クレジットカード情報漏えい事件が増加していることを受け、経済産業省は消費者を保護するためクレジットカード情報の厳格な管理を求めています。そのため「割賦販売法の一部を改正する法律(改正割賦販売法)」が2018年6月に施行され、クレジットカード加盟店とクレジットカード会社にセキュリティ対策が義務付けられました。具体的には、情報漏洩の防止対策として、カード情報の非保持化または、セキュリティ基準「PCI-DSS」に準拠することが求められています。そこで今回は、PCI-DSSがどのようなセキュリティを要求しているのか、またその要件を満たすために効果的なソリューションであるWAFとは何かについて解説していきます。
PCI-DSSとは
PCI-DSSとは加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。深刻なクレジットカード不正利用被害状況を踏まえ、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI-SSCは、クレジットカードの利用が適切に行われるように、クレジットカード情報を安全に取り扱うことを目的とした「PCI-DSS」を制定しました。PCI-DSSは2004年に制定されましたが、その導入が急激に広まった背景には、クレジットカードの利用環境整備に向けて改正された割賦販売法の制定があります。
2018年6月1日に「割賦販売法の一部を改正する法律」(改正割賦販売法)が施行され、クレジットカードを取り扱う加盟店において、「クレジットカード番号等の適切な管理」や「クレジットカード番号の不正利用の防止」を講じることが義務付けられました。具体的に、クレジットカードを取り扱う加盟店には以下の2点の準拠が法的に義務付けられました。
- クレジットカード情報保護対策として原則「カード情報の非保持化」をすること。カード番号等を保持するのであれば、カード情報セキュリティの国際基準であるPCI-DSSに準拠すること。
- クレジット偽造防止による不正利用対策として、ICカードによる決済ができる端末を設置すること。非対面取引におけるクレジットカードの不正利用対策として、なりすましによる不正利用を防止するための対策をとること。
割賦販売法が加盟店にセキュリティ対策を義務付けたことによって、対面、非対面を問わず、ECサイトを運営しカード決済を導入しているような企業や店舗も含めこれを実施する必要が生じました。自社によるカード情報の非保持化の実現が難しい企業は、ここで定められているようにPCI-DSSへの準拠が必要です。導入時期については、2018年3月末までにカード会社やEC加盟店ではPCI-DSSへ準拠、 対面加盟店においても2020年3月末までに、PCI-DSSへの準拠か、あるいはカード情報の非保持化を実施する必要がありました。つまり、今は必ず、このような措置をとる必要があるのです。
PCI-DSS準拠が必要な事業者
- イシュア(クレジットカード発行会社)
- アクワイアラ(クレジットカード加盟店契約会社)
- 決済代行会社
- クレジットカード加盟店
PCI-DSS準拠が必要な業種
- 流通:百貨店、小売店、航空会社、鉄道会社
- 金融:クレジットカード会社、金融機関
- 通信、メディア:通信事業者、新聞社
- 製造:石油産業
このように多岐にわたる事業者、業種がPCI-DSSに準拠する必要があります。
PCI-DSS準拠に最適なWAFの導入
PCI-DSSに準拠するためには次のような12個の要件を満たす必要があります。
安全なネットワークとシステムの構築と維持
- 要件1 カード会員データを保護するために、ファイアウォールをインストールして維持する
- 要件2 システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない
カード会員データの保護
- 要件3 保存されるカード会員データを保護する
- 要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
- 要件5 マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
- 要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
- 要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
- 要件8 システムコンポーネントへのアクセスを識別・認証する
- 要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
- 要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
- 要件11 セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの整備
- 要件12 すべての担当者の情報セキュリティに対応するポリシーを整備する
ここであげられている6番目のPCI-DSS要件「6. 安全性の高いシステムとアプリケーションを開発し、保守する」を満たすには、WAFを導入するか、脆弱性評価ツールによって年1回以上のレビューと変更後のレビューを行う必要があります。つまり、Webサイトのセキュリティを確保するためにアプリケーション改修を続けるか、またはWAFを導入するかの内どちらかを選択する必要があります。しかし現実的に、アプリケーション改修を継続し続けることはかなりの困難を伴います。またアプリケーションの改修の場合、ソースコードから見直す必要があるため、多大なコストがかかってしまいます。一方、WAFは脆弱性を悪用する攻撃から永続的にWebサイトを保護するシステムです。一度導入することでWebベースの攻撃を検知および回避し、PCI-DSSに準拠したセキュリティシステムを構築することが可能です。
WAFのメリット
Webアプリケーションの脆弱性を保護する
網羅的に防御対策を考え、アプリケーションに実装するのは時間もコストもかかります。WAFを使えば、Webアプリケーションに脆弱性があったとしても安全に保護することができます。WAFを導入した場合、ホームページへのアクセスがすべてリアルタイムで監視・分析されるようになります。このリアルタイム分析によって、過去の攻撃パターンなどから「悪意ある不正なアクセスである可能性が高い」と判断されたアクセスは、WAFが自動的にブロックします。WAFを導入することで、DDoS攻撃やSQLインジェクション等、様々な脅威からの保護が容易になります。
導入コストが抑えられるクラウド型WAF
従来のWAFは、導入の際に多額の初期費用がかかるほか、運用に高度なセキュリティの知識と手間がかかるという問題がありました。しかしその後登場したクラウド型WAFはまとまった初期費用を用意する必要がなく、さらに面倒な保守管理や設定作業が不要なので、リソースの限られた中小企業でも導入が進んでいます。クラウド型WAFである弊社のクラウドブリック(Cloudbric)は以下の利点によって、導入面と運用面の課題を解決しています。
- DNSの変更だけでWebサイトに導入が可能
- エージェント・ファイルのインストール、ダウンロードが不要
- 各顧客単位の独立的な環境の構築が可能
従来の防御では防げない「ゼロデイ攻撃」にも対応
WAFは、ほかのセキュリティ製品では防げない多くの攻撃をブロックできます。例えば、開発元が修正パッチを配布する前に行われるゼロデイ攻撃といった従来の防御では防げない脆弱性にも対応します。ゼロデイ攻撃とは、ソフトウェアなどに脆弱性が発見されてから修正される前に仕掛けられる攻撃です。修正対応されるまでを「1日」と考えた場合、それよりも早く攻撃を仕掛けるため「ゼロデイ攻撃」と呼ばれます。ゼロデイ攻撃の原因は、脆弱性が発見されてから修正されるまでのタイムラグです。どうしても脆弱性の発見から修正まで時間差が発生してしまうと、ユーザーによる防御も難しくなります。WAFは最新の攻撃パターンに自動で対応していき、攻撃にいち早く対応するため、ゼロデイ攻撃も防げます。
スペースを取らないクラウド型WAF
クラウド型WAFは利用者側でハードウェアを設置する必要がないため、より気軽に導入できるというメリットがあります。サービス提供側が用意したデータセンターを利用するため、お客様環境において機器を設置する必要がありません。導入時に手間がかからず、サービス運用場所に制限がないので、スピード感をもって導入することが可能です。
さいごに
クレジットカード決済にはより強固なセキュリティが求められています。改正割賦販売法は、クレジットカード利用者の安全を図り、安心してクレジットカード決済を利用できる環境を整えるため、セキュリティ面に関して、きびしいハードルを設定しています。通信の暗号化やセキュリティパッチの更新の徹底など、PCI-DSSは12個の要件を定義しています。 特に要件6の「Webアプリケーションに対する既知の攻撃に対する防御」においては、これまで「推奨する」にとどまっていたものが、必須となりました。カード加盟店はもちろんのこと、カード情報を扱わない事業者も、悪意ある不正なアクセスを遮断するWAF導入の検討をお勧めします。
