高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
「番号」は漏れると危ないのか?
さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは
第4回 実はカンタン、「プライバシー影響評価」
セキュリティ対策とプライバシー保護の対策は異なる。プライバシー保護は難しくない。実はマイナンバー制度は「我が社の、この業務」に最適な対策を検討できる方法を用意している。 情報システムだからできるプライバシー保護 企業から「セキュリティ対策なら分かるが、プライバシー保護のために何をすればよいか分からない」という声を聞くことがある。プライバシー保護というと、何やら雲をつかむような、打ち手の分かりにくい対策だと考える人もいるようだ。しかし、特殊な技術が求められるわけではない。 例えば、大量のマイナンバーを入手して売却するといった不正を防ぐことを考えてみよう。他人のマイナンバーを勝手に閲覧したり、データを入手したりするのを防止するには、個人情報にアクセスできる人の権限管理や証跡監査、ダブルチェックなどが有用だ。閲覧できる機器や場所を制限する、外部機器へデータを持ち出せないようにするといった、現実世
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
