このページの本文へ
ここから本文です

他山の石として参考になる

日銀の論文は、銀行など金融業に携わる人向けの情報である。しかし、Webサービスを提供する人・利用する人にとっても非常に参考になる。

例えば、「ログインした人は連絡用のメールアドレスを変更できる」というセキュリティ対策の“穴”は、Webサービスの多くが似た問題を抱えている。本人確認のためID/パスワードの入力を求める際に、「そのIDは登録されていません」、「パスワードが違っています」という2種類のエラーメッセージを用意しているWebサービスがある。例えば、「IDが間違っている」と悪人に教える必要はない。「IDまたはパスワードが間違っています」というメッセージの方が、不親切だが安全である。

Webサービスの提供会社には耳が痛い事例も日銀論文には載っている。例えば、「高度な操作権限のあるID/パスワードを業務委託先に貸与しているが、委託先の操作履歴を把握も検証もできない」というもの。ありがちな話である。

Webサービスを利用する会社や個人にとって、「24時間利用可能なインターネットバンキングの契約者が夜中にフィッシングに気づいたものの、連絡窓口は日中だけだった」という事例は気になるはずだ。重要な用途で使うWebサービスは、24時間対応可能な連絡窓口がある会社のものに加入しようという気になる。

日銀論文は、Webサービス利用者・提供者のいずれにとっても、サービスの安全性や質のチェックリストとして利用できそうである。

須藤 慎一

本業は通信や情報機器のプランナー/ライター。企業を訪問して事例を取材するのが大好き。ライフワークとして迷惑メール対策にも取り組んでいる。
http://www.ipaco.co.jp/prof/

あなたのご意見をコメントやトラックバックでお寄せください

記事検索 オプション

日経BP社の書籍購入や雑誌の定期購読は、便利な日経BP書店で。オンラインで24時間承っています。

ご案内 nikkei BPnetでは、Internet Explorer 6以降、 Safari 2以降、Opera 8以降、Netscape 8.1以降またはHTML 4.01/CSS level 1, 2をサポートしたWebブラウザでの閲覧をお勧めしております。このメッセージが表示されているサポート外のブラウザをご利用の方も、できる限り本文を読めるように配慮していますが、表示される画面デザインや動作が異なったり、画面が乱れたりする場合があります。あらかじめご了承ください。

本文へ戻る