こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。
という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。
「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点からすれば、その事務局が法人なのか国の機関なのか、あるいは委託先の企業なのか何なのかわからない。サイトの下部に、環境省と経済産業省、総務省のロゴが貼られているが、それが何を意味するのかはっきりしない。
そういう状況の中で、このサイトのドメイン名が「eco-points.jp」という汎用JPドメイン名になっているところがまずい。内閣官房情報セキュリティセンターの「政府機関の情報セキュリティ対策のための統一基準」の第4版は、「1.5.2.6 ドメイン名の使用についての対策」として、以下の通り遵守事項を規定している*1。
1.5.2.6 ドメイン名の使用についての対策
遵守事項
(1) ドメイン名の使用についての規定の整備
【基本遵守事項】
(a) 統括情報セキュリティ責任者は、ドメインネームシステムによるドメイン名(以下「ドメイン名」と言う。)の使用について、以下の事項を行政事務従事者に求める規定を整備すること。
(ア) 行政事務従事者は、府省庁外の者(国外在住の者を除く。以下、本項において同じ。)に対して、アクセスや送信させることを目的としてドメイン名を告知する場合に、以下の政府機関のドメイン名であることが保証されるドメイン名(以下「政府ドメイン名」という。)を使用すること。
- go.jp で終わるドメイン名 *2
- 日本語ドメイン名の中で行政等に関するものとして予約されたドメイン名
ただし、(略)
(ウ) 行政事務従事者は、府省庁外の者に対して、アクセスさせることを目的として情報を保存するためにサーバを使用する場合には、政府ドメイン名のサーバだけを使用すること。
政府機関の情報セキュリティ対策のための統一基準第4版, 内閣官房情報セキュリティセンター
「エコポイント」のサイトには「インターネット申請」機能があり、住所、氏名、生年月日、電話番号、購入製品等を入力させるようになっているのだから、「政府ドメイン名」のサーバだけを使用しなければならないはずである。
仮に、ドメイン名の周知が他の媒体(家電販売店で配布されるチラシ等)でなされているという理由をもって、これでかまわないのだとするとしても、SSLの使い方に問題がある。
まず、個人情報の入力画面が、図1のように、「https://eco-points.secure.force.com/...」となっていて、ドメイン名が、家電販売店等で周知されるものとは異なるドメイン名となっており、得体の知れないところになっている。EV SSL証明書が使われているわけでもないので、Firefox 3.5で表示すると、SSL接続を表すアドレスバーの青い部分は「force.com」と表示されて、国民にはそれがどこなのかわからない。どこかの共用SSLサイトのようにも見える(追記:見えるじゃなくて、本当に共用SSLサイトだった)。サーバ証明書の内容(発行先組織名)を確認しようとしても、San Franciscoの「Salesforce.com, Inc.」だということしかわからない。
これは単純なPhishing対策の観点からまずいだけではない。SSLによる暗号化通信は、相手先を確認できてはじめて意味を持つ。仮に、利用者が、ドメイン名を手入力して「エコポイント」のサイトにアクセスしたとしても、申請画面にたどり着くまでの間に、通信路上で(たとえば公衆無線LANなどを使用しているときなどに)通信内容を改竄されると、別の正規のSSLサイトに飛ばされてしまうので、盗聴されるのと同じ結果を招く。安全なWebサイト利用の鉄則に示されているように、利用者が重要な情報を入力する画面で(つまり図1の画面で)、運営者を確認できるようにSSLを使わなければ、SSLが意味をなさない。
なによりもまずいのは、こうした真正性の確認できないサイトで入力することに国民を慣れさせてしまうことだ。
クラウドコンピューティングが普及するのはけっこうだけども、入力画面の運営者の確認手段の提供を怠ってはいけない。ドメイン名でわかるようにする(「政府ドメイン」を使用する)か、または、EV SSLで(国民が容易にその真正性を確認できる)組織名を使う必要がある。
なお、この日記は、冒頭の記事を読んでからわずか1時間で書き上げた。(追記:その後40分で少し書き足した。)(追記:1時間後にタイトルを変更した。)
とりあえず、同じドメイン名とサーバ証明書のSSLサイト(共用SSLサイト)上に、私のページを作成した(図2)。
(追記:その30分後、図2の画像を差し替えた。)
関連:
ところで、そもそも、EV SSLに限らず(通常のSSLを使った)「共用SSL」というサービス自体、どうなんだろうか。以下に4つのケースに分けて検討してみる。(略)
なお、6月27日の日記で例示したサイトは、共用SSLでのEV SSL使用を中止すると発表した。
この度、『EV SSL証明書』を用いた本サービス『フォームメーラー Pro-EV』におきまして、弊社以外に送信されるフォームについて、弊社名がブラウザに表示されるEV証明書を利用しているのは、不適切であるというご指摘をいただきました。
弊社にて検討を行いました結果、ご指摘に基づき、本サービスにつきまして2009年10月1日に終了させていただくことになりました。
(ご英断に感謝します。)
その後、エコポイント公式サイトのプライバシーポリシーが改訂され、一応の解決がなされたもよう。「グリーン家電エコポイント事務局」が何者であるかが書き足されていた。しかし、SSLで使用するドメイン名の問題は解決されていない。これについては、その後生じた別の事案も含めて書く予定。
日本の経済人は、この程度のニュースを見て「スゴイ」と驚いたり、「へー」と納得した
私の過去の文章で「go.jp」を希望したものがありますが、それではだめで「.go.jp」が正しいと受け取れるご解説を高木さんが公表されました。自分なりに納得したので、自分の現状の理解でよいかどうか不明ですが、追記したものからトラックバックいたします。