日々読書、時々一杯、折々投資

モグパクです。都内で働くサラリーマンです。 新書・文庫を1日1冊読むのを日課にしてます。あと、酒(主に日本酒)を飲むこと、投資をすることが好きです。

いま情報セキュリティに何も不安を感じていない方が読むと不安いっぱいになりますが、それでも読んで頂きたい本

暗証番号はなぜ4桁なのか?セキュリティを本質から理解する(著者:岡嶋裕史)、光文社新書、2005年9月初版第1刷発行、

ーーーーーーーーー

そんなこと考えたこともない。この本のタイトルに対するわたしのさいしょの反応です。戸惑いながら読んでいると、さらに迷わせる記述にぶつかります。

 

なぜこぞってすべての銀行が暗証番号を使っているのでしょう?その前にパスワードと暗証番号の違いを明らかにしてしまいましょう(24ページ) 

 

えっ?!違うの?というか、「その前に」って、話がさらによくわからなくなっている(笑)。答えはこちらです。

 

「暗唱番号は数字しか使えないパスワードのことなんだなぁ。でもって、その制約は銀行側の都合でそうなっているんだぞ」と考えていただいて結構です(25ページ)

 

わかりやすい内容で安心です。いよいよ、4桁である理由です。

 

暗証番号は「暗唱」番号ってなもので、「4ケタぐらいだったら、お年寄りでも暗唱できるよね」くらいの思考が働いた結果のケタ数です(38ページ)

「4ケタなら4ケタで、なんで数字だけにしたんだ。アルファベットなんかもまぜてくれれば、作れる暗証番号のバリエーションが増えてもっと安全になったのに」という怒りへの回答はここで得られます。すなわち、「CD機にフルキーボードなんて付けたら大きくなって見苦しく(タッチパネルなんて普及していなかった時代です)、設置コストもかかるから」です(45ページ)

 

大切なお金を預けている銀行口座の暗証番号にしては、がっかりするぐらい安易な理由ですが、それゆえに、いかにもよくある話です。

 

パスワードとして考えられる最大の組み合わせは、0000~9999までの1万通りしかないということです!期待値としては、犯罪者は5000回も試しに暗証番号を打ち込んでみれば、「当たり」の番号を引き当ててしまう可能性が高いのです。これは、大事なお金を管理するためのシステムとしては、恐るべき脆弱性と言えるでしょう(38ページ)

 

本当におそろしい話です。いまどき、無料会員登録のパスワードの方がもっと複雑です。一方、インターネットバンキングでは、数字と文字を組み合わせ、しかも桁数も6ケタ、8ケタなので、安心してよさそうです。インターネットバンキングは、暗号化してくれています。ところが、この暗号化が怪しいのです。

 

暗号を設計している人たちはそんなことがないように、「最新のコンピュータを24時間フル稼働で試しても、鍵を見つけるまでに1000年かかるぞ」くらい複雑な鍵を作っているのですが、これは期待値であって「最初に試した『鍵』がたまたま当たりだった」ということは防げませんし、コンピュータの計算能力はどんどん進化しているので、最初「1000年かかるぞ」と思っていたのが、「金に糸目をつけずに開発したコンピュータだったら、2~3日で解ける」程度の安全さになったりしています(103~104ページ)

 

なかなか恐ろしい話です。シャーロック=ホームズの中の一作「踊る人形」の中にこんなフレーズがあります。

「人の造りしものならば、また人は解くことができる。」犯人は暗号を使っていたのですが、ホームズはそれを解析し、逆に犯人をおびき出して逮捕する道具に使ってしまいます。ホームズが暗号を解析したことを知ったときの犯人の言葉がこれです。

 

 

暗号とはちょっと違いますが、こんな話まであります。最近キャッシュカードに、ICチップが搭載されているのがありますね。これがあると、従来の磁気カードよりも安全性が高く、情報が盗られにくいのです。ところが、とんでもない落とし穴があります。

 

お手元にICキャッシュカードがあったら確認してみて下さい。前述のように、ICカードと呼ばれるカードにも磁気ストライプは付いていますよね(201ページ)

 

まったくICチップの意味がありません。しかし、これはやむを得ないのです。全国のATMのうちICチップに対応しているATMはほとんどないからです。利便性と安全性ははげしく対立することがあります。この話は、まったくとんでもない話です。

 

「セキュリティポリシでお客さんを安心させれば、ものを買ってもらえるんだな」と短絡した会社が、どうやっても守れないような、形だけ立派なセキュリティを作るかもしれません。そんなことができないように監査法人があるわけですが、ものすごく低い水準にセキュリティポリシを作って「さすがにこの程度は守られているようですね」という審査結果をもらって、「監査法人お墨付き!」と宣伝したり、内部監査なのにあたかも第三者に監査してもらったかのように喧伝したりすることはできます(186ページ)

 

ここまでくると、なんも信じられない、「セキュリティ不信」状態です。

 

この本、読み終わると不安感いっぱいになることは保証できます(笑)。出版後10年以上たちますから、いまの状況は改善してるはず?だし、それにご安心ください。岡嶋氏は、専門家でない人でもできる3つのアドバイスを紹介してくれています(207~209ページ)。


この本は、セキュリティの専門用語をほとんど使わない(なんと3つしか使っていません)本で、この種類の本としてはあり得ないぐらいの読みやすさです。岡嶋氏の読者の立場に立った、とっても親切なスタンスが強く感じられる本です。いまセキュリティになにも不安を感じていない方にこそ読んで頂きたい本です。