最近“お金”に関係するさまざまなWebサービスが登場しています。自分自身の“評価額”に相当する額の株式をビットコインで販売し、資金調達ができる「VALU」、手持ちの物品を写真だけで評価し、その評価額分を現金化できる“オンライン質屋”「CASH」、そして知人限定でクラウドファンディングを行えるアプリ「polca」など、名前を聞いたことがある人も多いのではないでしょうか。話題性がある反面、さまざまなところで問題を指摘する人が出てきたり、実際に使ってみたら大変だったりと反響もさまざまです。

連載：ITりてらしぃのすゝめ 「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。



たまに「こういうサービスってどうなの？」と聞かれはしますが、私自身はこれらのサービスには手を出していません。お金に関するネット上のサービスが、ITセキュリティに関してどのような姿勢を持っているかはすぐには分からず、その点で手を出しにくいのです。

ただし、一般的な視点で分かることもいくつかあります。そこで今回は、特に“金融サービス”において極私的にチェックしている「そのWebサービスがどの程度セキュリティを考えているか」を判断するポイントを、セキュリティの基礎知識と共に紹介したいと思います。

【必須】HTTPS通信が使われていること

お金に関係するサービスで、HTTPS通信を使っていないのはもはや論外です。SSLサーバー証明書は皆さんもよくご存じの、URLバーのところに表示される「錠のマーク」が目印で、これがあることで「通信が暗号化」されていることが確認できます。

この錠のマークがあれば安心と考える方も多いでしょう。この錠のマークは、通信を暗号化するだけでなく「相手が正しいサーバである」ことも証明できます。HTTPS通信を行うためのSSLサーバ証明書には「ドメイン認証」「企業認証」「EV認証」の三段階があり、大手の金融機関のほとんどは、その組織の存在を確認した上で発行される「EV認証」を持っています。EV認証はWebブラウザ上で「組織名が表示される」という特徴があり、これを確認することでフィッシングサイトではないことがすぐに分かります。

まず、SSLサーバ証明書が使われていない場合は「論外」。本来はお金が絡むサービスならば、それなりにハードルが高い「EV認証」を使っていることが望ましいです。「ドメイン認証」「企業認証」の違いを判断するには、証明書の中身を見なければなりません。ドメイン認証は誰でも簡単に使え、悪意あるフィッシングサイトすら暗号化通信をする時代です。そのため、安全であることをアピールするのであれば「利用者が一目で安全であることが分かるEV認証」を使ってほしいと思います。

1|2|3 次のページへ