今更「秘密の質問」を導入する銀行のセキュリティ意識の低さ

私がオンライン・バンキングを使っている銀行からメールが来て，セキュリティ強化のためにリスク・ベース認証を実施するという。リスク・ベース認証というのは，ユーザーがアクセスに使っている機器の情報やIPアドレスなどを認識して，普段と違う環境からアクセスがあったときに，追加で認証を求めるというもの。

IPアドレスはともかく他にどんな情報を使うのか，気持ち悪い所ではある。これって，ある種の個人情報なんではないのか? だとすると，どういう情報を収集するのか，ユーザーに事前に告知して了承を得るのが筋ではないだろうか。

さらに問題なのは，この銀行が導入する「追加の認証」が，「秘密の質問」と「秘密の答え」だということだ。馬鹿なんじゃないの? 「秘密の質問」と「秘密の答え」という手法に，重大なセキュリティ・リスクがあることは，既に公然の事実である。「パスワードがウィルス等によって盗まれた場合に効果がある」とか，寝惚けたことをいってるのだが，「秘密の質問」の答えなんて，ウィルスすら使わなくても，手に入れることが可能な場合がある。この銀行が，どこの頓珍漢なコンサルティング会社に言いくるめられたのか知らないが，万一そんなことも知らずにセキュリティのコンサルティングをしているとしたら，ほとんど犯罪のようなものだ。実際，USでは，これによるID乗っ取り事件が多発したのだから。

一方で，そういうリスクを自分で理解できず，コンサルティング会社の言うことを鵜呑みにしている銀行の担当者も，無能というほかない。追加の認証が無意味なら，リスク・ベース認証なんて導入したって，セキュリティ強化には少しも繋がらないのは明らか。単に，ユーザーの利便性を損なうだけだ。るそんな下らないことに金をかけて，利息は抑えているのだから，まったくふざけた話である。

そもそも，「秘密の質問」と「秘密の答え」なんてものは，ユーザーにセキュリティ・リスクを押し付ける，責任転嫁の手法以外の何物でもない。「秘密の質問」がどれだけ本当に「秘密」なのか，その判断をユーザーに丸投げしてしまっているからだ。何かコトが起こったら，それは質問の内容が悪い，とか，答えを秘密にしておかなかったのが悪い，などと責任回避する思惑が見え見え。この点を指摘したら，ではユーザーが自分で質問を考えるのではなく，銀行側で10程質問を考えて，ユーザーが選ぶ形にする，とか，これまた素っ頓狂なことを言い出した。それじゃ，銀行に指定された質問のどれかについて，答えを秘匿する義務を強制されるということ? 冗談ではない。オンライン・バンキングのセキュリティ如きのために，他人との自由なコミュニケーションを制限されなければいけないのか。「お宅のおばあ様の誕生日はいつですか?」と知人に訊かれて，「それはセキュリティ上お答えできません」と言えというのか。極めて傲慢な態度だ。

人様の大事な資産を預かって，それで莫大な利益を得ている癖に，このセキュリティ意識の甘さはどういうことなのだろう。考えてみれば，今時4桁の数値だけで預金が引き出せてしまうようなシステムを使っている時点で，時代錯誤としかいいようがない。それだけ，銀行側にはセキュリティの知識を持つ人間がいないのだろう。全く恐ろしい。

企業のセキュリティなんて，所詮こんなもん。無闇に信用してしまっては，損をするのはこちらである。日頃から自己防衛を怠ってはならぬ，ということだ。