- 2009.03.10 Tuesday
- セキュリティ関連
公式サイトにこんな告知が。
ワンタイムパスワード導入のお知らせ (2009/03/10)
このたび、プレイオンライン会員の皆様向けに、「ワンタイムパスワード」を導入することが決定いたしました。これに伴い、ご希望される方に「スクウェア・エニックスセキュリティトークン」をプレイオンラインビューアー上で販売いたします。このトークンに表示される一回限りの「ワンタイムパスワード」を使ってログインしていただくことで、皆様のプレイオンラインアカウントのセキュリティが飛躍的に向上します。さらにお買い求めいただいた方には、ヴァナ・ディールでの冒険に非常に役立つスペシャルな特典をプレゼント!ぜひワンタイムパスワードをご利用ください!
※「スクウェア・エニックス セキュリティトークン」の販売開始日・価格・購入特典等については後日お知らせいたします。
(゜Д゜)
有償提供になるのはいいんですよ。モノの値段も送料も、ただじゃないですからね。インゲームアイテムが特典についてくることも、導入促進キャンペーンとして考えれば、ついていること自体には納得できなくもない(これは価格次第ですが……インゲームアイテム需要をあてこんだぼったくり価格だったらふざけんな、って話ですが)。
だけど「販売」ってのはどうなのさ。あくまでもPOLのオプションサービスとして提供するべきじゃないのかと中の人は思うわけです。既に会員になっている人にとっては金の支払い方の問題だけなんだけど、新規会員の人にとっては、こうなるんですよ。
「プレイオンラインへようこそ!ワンタイムパスワードを使って安全にログインするためには、別売りの「スクウェア・エニックス セキュリティトークン」をご購入ください。さらにお買い求めいただいた方には、ヴァナ・ディールでの冒険に非常に役立つスペシャルな特典をプレゼント!」
・・・なんか変な気がしませんか?安全なログインを保証するのってサービスの基本じゃないの?なのに別売品?
些細なことにこだわるなって言われそうだけど、こういうところに企業姿勢って出るんじゃないかと思うんですよね。
ワンタイムパスワードの使い方と仕組みの説明が分かりやすいページですにゃ。オンラインバンキングなどではよく使われています。
→ジャパンネット銀行:Japan Net Bank|ワンタイムパスワードのご案内|
※3/12 いただいたコメントへのお返事が長くなったので補足を。
--
絶対安全なソリューションがない、というのは確かにそうですね。
文字通りの意味で「保証」することは不可能だとおもいます。
言いたかったのは、「正常にサービスを維持するために必要なレベルのセキュリティを提供するのは、サービスとして当然なんじゃないの」ということでした。
また、どんなに安全なソリューションでも、提供に必要なコストと、ユーザーが負担できるコスト(もしくは支払っても良いと考えるコスト)が折り合わなければ、それは「現実には提供不可能」ということになります。そこまでやらないと正常にサービスが維持できないといのであればそもそも破綻しているので、終了するしかないですね。
で。
今回のPOLの件に関しては、一連の垢ハック騒動で、「現在実装されているPOLの認証システムでは、現在のインターネットの状況下で、例外とはいえない頻度でユーザーがサービスの利用権を悪意ある第三者に侵害される可能性がある」という実態がありました。これは、サービスが正常に維持されているとは言えない状況だと思います。
※「例外とは言えない頻度」というのはあくまでも体感で、多くのユーザーの日常的な会話に「あなたも知ってる●●さん、垢ハックで別鯖に飛ばされたのよ;;」って話題に上る状況は正常だとは思えない、という程度の意味です。
※もちろん、「ちゃんと知識を持ったユーザーが、細心の注意をはらって自分のパソコンを管理していれば」アカウントハックは防げました。しかし、「一般的なFFXIプレイヤーのパソコンに対する知識レベルとパソコン管理状況では防ぎきれなかった(だからこれだけ広がった)」。サービスを提供する企業としては、「無知なユーザーが悪い」と片付けるのではなく、自社のユーザーのレベルは当然想定して、正常運営に必要なサービスレベルを設定すべきだと思います。
また、(これは想像ですが)ユーザー対応とアカウント復旧作業にかかった■e社内の工数も膨大なもので、相当のコストがかかっていると思われます。
サービス運営を正常に戻すためにも、また社内のコスト削減のためにも、現実的なコストと価格でセキュリティレベルを上げられるオプションが存在するのであれば、サービスの一部として提供し、積極的に導入をうながすべきだと考えます(価格によるサービスレベルの格差はあって当然だと思いますし、実際に利用するかどうかはユーザー次第ですが)。
そういう視点で今回のセキュリティトークンの件を見ると、
・「販売開始」ってことは売れる見込みがある価格とコストで出せるんだろう
・なのにサービスのオプションとして提供しないで、別売りっておかしくない?
って疑問を感じたという話でした。
絶対安全なソリューションがない、というのは確かにそうですね。
文字通りの意味で「保証」することは不可能だとおもいます。
言いたかったのは、「正常にサービスを維持するために必要なレベルのセキュリティを提供するのは、サービスとして当然なんじゃないの」ということでした。
また、どんなに安全なソリューションでも、提供に必要なコストと、ユーザーが負担できるコスト(もしくは支払っても良いと考えるコスト)が折り合わなければ、それは「現実には提供不可能」ということになります。そこまでやらないと正常にサービスが維持できないといのであればそもそも破綻しているので、終了するしかないですね。
で。
今回のPOLの件に関しては、一連の垢ハック騒動で、「現在実装されているPOLの認証システムでは、現在のインターネットの状況下で、例外とはいえない頻度でユーザーがサービスの利用権を悪意ある第三者に侵害される可能性がある」という実態がありました。これは、サービスが正常に維持されているとは言えない状況だと思います。
※「例外とは言えない頻度」というのはあくまでも体感で、多くのユーザーの日常的な会話に「あなたも知ってる●●さん、垢ハックで別鯖に飛ばされたのよ;;」って話題に上る状況は正常だとは思えない、という程度の意味です。
※もちろん、「ちゃんと知識を持ったユーザーが、細心の注意をはらって自分のパソコンを管理していれば」アカウントハックは防げました。しかし、「一般的なFFXIプレイヤーのパソコンに対する知識レベルとパソコン管理状況では防ぎきれなかった(だからこれだけ広がった)」。サービスを提供する企業としては、「無知なユーザーが悪い」と片付けるのではなく、自社のユーザーのレベルは当然想定して、正常運営に必要なサービスレベルを設定すべきだと思います。
また、(これは想像ですが)ユーザー対応とアカウント復旧作業にかかった■e社内の工数も膨大なもので、相当のコストがかかっていると思われます。
サービス運営を正常に戻すためにも、また社内のコスト削減のためにも、現実的なコストと価格でセキュリティレベルを上げられるオプションが存在するのであれば、サービスの一部として提供し、積極的に導入をうながすべきだと考えます(価格によるサービスレベルの格差はあって当然だと思いますし、実際に利用するかどうかはユーザー次第ですが)。
そういう視点で今回のセキュリティトークンの件を見ると、
・「販売開始」ってことは売れる見込みがある価格とコストで出せるんだろう
・なのにサービスのオプションとして提供しないで、別売りっておかしくない?
って疑問を感じたという話でした。