徳丸氏は話題の二段階認証についても万能ではないことを語った

二段階認証も万能ではない

それでは決済システム構築のうえで重要なことは何か。徳丸氏は「守るべきものの明確な順位付けをまず決めること」と述べる。店頭での支払いのみでなく、広い意味での決済サービスは銀行によるオンラインバンキングが先行している。店舗減など経費削減のため銀行がオンライン化を進める中で「不正ログインが起こりうることは、設計の段階で当然予測されている。モバイルバンキングでは預金の保護が最優先にされる」と徳丸氏は語り、銀行はまず預金保護のため、不正な振り込みを防ぐことを優先し設計。そのうえで個人情報など他の保護すべきものや利便性との両立といったことを考えていくものであることを説明した。

「利便性との両立は高度な調整を要するが、まずは安全性であり、その中でも利用者の資産保護第一など守るべきものの優先度を決めることになる」と徳丸氏。買い物アプリとの相乗りを目指した7payでは「利便性を優先したうえに、既存の仕組みに決済機能を載せるという難易度の高いことを目指した」と優先度の決定や設計の問題点を指摘した。

7pay問題発覚後の記者会見で、事業会社の社長が、要領を得ない質疑応答を行い話題となった二段階認証。これはIDとパスワードによる認証に加え、SMSやメールでスマートフォンに送られたコードを入力するなど、もう一段階の認証を求める方式。多くの場合は、まず会員登録時にIDとパスワードを設定後にSMSやメールでコードを送り、その入力を求める。こういった手続きが7payで不要だったことや、記者会見の質疑応答で二段階認証を事業会社の社長がよくわかっていないのではという疑念が騒ぎを大きくしたが、「二段階認証は必ずしも万能というわけではない」と徳丸氏は語る。「SMSは携帯電話の古いプロトコルを用いたものであり、盗聴やなりすましの可能性もあると海外では警戒されている」と説明。グーグルが導入している二段階認証として、認証アプリをスマートフォンに入れトークンと呼ばれる6ケタの数字を入手し認証する方式もあり、「生体認証も含め、様々な方法を考えるべき」だと徳丸氏は二段階認証についてもさらなる安全対策を行う余地があることを指摘した。

要領を得ない記者会見後は、事業会社の社長が持つべき知識や能力についても大いに意見が噴出した。徳丸氏はITの事業会社の社長が専門知識を持ち、陣頭指揮を執る必要はないとしつつも、「セキュリティについての体制作りや他のグループ会社との調整について、力を入れるべきだ」と解説。これらこそがトップが果たせる役割だと指摘した。またしかるべき実務上の責任者を置き、こういった業務の補佐の他、万が一の事故があった際に実務責任者がしっかり説明を行えるようにしてくことも危機管理であることを徳丸氏は語った。

最後に消費者が安全なキャッシュレス決済を選ぶ手段について、徳丸氏は「初期不良の可能性もあるため、出たばかりのサービスをすぐに利用しないという考え方もある」と述べた他、「不安ならチャージの上限額が低いものにする、またクレジットカードや預金口座に紐付けず、店頭などで現金によるチャージを行えるものを利用すればいい」と述べた。キャッシュレス決済はサービスが乱立している状態。消費税還元のため増える利用者を保護するためにも、攻撃を予測し、守るべきものの優先順位を付け、技術面を含めより安全を追求し、なおかつ安心して使えるものが求められる。

(了)

リスク対策.com:斯波 祐介