2020年の東京オリンピック/パラリンピックを控え、インバウンド消費(訪日外国人による国内消費)が市場の牽引役としての期待が高まっている。そのインバウンド消費拡大における課題の1つが決済手段だ。キャッシュレスに向けたクレジットカードなどの利用拡大が望まれるが、同時にセキュリティ面でのリスクも広がる。クレジットカード取引におけるセキュリティ対策の現状について、カード会社が作る業界団体「PCI SSC(Payment Card Industry Security Standards Council)」の国際担当ディレクターであるJeremy King(ジェレミー・キング)氏に聞いた。(聞き手は志度 昌宏=IT Leaders編集部)
日本におけるカードの決済額は、過去10年間で倍増している。しかし、昨今のインバウンド消費(訪日外国人による国内消費)の拡大や、2020年の東京オリンピック/パラリンピックに向けては、キャッシュレス社会の促進が日本政府の成長戦略においても重要な課題になっている。
政府が2014年12月26日に発表した「キャッシュレス化に向けた方策」によれば、海外で発行されたクレジットカードで現金を引き出せるATM(Auto Teller Machine:現金自動預払機)の増設や、地方や観光地でのクレジットカードなどの決済端末の設置などが必要とする。
当然ながら、一般消費者がクレジットカードを安全に使える環境の整備やセキュリティ対策も求めている。クレジットカード不正使用による国内被害額は2014年に105億円に達し、過去5年間で最高額を記録した。特に、ネットショッピングやATMにおける不正使用が増加している。
2015年3月に「クレジット取引セキュリティ対策協議会」を発足させた経済産業省によれば、クレジットカード取引における現在の課題は大きく3つある。(1)加盟店の不正による消費者被害の増加、(2)加盟店のWebサイトを経由した情報漏えいの深刻化、(3)電子商取引における決済認証手段が簡易なことによるデータ流出だ。
セキュリティ対策の前提になるのが、クレジットカードのIC化とPOS端末などでのICカード対応。政府は、「2020年にICカード化100%」を目標にする。協議会が2015年7月に発表した中間報告では、「ICカード化が海外より遅れている日本がセキュリティホールになり、信頼度が低下する懸念がある」とも指摘する。同協議会は、2016年初旬には具体的なアクションプランを策定する予定である。
こうした中、カード取引のセキュリティ標準である「PCI DSS(Data Security Standard)」の普及をうながしているのが、「PCI SSC(The PCI Security Standards Council)」だ。American Express、Discover、JCB、MasterCard、Visaの国際カードブランド5社が2006年に共同で設立した。国際担当ディレクターであるJeremy King(ジェレミー・キング)氏に、PCI SSCの活動方針や今後の展開を聞いた。
PCI SSCの国際担当ディレクターであるJeremy King(ジェレミー・キング)氏−−「PCI DSS」準拠を発表するデータセンター事業者などが増えている。
PCI DSSは、クレジットカード会員のデータを保護するための業界標準だ。1つのバージョンを全世界で共通に利用することを目指している。APAC(アジア太平洋)地域での普及と、日本での認知度向上を図るために、2015年10月には東京港区で年次カンファレンス「Asia-Pacific Community Meeting」を開催した。
同カンファレンスでは、日本の経済産業省が、2020年の東京オリンピックに向けてクレジットカードの利用を増やすために、EMV(Europay、MasterCard、Visa)対応のITカード導入やデータ保護に向けた対策を強化することを講演してくれた。
PCI SSCが設置された背景には、EC(Electronic Commerce:電子商取引)の拡大がある。ECにおける決済の5割はクレジットカードによるもので、ここに世界中の犯罪組織が攻撃を仕掛けている。これに対抗するために、PCIがグローバルな対応策として用意したのがPCI DSSだ。最新版は、2015年4月に公開した「PCI DSS v3.1」になる。
PCI DSSの対象は、データセンター事業者だけではい。トランザクションにかかわるすべての組織が対象になる(図1)。PCI DSSでは、各組織が、どんな技術やサービスを利用しているかにかかわらず、どんな分野で何を実施すれば良いかを示している。先のカンファレンスでも、Educate、Empower、Protectの3つのテーマを掲げた。各組織において、スタッフがどんな役割を果たしているのか、必要な権限を与えているか、組織を守る意識が徹底されているか、を問うている。
図1:PCI DSSが対象にする範囲(出所:PCI SSC)拡大画像表示
−−個人情報などを狙う攻撃手法は、ますます巧妙になり洗練されてきているという。策定に時間がかかる業界標準で対応できるのか。
“洗練”といえる手口はまれなケースだ。正しくは「賢くなってきている」というべきだろう。一般的な手口は、パスワードに代表される社員のログイン情報を盗んだり、SQLインジェクションという脆弱性を突いたりすることだ。攻撃者は、これら古くからある手法が未だに有効に機能することを知っている。なので、パスワードの盗み方やマルウェアの仕込み方に頭を使っているわけだ。
実例を挙げよう。2013年末に米国の小売業Targetで起こったクレジットカード情報の流出事件は、ご存じのはずだ。攻撃者は、Targetの取引先の社員のログイン情報を入手し、POS端末にマルウェアを送り込んでいる。取引先とは、店舗の空調をモニタリングしている会社だった。
ここで攻撃者の“かしこさ”は2つある。1つは、Targetの社員はセキュリティ教育がなされているので同社以外のスタッフを狙ったほうが容易だと知っていたこと。もう1つは、ネットワークに関する知識があったこと。実はTargetは、POS端末のネットワークに対するセグメンテーションを怠っていた。だからPOS端末にマルウェアを仕込まれた。
Targetの事例が示しているように、攻撃者が賢くなっているため、顧客情報などは一社だけの取り組みでは守り切れなくなっている。PCI DSSを使って、データの保護に注力する必要がある。しかし、注意してもらいたいのは、PCI DSSに準拠することが目的はなく、データを守ることがゴールだということだ(図2)。
図2:PCI DSSの遵守目的と要件(出所:PCI SSC)拡大画像表示
会員登録(無料)が必要です
- 1
- 2
- 次へ >
