カードセキュリティのすべて 進化する“手口"と最新防御策

たまたま見かけたので読みました。だいたい4時間くらいで読んだかな。とっても分かりやすく書かれているので、前提知識なしに読めると思います。でも、6，7章は難しかったので飛ばし読みしちゃいました。 すこし引用 食堂のIDカードなどは、結果的に利用分の料金が回収できれば誰が使ったかは関係ないので、 なにげなく書いていますが、とても示唆に富んでいます。認証と認可は分けて論じられることが多いですが、実はアクセスすべきもの(認可するコンテンツ）によって、認証レベルや認証方法は違ってよいのです。 * プリペイドのカードなどは20桁くらいのIDを入れれば使えるレベル。(認可の対象はプリペイドカードが使えれ、認証レベルは20桁のIDを知っている。） * 銀行のカードは、指紋認証。(認可の対象は、振り込み、引き出しができる権限、認証レベルは指紋：生体認証。） な感じです。 もう一つは 利害関係のないアタックの専門家に評価してもらわないと、自己満足に終わってしまう可能性が高いのです。 セキュリティ技術の実装と評価は別の人（別会社）がやるべき。ということ。まだまだ実装と評価の分離は浸透途中ですが、はやく世の中に広まってほしいですね。会計監査などは一応分離されているということになってますし。。 ちなみに本書によるとICカードからデータを不正に読み取るのは難しいみたいです。なので現時点で、注意すべきなのは磁気カードからのデータの不正取得です。今日の「とくだね」で小倉さんはスイカにシールドをしているといってましたが、スイカはICオンリーなので、シールドすべきはクレジットカードやキャッシュカードなのかもしれませんね。