Jan 12, 2009
昨年12月上旬に世田谷区役所に立ち寄ったついでに、住民基本台帳カード(ICカード)を取得、公的個人認証(JPKI)の電子証明書をその中に設定してきました。PKIとはPublic Key Infrastracture(公開鍵暗号方式を利用したセキュリティインフラ)のこと。
JPKIの電子証明書とはオンラインで使う印鑑証明書のようなもので、住基ICカード上にある鍵ペア(秘密鍵&公開鍵の対)と住民基本台帳情報を紐付けた1種の電子データです。インターネット上で役所が申請者の本人確認を行う時に使われ、同時にその申請内容が正しく生成されているか(改ざんされていないか)を役所側が検知できるようになっています。.
・世田谷区の場合は、住基カード1000円、電子証明書500円。作業そのものは30分程度。●公的個人認証サービスとは、インターネットを使った電子申請・届け出に際して必要な本人確認を、予め電子的なシステムによって行う制度です。
●公的個人認証サービスの利用により、国税の申告など行政機関への申請・届け出を自宅などからインターネットを使ってできるようになります。詳しいことは公的個人認証ポータルサイト(http://www.jpki.go.jp/)をご覧ください。
公的個人認証用の電子証明書の手続きをするためには、住民基本台帳カードが必要です。
・区民係に設置の専用端末から、住基カードに暗証番号数字4桁、電子証明書用のパスワードを設定。
・世田谷区の場合、カードリーダーは接触型・非接触型のいずれでも可。
・3年間有効。引越後は証明書の再発行を受ける必要がある。区内であっても移転届を出した瞬間に証明書は失効する。(ICカードそのものは世田谷区内に居る限り10年間有効)
うちの場合は、投信や株式で出してしまった損失を繰越控除するため、確定申告をするつもりでしたが、写真のようなカードと対応カードリーダーを使うことで国税庁のe-taxから電子申告ができ、平成20年分だと5000円分の税額控除が受けられます。SHARPの新製品RW-5100なら家電量販店でも2480円くらい。カードリーダーとカードと電子証明書と交通費で合計5000円がそのまま戻ってくる計算になります。
行政手続のオンライン利用の促進等
国税電子申告・納税システム(e-Tax)
タックスアンサー No.1474 上場株式等に係る譲渡損失の繰越控除
SHARP RW-5100公的個人認証サービス対応住民基本台帳用 ICカードリーダライタ ホワイト系
シャープ 価格:¥2,280
Amazon.co.jpで詳細を見るついでに、同じ環境から別ソフトを用いて法務省システム経由で不動産登記の電子申請もできることになるため、土地名義の住所変更申請はもちろん、建物表示登記の申請や補正もうまくいけばセルフでいけるかも、と考えています。
不動産登記の電子申請について
とりあえずこの3連休で、ICカードリーダーのセットアップとJPKI基本ソフトウェアのインストール。X.509電子証明書のsubjectAltNameにUTF-8で日本語の住民基本台帳の4情報(氏名、性別、生年月日、住所)がぶちこまれていて、オンラインでその有効性が確認できるっぽいことだけはわかった。
さて、複雑怪奇なのはここから先。各申請や申告にあわせた環境を整備していく必要があります。
・E-taxサイトを見る限りは、一般個人は「確定申告書等作成コーナー」(Web上)でActiveXで電子署名をつけて送信できるようになったようで、e-Tax専用ソフトのインストールは不要そう。また添付書類等は3年間保存さえしておけば、オンライン上での送信は不要みたい。
・法務省のほうは専用ソフトで申請書を一から作成する必要あり。添付するPDFにも電子署名プラグインを用意するなど、相当ハードルが高そう。添付書類を郵送するオプションもあるようだけど、その場合は場合でいろいろと面倒くさそう。
これでもわかりやすく書いたつもりだけど、、、、難しいなぁ。
国税の電子申告、電子登記申請それぞれについては、今後やってみて詳細をアップデートしていきます。
Dec 09, 2005
携帯電話事業者各社が送信ドメイン認証技術への対応を発表:IT Pro
NTTドコモグループ9社,KDDI,沖縄セルラーは12月6日,携帯電話向けメール・サービスを送信ドメイン認証に対応させると発表した。送信ドメイン認証は,メール・サーバーが「送信元が詐称されていないかどうか」を確認できるようにする仕組み。各社ともSPF(sender policy framework)への対応を強化する。
たぶんSPFを入れたところで、SPAMの総量とクレームは減るわけではないのでは、と思います。(注:これは会社員としての見解ではなく、CISSPたる私個人の見解。)
各社ともそれを分かった上で、あえてこれをやっていると思うので、その前向きな取り組みを否定するわけではありません。ただ、この動きは客観的にエキスパートの第三者が技術評価をすべきで、大手がやったからこれで大丈夫という単純な話ではないです。これからも引き続き、インターネット・コミュニティを含めた粘り強い長期的なアプローチが必要になります。
実は携帯会社が入れた一番の目的は「打ち上げ花火」として消費者を安心させ、SPAM業者を牽制すること。そして、2番目の目的は各電話会社のサーバ負荷軽減ではないかなぁとCISSP的には思うのです。「大手3社から来るメールは必ず携帯メールだから、(その中身がどうであっても)スクリプトで量産されたSPAMメールではないはず」というのが社会全体の理解だった(はず)。しかしながらこの通説は崩れつつあって、互いに「送信元のメールサーバが正当なものだよ」と必死に伝えあわないといけないくらい、携帯メールはインターネットそのものに近づいているという捉え方のほうが正確だと思います。
そういった意味でも、これはSPAMを排除する本命とはなりえないというのが個人的見解。メールの送信元がどこからであっても、その中身(コンテンツ)がSPAMで無い限りは結局信頼できないメールである、ということは変わり無いのですよ。1年前にはこういった話も出ていますし。
ITmedia エンタープライズ:SPFはスパム業者も積極利用。送信者詐称防止には一定の効果
電子メール認証プロトコルはメッセージの“善悪”を判断することはできず、送信者が本人であるかどうかを確認するものにすぎないとCipherTrustは指摘。SPFだけではスパムに対抗することはできず、電子メール認証は詐欺メール/スパム防止策の一部として導入すべきだと勧告している。
Nov 19, 2005
鈴木優一さん(享年66歳、セキュリティ分野の大先輩)の事をブログに書いてから4ヶ月。byway, sideway::PKIの巨星堕つ Jul 07, 2005
11月17日に開催された「鈴木優一さんを偲ぶITの会」にお誘いがかかった。16:00から2時間は鈴木優一さんの遺した業績を辿るシンポジウム。その後、ゆかりのあった諸先輩の方達が鈴木さんとのエピソードを語られた立食パーティー。
私は仕事の関係もあり、18:00のパーティーから参加。エントラストジャパンやセコム関連の皆さん、当時社長だった高橋徹さんほか東京インターネット関連の皆さん、JNSA(日本ネットワークセキュリティ協会)やEComの皆さんなど、各分野で精力的に活動されている皆々様がそこに居ました。いまやセキュリティの仕事から離れて1年になるのに、お声がけいただけるとは有難いことです。
参加者全員には鈴木さんの過去の論文をまとめたCD-ROMが配布されました。特に2001年以降のOCSP、GPKI(電子署名)、XMLセキュリティ(SAML/XKMS)等々の精力的な活動はすごいなぁ、と改めて実感。そして鈴木さんを中心として広がった標準化活動系人脈は粛々と引き継がれているなぁ、としみじみ実感した会でした。とても良い会でした。発起人の皆さま有難うございました。
サンマイクロシステムズの工藤さん、JavaOne行けなくてゴメンなさい(IdMのブログいつも読んでます)。
NECの小松さん、いつも部下達が偉そうにしててゴメンなさい。
サイバートラストの同僚だった久保さん、これ読んでたら今度飲みにいきましょう。中間地点あたりで。
Nov 09, 2005
これらは、XML-RPC for PHP1.1.1以降、PHP4.4.x以降にそれぞれバージョンアップすれば回避できます。PHP5にはPatchが公開済み。なお、ラミーのWikiで用いているPukiWikiについては、下記XSS脆弱性の件もあってファイルアップロードを利用しない設定を推奨してたので、それに数ヶ月前から従ってました。それゆえ、さほど危急の事態ではないとひとまず判断しホスティング業者に対策を任せることにしました。セキュリティホールmemo
XML-RPC for PHP Vulnerability Attack
→この欠陥を使ったワームが11月6日(日)に出た
PHP 4.x / 5.x に、致命的なものを含む複数の欠陥
→phpinfo() に XSS(クロスサイトスクリプティング)の欠陥あり
→parse_str() の使い方次第ではリクエスト処理時中断が発生。変数の1つが変わってしまう。
→ファイルアップロード機能に欠陥。POSTメソッドで$GLOBALS配列を上書きすることができる。
11月3日~4日にかけ、私の利用しているホスティング業者によりバージョンアップが行われたため、現在は動作には問題なし。つつがなく対策完了、、、、ですが、MLに報告を上げた某氏と、私の今の姿が重なるんだよなぁ。JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
複数の Wiki クローン実装のファイル添付機能において、クロスサイトスクリプティングにつながる脆弱性が存在します。これにより、Wiki 利用者のブラウザ上で任意のスクリプトが実行される可能性があります。
人の振り見て・・・って奴ですね。気をつけねば。最近セキュリティ関係と は縁遠い仕事で、MLなども届くものをそのまま未読としておいたほどなので、既報かどうかは不明です。
Jul 07, 2005
お元気にご活躍され、「老兵にムチ打つ業界ですね」なんて冗談を飛ばされていたのがつい最近のことだっただけに、信じられないというのが正直な気持ちです。
PKI―公開鍵インフラストラクチャの概念、標準、展開カーライル アダムズ Carlisle Adams
スティーブ ロイド Steve Lloyd
鈴木 優一
ピアソンエデュケーション (2000/07)
Amazon.co.jp で詳細を見る公開鍵暗号インフラ関連の体系的な情報がそろっていなかった中、これを教科書に育っていったセキュリティ技術者は数知れませんでした。会社の立場を超えて若手を指導し、業界をリードし、技術を推進されてきたその姿は私どものRole Modelだったといっても過言ではありません。本当に大切な方を失ってしまったと思います。
鈴木さん、個人情報保護とセキュリティポリシーが重要といわれる今だからこそ、私たちの手の届かない、とてもとても高いところから私たちを正しく導いていただけますよね?でも、正直、もっといろいろな話をサシでしたかったです。
本当にありがとうございました。合掌。