JNSA「セキュリティしんだん」

 

« (21)〜佐賀県の少年による不正アクセス事件から考える〜
 「青少年を犯罪者にしないための倫理教育の重要性」 »
(23)「個人情報の高度な暗号化について考える」 »


(22)「クレジットカード決済のセキュリティについて考える」
    〜クレジットカードセキュリティのスタンダード(PCIDSS)〜(2016年11月15日)

セコムトラストシステムズ株式会社/JNSA幹事 後藤 忍

■はじめに

昨今のペイメントビジネスの加速ぶりには目を見張るものがあります。先日、Apple Payのスタートに伴い、モバイルSuicaに人気が集中したのは記憶に新しい所です。その他にもVISAのプリペイドカードにビットコインで入金ができるようになりました。これはどういう事かと言うと仮想通貨が日本国内のVISA加盟店数百万店で使えるようになるという事です。また、中国No.1のオンライン決済サービスであるAlipayの導入が進んでおり、店舗で外国人顧客に対しiPadを使ってオペレーションするような事例も出てきています。

電子決済が進んでいく事はコンシューマーの購入機会の拡大に繋がり喜ばしい事だと思いますが、一方で多くの情報漏洩事案が発生しています。
 10年あまりクレジットカード情報(以下、カード情報)のセキュリティに関するコンサルティングを手がけてきた経験を元にクレジットカード決済のセキュリティについて愚見を述べてみたいと思います。

■日本における決済の現状と被害

日本における決済手段ですが、クレディセゾン社の2015年度決算報告内の記載によると現金が約52%でトップ、2位がクレジットカードで15%。デビットカード・プリペイド・電子マネーが約5%。残りは振込・口座振替・コンビニ収納等という状況です。因みにアメリカでは現金のシェアは17%を切っており、クレジットカード・デビットカードで約54%という状況です。

日本はクレジットカードのシェアが低く、現金決済率が高いという事ですが、今年7月に全国18歳以上の3,000人を対象に内閣府が「クレジットカード取引の安心・安全に関する世論調査」を行いました。その報告書を見るとクレジットカードを積極的に利用したいと思わない理由として、「クレジットカードの盗難や紛失が怖い(2位)」「個人情報漏洩により、不正利用されてしまうのが怖い(3位)」という事でした。

先日、とあるクレジットカード会社のホームページを見た所、今年の8月〜10月のお知らせという所に10件以上もの「XXXXにおけるお客様情報流出について」というカード情報漏洩に関する案内がずらりと掲載されていました。どきっとするようなインフォメーションですが、筆者が今年ニュースになったカード情報漏洩事案について確認した所、20件以上の事案が発生しています。

さて、では日本で具体的にどの程度のクレジットカード決済に関する被害が出ているのでしょうか。昨年のクレジットカードの不正使用被害額は日本クレジット協会の調査によると120億円となっています(※)。昨年のネットバンク不正取引被害額が30億7千300万円(警察庁発表)ですから、それと比較すると被害の大きさが実感できると思います。
 さらに今年は1月〜6月までの上半期ですでに72.7億円の被害が発生しています。犯罪者の手にこれだけのお金が流れているわけです。
 このペースで行くと今年は昨年を上回る140億円超の被害となるかもしれません。
 この状況が続く限り、内閣府調査でクレジットカードを積極的に利用したくないと回答したコンシューマーの不安は増えこそすれ、払拭できない事は自明でしょう。

■カード情報を守るメソドロジーとしてのPCIDSS

このような中、カード情報を保護するメソドロジーとして、PCIDSS準拠を目指す企業が増えています。PCIDSS(Payment Card Industry Data Security Standard)とは国際ペイメントブランドが共同で策定したセキュリティ基準であり、クレジット業界においては情報セキュリティ対策のスタンダードとなっています。どのような管理策が定められているのか概要についてご紹介します。

【PCIDSSで定められている主な管理策の概要】※完全準拠の場合

(1)カード情報が通過するネットワークのセキュリティ
カード情報が流れる内部ネットワークをその他のネットワークから隔離する等

(2)カード情報をDBやファイルにて保管する際のセキュリティ
ファイル及びDB上でのカード番号の暗号化、画面上でのマスキング、システムの改ざん検知の実施等

(3)カード情報を取り扱うシステムの開発に関するセキュリティ
セキュアコーディングの実施、OWASPなどのベストプラクティスへの準拠等

(4)カード情報及びカード情報を取り扱うシステムへのアクセスに関するセキュリティ
アプリ、OS等各レイヤでのアクセス制御、All denyを起点とした最小限のアクセスの実施等

(5)ログの管理と監視
カード情報に関するログの集中管理、デイリーでのログチェック等

(6)カード情報を取り扱うシステムの脆弱性の解消と定期的診断
年4回のシステムの脆弱性スキャンや年1回のペネトレーションテスト等

(7)施設入館、監視カメラなど物理的なセキュリティ
カード情報を取り扱っているエリアでの物理的安全管理処置

(8)管理策を実現する上での手順等の整備
(1)〜(7)の管理策実施の為の手順の整備

PCIDSSについては4つの特徴があると考えています。

一つ目は約400項目ある管理策のそれぞれの粒度が小さく、且つ定量的であること。準拠する側の要求事項の解釈で管理策が形骸化する要素が少ないという事です。

二つ目はカード情報を取り扱うシーンを前提に、アクセス制御と多段防御を徹底して行うという考えに基づいているという事。カード情報を取り扱うセグメントを他のセグメントとは切り離し、必要最小限のアクセスとした上で、多段防御を施す事となっています。

三つ目はシステムを委託している業者と密に連携してセキュリティ対策を実行する事が求められていること。PCIDSSの対象範囲のシステムに外部委託先を利用している場合、まず外部委託先が400項目の中のどの項目を実際の現場で担当するか役割分担をします。例えば運用を委託しているとしたら運用部分のPCIDSSの管理策について、その外部委託先が責任をもって実施していかなければなりません。つまり、セキュリティのサプライチェーンを維持するという立て付けになっています。

最後はPCIDSS自体、カード情報漏洩事案等の状況を鑑みて、タイムリーに更新されるということです。
 現在、企業で利用されている多くの情報セキュリティ標準は殆どが改版に何年という時間を要するものが多いわけですが、それ故にあまり具体的な管理策を記載することができません。管理策を具体化して粒度を小さくするとすぐに陳腐化してしまって使い物にならないからです。しかし、PCIDSSに関しては具体的な管理策を記載し且つどんどん更新していくという方針を少し前から取るようになっています。
 これらはカード情報の取扱いというターゲットに絞っているからこそできる事かもしれませんが、ここまでやりきる事を求めているのはどのような情報セキュリティ標準より「骨太」であると感じます。

さて、PCIDSSについての概略は判ったけれど対応コストが心配という感想を持たれた方が少なからずいらっしゃるでしょう。PCIDSSですが、着目すべきはその対象範囲の定義です。カード情報を処理・伝送・加工する範囲、つまりカード情報が一瞬であっても通過するネットワーク機器、サーバ、カード情報の参照等を行うPCは全てPCIDSSの対象範囲となり、管理策を実装しなければなりません。

プロジェクト前段でこのPCIDSSの対象範囲の整理を行わずに400項目のフィット&ギャップを行い、不適合となった項目を全て対応するというやり方をすると大きなコストが発生する可能性があります。

特に加盟店は、カード情報を顧客DBの中に顧客情報と一緒に格納しているというケースが多々あり、顧客DBと通信が発生する何百というPCやサーバ全てが対象範囲となってしまいます。
 しかし、カード情報の通り道を整理した上で、対照範囲をうまく絞り込めばコストを大きく削減する事が可能です。

クレジットカードの決済は加盟店、アクワイアラ(加盟店開拓や管理などを行う加盟店契約会社)、イシュア(クレジットカード発行会社)、カード会員のFour Party Modelに加え、決済代行サービスを行う業者(決済代行業者)が加盟店と決済センターの間に入るモデルが一般的になっています。

今まで、PCIDSS準拠の中心は決済代行業者でした。決済代行業者はカード情報が一番集まる所ですから、もうかなり前からビジネスをやる上でPCIDSS準拠は必須という背景があり、既に多くの業者がPCIDSS対応を完了しています。結果として、カード情報漏洩事案が多く発生しているのは決済代行業者ではなく、通販サイトなどの加盟店というのが実態です。
 加盟店のカード情報の取り扱いについて、うまくPCIDSSの管理策を利用する事が100億円を超える被害額を減らしていくキーになると思います。

■法律改正によるカード情報保護の義務化

折しもこの原稿を執筆している間に「割賦販売法の一部を改正する法律案」が閣議決定され、この秋の臨時国会に提出されました。

法律案としては、アクワイアラや決済代行業者を登録制にすると共に、加盟店に対してはクレジットカード番号の情報管理と委託先の情報管理、クレジットカード端末のIC対応化(カード偽造被害も多い為)が求められています。現時点では、加盟店の情報管理の内容をどこまでやればよいかという事は明確になっていませんが、PCIDSSの管理策を踏まえた管理項目がガイドライン等に盛り込まれる可能性があると考えています。

何故なら、この法律に先んじて経済産業省では「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」をとりまとめており、加盟店のカード情報非保持化とPCIDSSの準拠を進めると宣言しているからです。

カード情報保護への対応はカード情報を取り扱う全ての業者にとって、取り組まねばならない義務となるわけです。

■決済分野を含めた金融イノベーションへの期待

バブル崩壊後、20年以上不況が続いているという見方(失われた20年)があります。IMFの2015年のデータを見ると日本のGDP成長率ランキングは世界の中で160位です。そしてここ20年というもの日本のGDPは伸びていません。一方でアメリカ、中国、イギリス、カナダ、フランス、ドイツなどの主要国は日本に比べて伸びています。

この理由として日本のIT投資が欧米に比べて低く、ITを駆使したイノベーションが生まれていないという意見があります。

しかし最近、日本において決済の分野ではどんどん新しいFintech系サービスが立ち上がってきています。特にスマートフォン決済、マルチ決済システムと言った分野に勢いがあると感じます。さらに決済の分野以外でも仮想通貨、クラウドファンディング、融資、保険、送金など新たな金融サービスが立ち上がってきています。

このようなサービスが実を結んで金融イノベーションが起き、これからの日本経済成長の端緒となる事に期待が膨らみます。

■最後に

ボブ・ディランのノーベル文学賞受賞が話題となっていますが、ジョニ・ミッチェルというカナダの有名なシンガーソングライターがいます。彼女の作品もディランのように独創性溢れるものが多く、その中に「青春の光と影(Both Sides Now)」というタイトルの曲があります。物事には二つの面があるという内容の歌詞で、「雲は、空に浮かぶアイスクリームの城(ice cream castles in the air)にも見えるし、太陽を遮って雨と雪を降らせる(という両面を持っている)」と唄っています。
 日本における金融イノベーションはアイスクリームの城に見えてくるのでしょうか?それとも雨と雪が降る事になるのでしょうか?「castles in the air」は聖書にも出てくる語句で「砂上の楼閣」という意味を持っているそうです。情報セキュリティという土台が崩れ、金融イノベーションが「砂上の楼閣」とならない事を願ってやみません。

(※) 尚、カード会員に対しては、カード会社の補償サービスにより、オンライン取引での不正利用について一定条件の下に損害補償されているのが実態です。

 



 
« (21)〜佐賀県の少年による不正アクセス事件から考える〜
「青少年を犯罪者にしないための倫理教育の重要性」 »
(23)「個人情報の高度な暗号化について考える」 »