが、鼻であしらわれました。「じゃあ通知預金にしてくれ」といったら通知預金は今はやってないというのです。銀行のセキュリティというのは金庫や現金輸送車など、自分のためにあるもので、顧客のためにあるものではないようです。 当たり前のことですが、物理的認証手段など盗まれてしまえば何の意味もありません。こんなもので預金を引き出せるというのは、セキュリティの観点から見ればゼロに等しいのです。裁判官が少しでもセキュリティを理解できれば、通帳と印鑑の盗難による預金被害などは、すべて銀行の責任になるところでしょう。 対策としてはいくつかの方法があります。 と書いていて調査をしたら、まともな顧客志向の銀行もありました。三重銀行です。ここでは引き出し時に暗証番号を聞くようなサービスを行っているようです。素晴らしいですね。優秀なセキュリティ・情報スタッフがいるのでしょう。 それにひきかえ東京三菱銀行にはセキュリティゴロに騙された愚かな情報スタッフがいるらしく、しょうもない「手のひら静脈認証VISAカード」を導入だそうです。こんなゴミにいくらお金をかけてるんでしょうね? ちょっと解約したくなりました。CIO 田中將介さんはやばいですね、知見が大変に疑われます。三重銀行の人とトレードしたらどうでしょう? Comments
自分は以前、預金を引き出す時に本人確認をされたことがありますよ。 なるほど、実際にはやっているところもあるんですね。 本人確認しないと預金を引き出せないサービスは欲しいですよね。 暗証番号ってキャッシュカードと同じ番号なんですか? 手のひら静脈認証がダメなのは*コストがかかるから年会費の高いVISAカードでしか導入できない*ことにつきるんじゃないでしょうか。基本的なセキュリティは高価なおまけじゃなくて、あって当たり前の機能なんです。 暗証番号のような基本的で安価なサービスを先に提供するのが筋であって、コストのかかり不安定なバイオメトリクスなどは後回しでしかるべきなんです。 暗証番号が人にばれたら困るなら、キャッシュカードもデビットカードも同じですよね。 将来的にバイオメトリクスを導入するのはご自由にという感じですが、目先の暗証番号導入とかいう大事なことをおろそかにするような硬直した姿勢では、その他のリスクにも対応できないのです。 海外キャッシュカードにはバイオメトリクスを導入できる日なんかこないでしょう。クレジットカードなどはどうするのか。全くもって。 私はバイオメトリクス認証の有効性に疑問を持っています。それも、破られやすさと、破られたあとのリカバリ性能の両面で。 以前、指紋認証がゼラチンの指で破られた、という話がありましたが、バイオメトリクス認証で使われる情報というのは、本人しか持ち得ないという保証はありません。 静脈認証を例にとって考えてみます。確かに、静脈の形は本人しか持ち得ませんが、機械が必要としている情報は本人の静脈の形などではなく、本人の静脈の形が、機械にとってどう認識されるか、という情報です。たとえば、偽の静脈認証デバイスをどこかに用意して、そこで本物の静脈認証デバイスを「騙す」に十分な情報を入手してしまえばいいのです。 そして、もっと嫌なのは、暗証番号は、ひとたび破られても簡単に変更が効きますが、バイオメトリクス認証の場合、ひとたび破られるともはや破られっぱなしになってしまうからです。破られたあとは、たとえ手を切り落としても無駄です。 (このあたり、半分は『辺境から戯れ言』の荒川さんの受け売りですが) それから、ソースは明かせませんが、バイオメトリクス認証を導入したある企業の担当者は、バイオメトリクス認証は、「セキュリティを向上したように見せる」効果を狙った意味あいが大きい、という主旨のことを言ってました。BTMが狙ったのもそういう効果だということは考えられますね。 ネット証券会社に口座を作り、そちらに送金しておくのも ありがとうございます。 ほそのさん、専門家としてのコメントありがとう。 Beyond Fearで重視されるAgenda(利害?)の表現を借りれば、BTMの静脈認証からは様々なAgendaが浮き彫りになりますね。 あ、一番大事なポイントを忘れていた。 バイオメトリクスみたいなメカメカしいものをつかっておけば、万が一問題がおきても「RAIDもUPSも高額商品を導入したのです! なのに○○のせいで」というような論法で切り抜けられると思ってるのでしょう。 暗証番号みたいなものはインパクトがないうえに、問題があったときに自分たちの責任になってしまうという恐怖があるんじゃないのかな。 おじさんの好きなものRAID,UPS,VPNにバイオメトリクスを追加しよう。 いや、そうじゃなくて、本当にfuzz wordしかわかんないのかなあ? Posted by: arai on November 1, 2004 12:24 AMバイオメトリクス認証は完全ではありません。弊社ベンチャーですが、金融機関窓口用本人認証システムを考案いたしました。認知度が少ないためまじめに考えて頂く金融機関がありません。興味がありましたら観て頂きご意見をお願いいたします。http://www.skr-tech.co.jp/MultiSecuritySystem.htm Posted by: SKR on December 29, 2004 10:16 AM単純な疑問なんですけど、銀行への預金は、銀行にお金を貸しているわけだから、金利がつくのは当然ですが、そうだとしたら、高度なセキュリティを求める消費者側も相応のコストである「年会費」を出すのもまた、当然のことではないんでしょうか? 万全なセキュリティはひとつのサービスであるからです。口座を開くのはタダだから、そのコストを払うのがいやな人は、他の銀行に単純に預ければいいこと。なんだか、MUFGを攻撃しているだけでは、説得力がない気がしますけど。。。 Posted by: momo on February 22, 2006 01:28 PM高度なセキュリティなどいれるまえに、基本的なセキュリティをいれろ、という話です。 ネットバンクに2因子認証すら使ってないのに静脈認証をいれるなんて全くおかしな話です。 コストが云々というのはちょっとミスリーディングでした。機械のコストが安いとしても、バイオメトリクスは様々な問題があって、あまり良くないとおもいます。 その点は申し訳ない。 Post a comment
|
