■SSLってそんなに重要なんですか・・・？

http://takagi-hiromitsu.jp/diary/20071117.html#p01

セキュリティの専門家はそんな風にいうかもしれないけど、

なんとなく地銀の内部事情も窺い知れるというもの。

そもそも武銀のネットバンクにどれだけユーザーがついているのか。

異常な入出金なんて人間系ですべてチェックできるレベルなのではないか。

そんなレベルなんじゃないの？

設計が悪いという指摘はごもっとも。

だが、そもそもその手の地銀が自前でシステムを構築してないんじゃないか？

サーバー運用まるごと委託している可能性の方が高い。

担当者の銀行に対する説明が不十分であるのは否めないが、

たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高い。

認証をとってしまうとある銀行の負荷が増えて参照サーバーをちょっと動かしちゃえなんていう離れ業ができなくなる。

逆にいうとそういう離れ業で逃げ道を担保しないと採算が合わないレベルなのではないか？

ドメイン認証をとることに積極的になれない理由も伺いしれる。

いっそ別ドメインで認証をとってしまってSSLは全部そっちとまとめてしまってもいいとは思うが、

銀行のようなところは激しく嫌がるだろう。

ネットショップなどを運営しているとSSLをつけるが、

SSL認証後（つまりログイン後）、

アフェリエイトやGoogle Analytics のような外部参照のサービスが利用できなくなる。

YouTubeの動画をはりつけたりするのもSSL警告対象だ。

SSLを通している以上、セキュリティエラーがでるのはもっとも。

だが、サービス面で自由度は落ちまくりである。

セキュリティの理想としてはサイトログインした直後からすべてSSLを通すのが望ましいかもしれない。

だが、ユーザーの利便性、提供者の利便性を考えたらSSLなんて最後の最後だけということになる。

設計思想以上にこのバランスは難しいものがある。

一般ユーザーのどれほどがSSLがなんであるか認識しているだろうか？

そしておそらく……

セキュリティにずるずるなユーザーというのはひろみちゅなんかが想像もできないぐらいずるずるだ。

IE７なんてもちろん、Win95でネットサーフィンをしているユーザーは実際存在する。

見識の高いところでクラクラするのはいいと思うが、現実はもっと泥臭いとろこでセキュリティ管理をしなきゃならない。

だから地銀が存在できるのではないか。

窓口の担当がお孫さんの勤め先まで知っているような地銀相手にご高説をぶったところで、田舎の住民に玄関に鍵をかけないのは危険ですよというようなものかもしれない。

一番のセキュリティホールは人間だというが、同時に一番のセキュリティゲートも人間なのだよ。

Permalink | 記事への反応(1) | 23:12

ツイートシェア