日本銀行金融研究所 / 金融研究 / 2001.4
松本 勉/岩下直行
要 旨
暗号、電子認証、ICカード等の情報セキュリティ技術が、わが国の金融業界においても実務に利用されるようになってきた。欧米では、従来から、こうした情報セキュリティ技術が金融実務に利用されてきたが、わが国でも、その必要性が徐々に認識される状況にある。
オープンなネットワークで金融業務を提供する場合、金融機関がどのような情報セキュリティ技術を採用するかによって、業務の安全性が規定されることになる。もしもセキュリティ技術の選択を誤り、業務の安全性を十分に確保できなかった場合、当該金融機関は、セキュリティ侵害による業務の停滞や金銭的被害のリスクにさらされるだけでなく、レピュテーションを損ない、経営面にもダメージを受ける惧れがある。また、技術進歩や新しい攻撃法の登場等の環境変化に適切に対応できないと、従来想定していなかったリスクにさらされてしまう危険性もある。
こうした問題に対処するためには、暗号アルゴリズムなどの基礎技術については、政府機関や学界が進めている安全性評価と標準化の結果を参照していくことが考えられる。また、実装や運用管理などの応用技術については、第三者機関が評価・認定するという枠組みが実用化されつつあり、これを活用することが考えられる。さらに、万一システムに何らかのセキュリティ技術上の欠陥が発生した場合に、それが適切に報告される制度的な枠組みを整備していくことについても、今後検討が必要であろう。
わが国の金融機関は、こうしたさまざまな手段を活用しつつ、情報セキュリティ技術の選択について正確な判断を下し、金融業務の安全性を確保していくことが要請されているといえよう。
キーワード:情報セキュリティ技術、安全性評価、標準化、暗号、電子認証、ICカード
本稿は、2000年11月22日に日本銀行で開催された「第3回情報セキュリティ・シンポジウム」への提出論文に修正を施したものである。本稿に示された意見はすべて筆者達個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではない。
松本 勉 横浜国立大学大学院環境情報研究院
岩下直行 日本銀行金融研究所研究第2課