日本企業のセキュリティ意識がやばすぎる問題

2019年に日本中を騒がせた二大セキュリティ問題と言えばやはりセブン&アイ・ホールディングスの7pay（セブン・ペイ）と神奈川県庁で利用していたHDDが流出したブロードリンク社のHDD転売事件の2つでしょう。

で、最近ふと「仮想通貨取引所では2段階認証って当たり前だけどそうじゃない層には全然浸透してないよな」と思って2段階認証の導入をまとめた記事を執筆しました。

Google Authenticatorで2段階認証を導入！不正アクセスを可能な限り遮断 | L'7 Records

で、調べれば調べる程分かったのが日系企業のセキュリティ意識の低さ。

日本、やべーです。

2段階認証対応サービス

外資系企業、特にSNSはアカウントそのものが著名な発信手段であり危惧すべきはアカウントの乗っ取りです。

例えばスタートトゥデイの前澤社長や芸能人で言えば有吉さんのような著名なアカウントの乗っ取りに成功すれば軽く100万単位で収益を挙げられるでしょう。

それを防ぐためにTwitter、Facebook、Instagram、YouTubeのような著名なSNSは軒並みGoogle Authenticator（以下App認証）を用いた2段階認証に対応しています。

それと日本では忘れてはいけません、CoincheckやZaifにおける仮想通貨流出事件。

これをきっかけに2段階認証が広く知れ渡ったと言っても過言ではないでしょう。

そのため、日本国内の業者であっても仮想通貨取引所の2段階認証採用率は非常に高く著名なbitFlyer、Coincheck、Zaif、DMM Bitcoin、GMOコインと全て採用しています。

極めて個人的なやり取りが多くなるSlackやChatwork、Skype、Discordなんかも2段階認証を採用。

ECサイトではAmazonやYahoo!ショッピングが対応しています。

日本企業の2段階認証採用状況

ここまで挙げた仮想通貨取引所以外、ほとんどが外資系企業やサービス。

では日本国内の2段階認証採用状況を見てみましょう。

あくまで認証Appを利用した2段階認証であり、携帯電話へのSMS送信による2段階認証は省いています［出典］。

著名なサービスではまずYahoo!Japanが挙げられます（独自の認証Appを利用していますが、仕組みはGoogle Authenticator等でも利用可能）。

他にも世界中で知られている任天堂もNintendoアカウントで採用、経営状況を知れる極めて機密性の高い情報が表示される会計サービスのfreeeも利用ができます。

他にも動画共有サイトのニコニコ動画、ロボアドバイザーによる自動投資のWealthNavi、最近対応したレンタルサーバー大手のエックスサーバーやGMOグループのConoHa等も採用。

著名なサービス、大体こんなもんです。

・・・え？これだけ・・・？

国内サービスの2段階認証はほとんど未対応

例えばEC最大手の楽天市場、非対応です。

国産SNSであるmixi、非対応です。

あれだけでかい個人情報流出を引き起こしたプレイステーションネットワーク、非対応です［参照］。

言うまでも無く7pay事件の当事者、セブン&アイ・ホールディングス運営のオムニ7（現7ID）、非対応です。

楽天証券・SBI証券・マネックス証券のようなダイレクトに個人の資産が分かる証券会社系、非対応です。

不正ログインにさえ成功すれば登録してあるクレジットカード情報を使って買い物し放題のECサイトZOZOTOWN、ヨドバシ・ドット・コムも非対応です。

ネットスーパー系、FX口座を提供する証券会社等も軒並み非対応です（この辺で調べるのがバカバカしくなってやめた）。

極めつけは国内大手航空会社のJALとANA、なんと2段階認証の手段が生年月日入力。いやもうアホかと。IDとパスワード割れる程度の人間なら生年月日ぐらい簡単に取得してこれる可能性高いと思うんですが・・・。

日本企業のセキュリティ意識・・・やばくない・・・？

2段階認証はユーザーが行える最大のセキュリティ

もちろん2段階認証を入れれば即ち安全とか100％保護されるとかっていいたい訳じゃないんです。

ただ、ユーザー側のセキュリティ対策って

・パスワードを可能な限り強固な物にする
・ID/パスワードを他サービスと使い回さない

これぐらいしか無いのが現状なんですよね。

で、2段階認証が導入出来れば一気に強固な認証手段となります、30秒ごとに正規のID所持者ですらスマホを開いて目視しないと分からないランダムな6桁の数字が切り替わる認証コード。

正規のID所有者ですら認証コードが見ないと分からない、これがポイントです。

IDとパスワードの脆弱性の一部に、「結局どちらも所有者は知っている」点が挙げられます。

その理由が覚えやすいようになのかいつも使っているからなのか理由は様々あるとして、「なんらか個人の情報を利用している可能性がある」と予測される事がありますよね。

例えば生年月日と名前を組み合わせるとか、車のナンバーの数字を使うとか。

2段階認証最大の特徴はこれが絶対に無い事、利用者の属性を一切排除して完全にランダムなユニークな文字列を提供する事で予測ができなくなります。

だからこそ利用者側最大のセキュリティ対策として2段階認証は導入されるべきだし、JALやANAの名前だけ2段階認証みたいなバカバカしい方式は絶対に避けるべきです。

更に2段階認証の優れているところはWebサービスAで流出したID・パスワードをWebサービスでBで利用しようとしても、WebサービスBに2段階認証が設定されていればログインできない点。

今の時代毎日のようにどこかしらで大なり小なり情報流出が起こっている、その前提で考えればIDやパスワードはサイト毎に変えるべきですが現実レベルとして中々難しいでしょう。

iCloudキーチェーンやGoogle Chromeのパスワード自動生成が段々便利になってきましたが、まだまだクロスプラットフォームユーザー（iPhoneだけど自宅はWindows等）には敷居が高いと言えます。

そこで異なるプラットフォームでも簡単にログインできるようにやってしまうのがパスワードの共通化、これは僕らが人間である以上仕方のない事。

ランダムな32桁の文字列を覚えろなんて無理ですよね、僕は無理です。

そこでシステム、つまり2段階認証を取り入れてセキュリティを強固にするのは非常に重要ですし是非日本企業には積極的に取り入れて欲しい部分です。

まずは自己のセキュリティ意識を改善する

と、ここまで偉そうに書いておいてアレなんですが、ぶっちゃけ今回調べて"日本企業の提供するサービスに2段階認証が全く無かった"事もそうですが、それを知らなかった自分のセキュリティ意識の低さにびっくりしました。

確かに言われてみれば僕が2段階認証でログインするのってSNSとか本当に一部の限られたサービスだけ、思い出して見れば全然使ってない気がする。

つまり僕自身もセキュリティ意識が非常に低かったと言わざるを得ません。

逆に言えば僕らユーザーのセキュリティ意識が向上すれば企業側も導入せざるを得なくなるでしょう、特にログインに成功すればダイレクトにお金を使えてしまうECサイトや資産そのものがある証券口座なんかには今すぐ対応して欲しい部分です。

まずは僕自身がセキュリティをもっと考える事、それが周りの人に少しでも伝わる事、その温度が企業に伝わる事。

少しでもセキュリティとは？を考えるきっかけになると幸いです。