|
PGP® Command Line導入事例 - 三井住友銀行(パソコンバンクWeb21)
| 三井住友銀行は、法人向けインターネットバンキング「パソコンバンクWeb21」のセキュリティを強化する取り組みを続けている。今回、PGP®
Command Lineを活用して開発した「振込データ改ざん防止システム」についてEC業務部 商品企画第一グループ 部長代理 北谷展清氏にくわしく聞いた。 |
 |
| もくじ |
- パソコンバンクWeb21について
- 「振込データ改ざん防止システム」の概要
- 「振込データ改ざん防止システム」を使うと、何が、どう良くなるのか。
- 「振込データ改ざん防止」の手法として、暗号化が最適である理由
- PGP® Command Lineを採用した理由
- 今後の期待
|
― 三井住友銀行のパソコンバンクWeb21について教えてください。
「パソコンバンクWeb21 (以下 Web21)」は、法人向けのインターネットバンキングサービスです。振込、給与支払い、残高や明細照会、などの経理業務を、会社のパソコンから行うことができます。2008年現在、10万社を超えるお客様にご利用いただいています。
Web21は、インターネットならではの利便性だけでなく、セキュリティにも力を入れています。今回、PGP
Command Lineを使って「振込データ改ざん防止システム」を構築したのも、そうした取り組みの一環です(※1)。
| ※1 「振込データ改ざん防止システム」はWeb21≪エキスパート≫のオプションサービスです。ご利用の際は、三井住友銀行への別途お申し込みが必要になります。
|
― PGP Command Lineを使って構築した「振込データ改ざん防止システム」の概要をお聞かせください。
「振込データ改ざん防止システム」は、ユーザー企業が三井住友銀行に送信する振込依頼データが、ユーザー企業内で改ざんされていないことを担保するためのシステムです。
振込依頼データは、まずユーザー企業側のPGP
Command Lineサーバで自動的に暗号化し、暗号化された振込依頼データをWeb21を利用して三井住友銀行に送信します。三井住友銀行側は、受け取った「暗号化されている振込依頼データ」をPGP
Command Lineサーバで自動的に復号化し、その後、所定の手続を経た後に、振込処理を実行します。
主に、内部統制報告書を提出する必要のある上場企業向けのサービスです。
| 3.「振込データ改ざん防止システム」を使うと、何が、どう良くなるのか。 |
― 「振込データ改ざん防止システム」を使うと、何が、どう良くなるのですか。
「振込データ改ざん防止システム」を使うことにより、振込の業務手順における社内不正(振込データの改ざん)を防止することが可能になると考えております。
振込とは、「会社のお金が、会社の外に出て行くこと」であり、財務諸表とも直結する業務なので、内部統制報告書においては、特に重視されるポイントです。
「振込データ改ざん防止システム」を使わない場合の「通常のセキュリティレベル」は次の図のとおりです。
担当者が振込依頼をし、承認者(上長)がそれを承認して、はじめて振込が実行されるという業務手順です。いろいろと考え方はありますが、通常の企業ユーザーにおいては、まずはこのセキュリティレベルで十分であろうと思われます(※2)。
しかし内部統制報告書を監査する、監査法人の視点からは、このセキュリティレベルが不十分に見えることがあります。次の図のとおりです。
|
※2 Web21 << エキスパート>>には、「上長による承認」の他にも、「操作履歴閲覧設定機能」、「外部ファイル送信固定機能」、「ダブル承認機能」、「承認上限、明細上限設定機能」、「アクセス権限詳細設定機能」など多くのセキュリティ強化機能が備わっています。
|
次の図は、「振込データ改ざん防止システム」を使った場合のセキュリティレベルです。PGPによる暗号化と電子署名により、振込データの改ざんが防止されていることが分かります。振込業務手順のセキュリティレベルが大幅に向上していることがわかります。
「振込データ改ざん防止システム」は、自動車メーカー等で開発されている「飲酒した場合は、そもそもトラックのエンジンがかからない、飲酒運転防止システム」にコンセプトが似ています。運輸業界のように、「飲酒運転の撲滅」が厳しく求められる会社では、このような「しくみとしての飲酒運転防止」が意義を持ちます。同様に、内部統制が厳しく求められる会社においても、「振込データ改ざん防止システム」のような「しくみとしての改ざん防止」に意義があります。
「振込データの非改ざんを担保する」ための手段としては、暗号化の他にもやり方がありますが、費用や正確性を考慮した場合、暗号化を使うのが最も合理的でした。
| 4.「振込データ改ざん防止」の手法として、暗号化が最適である理由 |
― 「振込データの非改ざんを担保するための手段としては、暗号化を使うのが最も合理的だった」とは具体的には。
「振込データの非改ざんを担保する手段」としては、暗号化の他に、1):「徹底目視検査」、すなわち「基幹システムから出力された振込依頼データと、実際の振込データとを、人間が、徹底的に見比べて、チェックする」というやり方、そして、2):「ホストtoホスト」、すなわち「ユーザー企業のホストコンピュータと、三井住友銀行のホストコンピュータを、専用線で直接つないでしまう」というやり方の二つが想定できます。
しかし、第一の手法、「徹底目視検査」は、結局、人間が目で検査するということで、正確性に問題があります。また内部統制の観点からは、「その人間が誠実に検査することをどう担保するのか」という疑義も発生します。また人的コストも膨大になります。
また、第二の手法、「ホストtoホスト」は、プロセスの中に人手を介在させないので、正確性、確実性の点では申し分ありませんが、しかし、費用は膨大にかかります。
三井住友銀行としては、正確性と費用が両立しうるという点で、「振込データの非改ざん」を担保するには、暗号化手法を使うのが最も現実的だという結論に達しました。
― 「振込データ改ざん防止システム」を導入した場合、ユーザー企業側の手数・工数は増えるのですか。
暗号化された振込データをWeb21で受付するための事前設定(公開鍵のダウンロード等)は必要ですが、振込操作においては、通常のWeb21での手順と大きく変更はありません。
| 5.PGP Command Lineを採用した理由 |
― 次にPGP Command Lineへの評価についてお聞きします。「振込データ改ざん防止システム」の暗号化エンジンに、PGP Command
Lineを採用した理由は何ですか。
PGPは、1991年に発表されて以来、公開鍵暗号を使用した暗号化ソフトウエアとして、世界中で広く使われています。また、PGP
Command Lineは、ソースコードが公開されており、これまで長年にわたり、多くの技術者に「揉まれてきた」ソフトウエアなので、安全性はもちろんのこと、安定性においても高く評価できます。
PGPであれば、銀行業務に採用する暗号化エンジンとして、信頼できます。
そして、PGP Command Lineは、暗号化エンジンとして、国内外に広く普及しています。Web21のお客様でもPGP Command
Lineを既に使っている会社があり、その事実も今回のPGP採用の後押しともなりました。
― PGPとNSDへの今後の期待をお聞かせください。
三井住友銀行は、今後もパソコンバンクWeb21の利便性やセキュリティレベルについて向上を図っていきます。PGPおよびNSDには、これからも高い技術とサポートとを継続提供していただき、当行の取り組みに倍旧の支援をいただくことを期待いたします。今後ともよろしくお願いいたします。
三井住友銀行様、本日はお忙しい中、
貴重なお話をありがとうございました。
|
※ 株式会社三井住友銀行(パソコンバンクWeb21)のWebサイト
※ 取材日時 2008年12月
※ 取材制作:カスタマワイズ
|
