オンラインバンキングは多要素認証と多階層コントロールの時代に突入：2007年RSAカンファレンスレポート

さて答えである。といきなり始まっても何のことかわからない方は、前回のエントリーをご覧いただきたい。

Let's meet in San Francisco　2007RSAカンファレンス

米国金融当局FFIECが米国オンラインバンキング全てに対し、2006年末までに導入を要請した「二要素認証（Two Factor Authentication）は、RSAが、75％のシェアを獲得した。」が回答である。ただし、あくまでもRSAによる話によるもので、割り引いて考える必要はある（口座数なのか銀行数かは不明）と思う。しかし、主流となったことは間違いないようだ。事実、ワンタイムパスワードのライバルであるVeriSignのブースに話を聞きに行ったが、新しく導入された銀行の話については出てこなかった。期限となる2006年末近くに、最後の広告宣伝をうったのであるが、どうも不発に終わったのではないかと思う。

RSAであるが、そのうちのほとんどが、デバイス認証であり、取引パターンを解析するフォレンジックも同時に採用されたということであった。ワンタイムパスワードを用いたUSBトークンタイプは、1個あたり50ドル程度のコスト負担が耐えられないとして、銀行側から見送られたようで、旧パスマークセキュリティ社のデバイス認証の技術が、オンラインバンキングにおいて、事実上のデファクトとなったようである。旧パスマークセキュリティ社と旧サヨタ社がもつ、取引履歴の解析技術も、ほとんど同時に採用されたということであり、旧RSA社による一連の買収（PassMarkSecurity社およびCyota社）は大正解だったわけである。ということは、2006年6月に旧RSAを買収したEMCが、勝者ということである。パスマーク社とサヨタ社の技術、RSAの営業力、EMCの資金力が合わさった結果とも言える。

さて、本日からRSAカンファレンスは本格的スタートした。昨年と比較してみて、非常に特徴的なことを感じた。セキュリティ対策がより複雑になり「組み合わせ」のステージに突入してきたということある。つまり、セキュリティ対策は何か１つの方法で完全と言うものはなくなっており、「多要素認証」（Multi-Factor Authentication：パスワードなどによる一要素認証から、オブジェクト＝デバイス認証、バイオメトリックスなどによる、複数の要素での認証）、「多階層コントロール」（Multi Layer Control：疑わしい取引相手を多面的に分析し、排除する）も含めて、さまざまなタイプのものを組み合わせ、提案され、採用されていくということが、より鮮明になってきたということである。

オンラインバンキングにおける認証技術の戦いの第一ステージは、ひとまずEMCの勝利に終わったということになる。しかし、すでに次のステージの戦いが始まっている。二要素認証を導入しても、詐欺事件はなくなっていないためである。つまり、第一ステージで勝者になりえなかった技術やサービスも、「多要素認証」の中で、また新たな要素の一つとして導入される可能性が出てきたということである。その中の一つとして、バイオメトリクス（生体認証）技術採用の可能性が注目されており、急速に存在感を増しているのである。

（徳田浩司 koji.tokuda at www.fusion-reactor.biz）

追 記

9月1日追加情報

9月1日、旧中央青山の流れを組む、あらた監査法人と、みすず監査法人は業務を開始した。これは、旧中央青山監査法人の業務停止が8月31日で終了したことを受ける。

提携先である米国プライスウォーターハウスクーパースが「あらた監査法人」を設立し、900人強でスタート。一方旧中央青山監査法人は、「みすず」に名称変更し、た業務をを再開した。

みすずは、2500人。約3500人強いた旧中央青山監査法人のうち、約1000人が減少したそうである。一方、「あらた」は約900人でスタート。契約上場企業数はみすずがが3割減の580社、あらたが約400社だそうである。

旧中央青山の受け皿ができてひとまず安心である。ところでJ-SOX法であるが、対応の遅れは否めず、幸か不幸かガイドラインの発表も遅れており、中央青山の業務停止の影響は表面化はしていないが、どんどん対応が後ろ倒しになり、あとでそのツケが回ってくる可能性がある。

（徳田浩司 koji.tokuda at www.fusion-reactor.biz）

Mr.Sam Nakane, formerly the CEO of SAP Japan review my entry and sent an email

Plese see it as following.

"Middle-up & down? No, Top-down is better!　Email From Mr. Sam Nakane"

http://blog.japan.zdnet.com/tokuda/a/2007/01/middleup_down_n.html

And you may have some kind of risk regarding your business with Japanese companies because of J-SOX.

Please see my new entry as below,

"Business Checklist Working With a Japanese Company - May be requested for J-SOX compliance, Suddenly"

http://blog.japan.zdnet.com/tokuda/a/2007/01/a_business_chec.html

話が英語教育に脱線したついでに、関連して興味深い記事を発見したのでご紹介したい。

英語教育、韓国は教科書暗記…フィンランドでは英会話 （東亜日報2006年9月14日）

フィンランド語は、世界の語族の中で、韓国語、日本語、モンゴル語などとともに「ウラルアルタイ語族」に分類され、「インド・ヨーロッパ語族」である英語と語順、文法などで多くの違いがある。

フィンランド教育研究所のポイアラ教育顧問は、「フィンランド語は、前置詞、冠詞などがなく、英語と非常に異なる言語だ。英語を学ぶことは本当に難しいことだが、フィンランド人はみな、英語の大切さを十分知っており、学校で英語をよく教えるので英語が上手だ」と堂々と説明した。

ヘルシンキでは、タクシーの運転手も、英語で日常的な会話ができる。小学生から中年の紳士まで、道で会ったフィンランド人に英語で道を尋ねた時、通じない場合はほとんどなかった。みな学校で学んだ英語の実力だ。

フィンランドでは小学校3年生（8歳）から英語教育がスタートする。母国語の骨格が完成しており他言語に影響されにくくなった年齢で、更に、外国語を習得するにはぎりぎりセーフという絶妙なタイミングだ。ちなみに韓国は小学校5年生（10歳）ということで、ちょっと遅い。それに比べて日本は現在中学校からで12歳。手遅れである。

そういえば、私も思い当たる節ある。あるシリコンバレーのIT企業のエンジニアがたくみな英語の使い手ですっかり米国のネイティブスピーカーだと思い込んでいた。しかし、出身を聞いて見ると、実はフィンランド人だった。英語などインドヨーロッパ語族はSVO（主語＋動詞＋目的語）構造であるが、日本語、韓国語、フィンランド語は、SOV（主語＋目的語＋動詞）構造で、構文がまるっきり異なり、これらを母国語とする国民は、英語を習得するのがもっとも不得意だ。彼は相当な努力をしたのだろうが、フィンランドの教育制度のおかげでもあろう。

国際経済競争力のランキングで、フィンランドは2006年は2位で、2001年から2004年までトップだった。一方、日本は7位で後塵を拝している。フィンランド企業としては携帯電話のNokiaが有名だが、英語教育の成果として、IT立国として成功しているフィンランドを、日本社会も見習うべきだ。

仮想化技術とは少し異なるが、ちょうどZDNetに、サンマイクロから、データセンターの消費電力削減ソリューションの解説があったので、ご紹介したい。

データセンターと地球環境の課題を解決する新機軸

Sun Fire　&　CoolThreadsサーバ

http://paper.japan.zdnet.com/abstract.htm?wpn=1520&tag=zp.co..

このホワイトペーパーでは、具体的な事例で、コスト算定がなされていて、イメージがわきやすいと思う。これによると、サーバ自身の消費電力に比べて、冷却に必要な空調コストは、なんと4,5倍もかかるそうである。さまざまな技術やピークの平準化などの工夫を凝らしてサーバーをまとめ、CPU数を減らすことができると、大幅にコスト削減効果があるわけだ。やはり、熱の問題は大きくコストを左右し、真剣に議論されるわけである。

会場の様子は、以下のレポートをご覧いただきたい。

「オンラインバンキングは多要素認証と多階層コントロールの時代に突入：RSAカンファレンスレポート」

「ついに見た、Windows Vistaの新しいセキュリティ機能CardSpace-RSAカンファレンスレポート」

また、認証技術を他社に先んじて取り入れ、銀行取引において高い市場シェアを獲得した事例がある。旧パスマーク社が提供するサイトキーを用いたバンカメの取組みについて以前書いた。セキュリティへの取組みの考え方において、セキュリティ＝余分なコストと捉えるのではなく、積極的に、売上拡大につなげる手段と捉えた好事例である。参考になるかと思われ、ご一読いただきたいと思う。

「戦略的セキュリティ・システム」投資の衝撃」

「組み合わせ」の事例だが、RSAブースでいくつか新しい試みを発見した。

まだプロトタイプで発売していないという話であったが、生体認証の一つである、指紋認証と組み合わせ、PINコード入力を不要とするものや、ワイヤレス対応し入出管理などにも応用できるタイプのトークンなどが参考展示されていた。

多要素認証のステージになると、二要素認証時代にはライバルであった企業と手を取り合い、セキュリティの「組み合わせ」ソリューションを提供していくことになるのである。

セキュリティは頑丈なものを作っても、時間がたてば、それを打ち破る方法が編み出される。これで完璧ということはなく、何重にもセキュリティの「組み合わせ」が増えてしまう。そう方向性とは違った動きとしえ、マイクロソフトは新しい取組みを行っており、具体的なオンラインバンキングの事例を示し、提案していた。それについては、

「ついに見た、Windows Vistaの新しいセキュリティ機能CardSpace-RSAカンファレンスレポート」をご参照いただきたい。

また、セキュリティにおける認証技術を他社に先んじて取り入れ、競争優位に立つことで高い市場シェアを獲得した事例がある。旧パスマーク社が提供するサイトキーを用いたバンカメ）（Bank of America）の取組みについて以前書いた。セキュリティへの取組みの考え方において、セキュリティ＝余分なコストと捉えるのではなく、積極的に、売上拡大につなげる手段と捉えた好事例である。セキュリティ関連部署の方や企画部門の方に参考になるかと思われ、ご興味あれば、これもご一読いただきたいと思う。

「戦略的セキュリティ・システム」投資の衝撃」