Let's meet in San Francisco 2007RSAカンファレンス

徳田浩司(Koji Tokuda) 2007-02-05 19:03:55

明日はRSAカンファレンスが開催される。前回はSan Joseであったが、今回は、サンフランスコ市内のMosconeセンターで開催される。

昨年、ZDNetに記事を掲載してからもう1年になるわけだ。

銀行関係者が2006年末に導入期限迫った2要素認証技術に注目:RSAカンファレンスレポート

これは、どういう話であったかというと、オンラインバンキングにおけるフィッシング詐欺への対応策の話である。従来の、パスワードだけの認証(一要素認証、One Factor Authentication)だけでは不十分で、追加の認証方式、二要素認証(Two Factor Authentication)の導入を2006年12月までに行うべしと、米国金融当局がガイドラインを設け、実質的な規制を行ったということである。

一時期に比べてユーザの認識も高まったので事件は少なくなってはきたようだが、それでもフィッシング詐欺はアメリカで横行し続けていて、何らかの取組みが必要である。

さて、この導入期限迫った二要素認証技術ということだったが、期限と言われた2006年12月は過ぎた。実際どういう方式が採用になったのか大変興味がある。

銀行は、セキュリティに関しては公にしているところは意外と少ない。そのため、なかなか実態がつかみづらい。ほとんどが何らかの方式を採用することを決定しているのではないかと思うが、実際に金融当局の検査が入るのは、2007年に入ってすぐではなく、若干の余裕はあるそうであり、まだ未導入のところも少なくないようである。今回のRSAカンファレンスで、その回答を探ろうと思う。

セキュリティ業界の動き

この1年で興味のある動きがあった。金融向けの二要素認証については、デバイス認証とリスク評価を行うCyota社が2005年12月にRSAに買収された。更に、絵認証を行うPassmark社も2006年4月にRSAに買収された。なんとその直後の6月には、RSAカンファレンスの冠スポンサーだったRSA自身が、とうとうEMCに買収されてしまったのである。EMCがほとんどのタイプの技術を押さえてしまったことになる。今後も、セキュリティの世界はさまざまなタイプの技術が入り乱れて競争を行うことになるが、一つの技術で全てをカバーすることはできず、いくつかのタイプのものを組み合わせることが必要だ。そのため、2007年も、資金力があるものが、不足する技術を求めて、活発にM&Aが行われるものと思われる。

二要素認証技術の動向

既報告の通り、二要素認証は、大別すると生態認証系、ワンタイムパスワード系、デバイス認証系、その他に分かれる。RSA(EMC)はワンタイムパスワードとデバイス認証の2つの技術を持つことになったが、相反するところもあった。ワンタイムパスワードは、通常USBトークン等で使用するが、ハードウエアであるためそれなりのコストがかかる。ところが、米国金融当局の要請は、オンラインバンキングユーザ全てに対して要請している。ハードウエアトークンを採用すると、あまりアクティブではない口座までトークンの配布が必要であり、例えばトークン1個5,000円かかるとすると、かなりのコスト負担になる。10万口座もつと5億円のコストがかかる。100万口座クラスの大手銀行だったら、トークンだけで50億円もかかるわけで、とてもコストを負担しきれない。

旧Passmark社の技術は、ハードウエアを使うタイプに比べて、コスト的に優位であることから、広く使われている模様である。ただし、公表されていないので、どれだけ普及したかは不明である。しかし、少なくとも銀行へのアウトソーサーが数社採用しているということのようであり、数千の銀行で使われているようである。

明日から、カンファレンスに参加します。様子を簡単に報告したいと思う。

日本から出席される方もいらっしゃると思いますが、セキュリティへの取り組みについて、日本の状況のお話をお聞きしたいので、よろしければ、会場でお会いしましょう。

以下にご連絡ください。

http://fusion-reactor.biz/contactus.html

(徳田浩司 koji.tokuda at www.fusion-reactor.biz

追 記

9月1日追加情報

9月1日、旧中央青山の流れを組む、あらた監査法人と、みすず監査法人は業務を開始した。これは、旧中央青山監査法人の業務停止が8月31日で終了したことを受ける。

提携先である米国プライスウォーターハウスクーパースが「あらた監査法人」を設立し、900人強でスタート。一方旧中央青山監査法人は、「みすず」に名称変更し、た業務をを再開した。

みすずは、2500人。約3500人強いた旧中央青山監査法人のうち、約1000人が減少したそうである。一方、「あらた」は約900人でスタート。契約上場企業数はみすずがが3割減の580社、あらたが約400社だそうである。

旧中央青山の受け皿ができてひとまず安心である。ところでJ-SOX法であるが、対応の遅れは否めず、幸か不幸かガイドラインの発表も遅れており、中央青山の業務停止の影響は表面化はしていないが、どんどん対応が後ろ倒しになり、あとでそのツケが回ってくる可能性がある。

(徳田浩司 koji.tokuda at www.fusion-reactor.biz

Mr.Sam Nakane, formerly the CEO of SAP Japan review my entry and sent an email

Plese see it as following.

"Middle-up & down? No, Top-down is better! Email From Mr. Sam Nakane"

http://blog.japan.zdnet.com/tokuda/a/2007/01/middleup_down_n.html

And you may have some kind of risk regarding your business with Japanese companies because of J-SOX.

Please see my new entry as below,

"Business Checklist Working With a Japanese Company - May be requested for J-SOX compliance, Suddenly"

http://blog.japan.zdnet.com/tokuda/a/2007/01/a_business_chec.html

話が英語教育に脱線したついでに、関連して興味深い記事を発見したのでご紹介したい。

英語教育、韓国は教科書暗記…フィンランドでは英会話 (東亜日報2006年9月14日)

フィンランド語は、世界の語族の中で、韓国語、日本語、モンゴル語などとともに「ウラルアルタイ語族」に分類され、「インド・ヨーロッパ語族」である英語と語順、文法などで多くの違いがある。

フィンランド教育研究所のポイアラ教育顧問は、「フィンランド語は、前置詞、冠詞などがなく、英語と非常に異なる言語だ。英語を学ぶことは本当に難しいことだが、フィンランド人はみな、英語の大切さを十分知っており、学校で英語をよく教えるので英語が上手だ」と堂々と説明した。

ヘルシンキでは、タクシーの運転手も、英語で日常的な会話ができる。小学生から中年の紳士まで、道で会ったフィンランド人に英語で道を尋ねた時、通じない場合はほとんどなかった。みな学校で学んだ英語の実力だ。

フィンランドでは小学校3年生(8歳)から英語教育がスタートする。母国語の骨格が完成しており他言語に影響されにくくなった年齢で、更に、外国語を習得するにはぎりぎりセーフという絶妙なタイミングだ。ちなみに韓国は小学校5年生(10歳)ということで、ちょっと遅い。それに比べて日本は現在中学校からで12歳。手遅れである。

そういえば、私も思い当たる節ある。あるシリコンバレーのIT企業のエンジニアがたくみな英語の使い手ですっかり米国のネイティブスピーカーだと思い込んでいた。しかし、出身を聞いて見ると、実はフィンランド人だった。英語などインドヨーロッパ語族はSVO(主語+動詞+目的語)構造であるが、日本語、韓国語、フィンランド語は、SOV(主語+目的語+動詞)構造で、構文がまるっきり異なり、これらを母国語とする国民は、英語を習得するのがもっとも不得意だ。彼は相当な努力をしたのだろうが、フィンランドの教育制度のおかげでもあろう。

国際経済競争力のランキングで、フィンランドは2006年は2位で、2001年から2004年までトップだった。一方、日本は7位で後塵を拝している。フィンランド企業としては携帯電話のNokiaが有名だが、英語教育の成果として、IT立国として成功しているフィンランドを、日本社会も見習うべきだ。

仮想化技術とは少し異なるが、ちょうどZDNetに、サンマイクロから、データセンターの消費電力削減ソリューションの解説があったので、ご紹介したい。

データセンターと地球環境の課題を解決する新機軸

Sun Fire & CoolThreadsサーバ

http://paper.japan.zdnet.com/abstract.htm?wpn=1520&tag=zp.co..

このホワイトペーパーでは、具体的な事例で、コスト算定がなされていて、イメージがわきやすいと思う。これによると、サーバ自身の消費電力に比べて、冷却に必要な空調コストは、なんと4,5倍もかかるそうである。さまざまな技術やピークの平準化などの工夫を凝らしてサーバーをまとめ、CPU数を減らすことができると、大幅にコスト削減効果があるわけだ。やはり、熱の問題は大きくコストを左右し、真剣に議論されるわけである。

会場の様子は、以下のレポートをご覧いただきたい。

「オンラインバンキングは多要素認証と多階層コントロールの時代に突入:RSAカンファレンスレポート」

「ついに見た、Windows Vistaの新しいセキュリティ機能CardSpace-RSAカンファレンスレポート」

また、認証技術を他社に先んじて取り入れ、銀行取引において高い市場シェアを獲得した事例がある。旧パスマーク社が提供するサイトキーを用いたバンカメの取組みについて以前書いた。セキュリティへの取組みの考え方において、セキュリティ=余分なコストと捉えるのではなく、積極的に、売上拡大につなげる手段と捉えた好事例である。参考になるかと思われ、ご一読いただきたいと思う。

「戦略的セキュリティ・システム」投資の衝撃」

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!