Jan 29, 2005
オレオレ証明書
たまには社会ネタでも(笑)
ちょっと専門的なので普通の人にはわかりにくいかもしれないが、要はインターネット上でのセキュリティ対策に対して世の中の意識が高まりつつあるのに、その旗振り役であるはずの役所(自治体)がいー加減な対応をするんじゃねぇ!って話だ。
私も何度か自治体の電子申請手続きをサポートした時にお目にかかった。
こんなダイアログが出てくる。
セキュリティ(盗聴防止とか)を確保する為に暗号化通信(SSL)をするわけだが、その前に今接続しているサイトが本物であるかどうかを証明する為に(電子)サイト証明書をブラウザはチェックしている。
このサイト証明書ってヤツは、第三者機関である認証局(有名なのはベリサイン)が発行するのが一般的で、発行元が利用者になり代わって審査を行い、このサイトが本物であるとお墨付きをくれるのだ。
ブラウザ(Windows)の方も、ベリサインとかメジャーな認証局から発行されたサイト証明書は無条件に本物として受け入れてくれる。だが、問題になった自治体のサイト証明書は世間に認知されていない認証局だったので、ブラウザの標準設定では「そんな認証局知らないよっ」と言われてしまうのだ。
本来なら、かりにも大日本(爆)のお役所が登録している認証局なんだから、マイ○ロソフトにねじ込んでウィンドウズ標準認証局に加えてもらうとか、もっとスマートにベリサインあたりからサイト証明書をもらうとかすればいいのである。
それを、使っているパソコンの 環境(かんきょう)によっては、セキュリティの警告(けいこく)メッセージが表示されることがありますが、問題ありません。
と堂々と書いちゃいかんだろ、やっぱ。。。(-_-)
いくらシステムでセキュリティを強化した仕組みを構築したところで、利用する側が正しく使ってくれないと意味を為さなくなってしまう。
そのサイト証明書が本物かどうかをサイト運営者自らが証明出来るワケがないのである。自分で自分がホンモノだと言ったところで説得力もなにもない。よく知らない相手のいってることをホイホイ信じてしまっていたら、「振り込め(オレオレ)詐欺」にひっかかるお人好しと同じになっちまう。(^_^;)
日本の自治体は、民間に先駆けて情報化技術への取り組みを推進しようとしているはずである。ならば自らが範となり、セキュリティ対策という新しい技術に対する正しい活用方法を見せてもらわなければ困る。
いい加減じゃいけないのだ、こういう問題は。
writeback message: Ready to post a comment.
