公開日:更新日:
フィッシングサイトへのアクセスを防ぐため、企業が講じるべきセキュリティ対策
橘:フィッシングサイトへのアクセスを防止するために、企業として講じるべきセキュリティ対策はありますか? 河原:企業側もフィッシングメールを見破る対策やID・パスワードをだまし取られないような対策を講じる上で協力していただきたいです。現在、警察庁では金融庁や経済産業省、総務省と連携し、全国銀行協会や日本クレジット協会など業界団体を通じて、幅広い分野の事業者に送信ドメイン認証技術である「DMARC(ディーマーク)」の導入を要請しています。 橘:送信ドメインを認証する技術ですね? 河原:メールに送信元のドメインが表示され、送信元のドメインが信用できるものかを確認する技術です。これについては「キャッシュレス社会の安全安心の確保に向けた検討会」報告書にも記載されているので、ぜひ参考にしていただければと思います。これは警察庁のWEBサイトからダウンロード可能です。「DMARC」の運用はメールを送信する側だけでなく、受信側のメールサーバーにも実装することが必要であり、電気通信事業者が提供するメールサービスにも「DMARC」機能が提供されるよう働きかけることが重要です。
認証技術「パスキー」とは
橘:「DMARC」以外にも技術はありますか? 河原:個人認証にID・パスワードを使わない「パスキー」という認証技術があります。サービスを提供する事業者の手元にはサービス利用者の公開暗号鍵があり、秘密暗号鍵は利用者の認証デバイスに保存されています。この認証デバイスは普段ロックされていますが、利用者がサービスにアクセスする際、手元にある認証デバイスのロックを生体認証で解除し、サービス提供事業者が都度発行するランダムな文字列に秘密鍵で署名して送り返します。署名のあるランダムな文字列を手元の公開鍵で検証し、正規の利用者として認証するという手順です。