〇 キャッシュレス決済普及の一方で増大する脅威から顧客を守るには !
進行するキャッシュレス化で求められるセキュリティ対策。
日本においても、キャッシュレス化は着実に進行している。経済産業省によると、2021年のキャッシュレス決済比率は32.5%。政府は2025年までにこれを4割程度、将来的には8割に高めようとしている。こうした動きに対して、多くの企業が、デジタルマーケティングの強化などを目指して積極的に対応しているのが現状だ。
キャッシュレス決済において多用されているのが、クレジットカードである。ECはもちろんだが、Suicaなどの交通系電子マネーもクレジットカードとの連携により利便性を高めている。QRコード決済でも、実際の支払いのところではクレジットカードが利用されている場合が多い。
ただ、キャッシュレス化を進める事業者にとっては課題もある。それが、クレジットカードに関係する情報をいかに守るかである。個人情報、お金に関する情報を扱うだけに、強固なセキュリティ対策が求められる。
店頭にせよECサイトにせよ、クレジットカード情報の入り口はそれぞれの事業者が運営している。また、自社内でクレジットカード情報とひも付けて、個人情報を管理している企業も多い。その管理責任は重い。
クレジットカード情報に関するグローバルセキュリティ基準としては、PCI DSS(Payment Card Industry Data Security Standard)がよく知られている。その新たなバージョンであるPCI DSS v4.0への対応が進みつつある中で、クレジットカード情報のセキュアな管理をどう進めるか、次ページで解説する。
年々増加しているクレジットカードの不正利用。
サイバー攻撃の巧妙化はよく指摘されるが、一方で、高度とはいえない攻撃の裾野も広がっている。
Θ 小寺 夕理 氏・富士通 株式会社・「攻撃を行うためのツールは豊富で、初心者でも攻撃しやすい環境が生まれています。ほとんどの場合、その目的は金銭です」と語るのは、富士通の小寺 夕理氏である。同社はPCI DSSの準拠認定に関するコンサルティングサービスを提供し、多くの実績を積み重ねてきた。
攻撃者は個人情報を不正に持ち出して換金することもあるが、クレジットカードの不正利用による被害も絶えない。日本における不正利用の被害は年々増加している(図1)。
「大きな被害が生じるケースの1つは、Webサイトの改ざんです。改ざんされたホームページを訪れたユーザーが、偽の決済ページに誘導されます。ユーザーは普通に買物をしているつもりで、クレジットカード番号やパスワードを打ち込んでしまう。こうしてクレジットカード情報が盗まれてしまうのです」と小寺氏は解説する。ホームページを改ざんされた企業は、責任を問われることになる。
これは一例であり、攻撃のバリエーションは増え続けている。こうした被害を防ぐための国際的なセキュリティ基準がPCI DSSだ。
日本では割賦販売法でクレジットカード情報の適切な管理が義務付けられており、クレジット取引セキュリティ対策協議会が具体的なガイドラインを策定している。ガイドラインによると、加盟店はカード番号や名義、有効期限などのクレジットカード情報を保持する場合、PCI DSSへの準拠が求められる。2021年4月から施行された改正割賦販売法では、準拠すべき事業者として大量のクレジットカード番号などを取り扱う決済代行業者やコード決済事業者へ対象が広がっている。
増大する脅威に対応したPCI DSS v4.0への移行が必要。
Θ 小川 魁 氏・富士通株式会社 ネットワーク&セキュリティサービス事業本部・ セキュリティコンサルティングセンター。「PCI DSSには企業のシステム全体の『あるべき姿』が整理され、まとめられています。基本的にはクレジットカード情報が対象ですが、企業内にはそれ以外にも重要な情報は多くあります。そうした重要情報に対して、PCI DSSの手法を適用することもできます。PCI DSSによるセキュリティ対策は、様々な場面で有効です」と、富士通の小川 魁氏は語る。
企業を取り巻く脅威は増大する一方であり、顧客のクレジットカード情報を扱うことのリスクも高まっている。こうした環境変化に対応して、PCI DSSはこれまでバージョンアップを繰り返してきた。そして、2022年3月にはPCI DSS v4.0がリリースされた。約8年ぶりのメジャーバージョンアップである。
現行バージョンからv4.0への移行期間は2024年3月末まで。同年4月からは、v4.0の評価だけが有効になる。そのスケジュールを踏まえて、既にv4.0準拠に向けて動き出した企業は少なくない。v4.0のポイントは3点である(図2)。
第1に、PCI DSS前段部分の詳細化。前段というのはPCI DSS要件の適用性情報や適用範囲、PCI DSSが求めるタイムフレームなど。タイムフレームを例にとると、これまでは曖昧だった時間的な概念が明確に定義された。v4.0の要件における「毎日」は、「営業日に限らず、1年を通じて毎日」という具合だ。
第2に、PCI DSS要件の追加/変更である。クレジットカード情報を扱う際のセキュリティ対策ニーズに対応して、v4.0ではその要件が大幅に見直された。150以上の要件が追加または変更され、一部要件については新たな機能の導入が必要になる。
第3に、カスタマイズアプローチの登場。PCI DSSで定義されたアプローチではなく、カスタマイズされたアプローチが認められる。独自のやり方でセキュリティ対策の目的を達成しなければならないので、高度なリスク管理能力を持つ企業が対象とされる。
Θ 高橋 弘志 氏・富士通株式会社 ネットワーク&セキュリティサービス事業本部・ セキュリティコンサルティングセンター マネージャー。PCI DSS v4.0に盛り込まれた新要件は多い。その一例として、マルウェアによる通信の検知がある。富士通の高橋 弘志氏はこう説明する。
「最も怖いのは、情報の外部への持ち出しリスクでしょう。v4.0では外部C&Cサーバーとの秘密の通信の検知、対策の実行、必要に応じて追跡を行うことが求められます。怪しい相手と通信をしていないか、その通信の挙動などについてもチェックする必要があります」
こうした対策を含めて、v4.0に対応するためには専門的な知見が求められる。
「新しい要件を満たそうとするとき、『どこまでやれば十分か』という判断は難しいかもしれません」と小川氏。さらに、高橋氏はこう続ける。
「v4.0では、ターゲットリスク分析という考え方が様々な場面で導入されています。自社でリスクを分析した上で、適切な対策を実行できるので、自由度や柔軟性が高まりました。一方で、自分たちで判断するにはそれなりの専門的な知見が求められます」
企業が自社だけで最適なセキュリティ対策を描くのは容易ではない。こうした課題の解決に向けて、富士通はコンサルティングサービスを提供している。
富士通の強みとしては、まず、あらゆる産業分野における豊富なSI実績が挙げられるだろう。セキュリティ対策ソリューションに限っても、多くのメニューを揃えている。加えて、PCI DSS領域における深い専門性がある。
「当社はPCI DSS準拠を認定する審査機関としてのQSA(Qualified Security Assessors:認定セキュリティ評価機関)資格と、PCI DSSで必要とされる脆弱性スキャンを実施するASV(Approved Scanning Vendors:認定スキャンベンダー)資格の両方を持っています。日本で両方の資格を持っているサービス提供社は限られています」(小川氏)
富士通はPCI DSS準拠認定に向けたプロセスを、トータルにサポートしている(図3)。また、数多くのSI経験などを踏まえて、ビジネス特性に応じた最適な提案ができるのも強みだ。
「例えば、100台の端末を運用している企業と1万台の端末を運用している企業では、PCI DSS v4.0の要件を満たすための対策は変わります。クレジットカード取引の額や頻度によっても、最適な対策は異なるでしょう。私たちはお客様の状況に応じた最適な対策案を考え、提案しています」と高橋氏はいう。
富士通は近年、ゼロトラストの考え方に基づくセキュリティソリューションに注力している。セキュリティ対策の最前線で培ったノウハウは、PCI DSS v4.0における支援サービスでも生かされている。
