PCI DSSの完璧な準拠のための
データ暗号化とサイバーセキュリティ
PCI DSSという言葉を聞いたことがありますか? クレジットカード取引が増えることによって、サイバー攻撃を通じて違法にクレジットカード情報を取得し、これを悪用する事件が相次いで発生しています。このようなカード情報流出を防ぐために「クレジットカード情報を取り扱うためのセキュリティ標準」がまさにPCI DSSです。
今回は、PCI DSSについて調べて、PCI DSSを準拠するために不可欠な要素である「データ暗号化」や「セキュリティ環境」について調べます。
最近、ECサイトなどのインターネットと電子商取引を通じた取引が増えながら、自然に決済のためのカード情報などの個人情報をインターネット上に登録して、決済することが増えました。しかし、問題は、このようなサイトがハッカーによって攻撃を受け、サイトに保存されていた顧客の個人情報が流出される事件も徐々に増えているということです。
下の記事は、最近発生したカード情報流出事件をまとめた記事です。
単に情報が流出されるだけではなく、流出されたクレジットカード情報を悪用し、金銭的な被害が生じるケースも多くなっており、被害額の規模も前年同期比1.6倍増加するなど、被害事例は増加している傾向です。このような被害を減らすため、各国で実施しているのがPCI-DSS準拠を通じた対策作りです。
PCI-DSS(Payment Card Industry Data Security Standard、米国のクレジットカード協会データセキュリティ標準)は、情報をオンラインで交換する時、消費者のクレジットカード情報およびあらゆる個人情報を安全に維持するため、一連のセキュリティ測定を標準化したものであり、この方法はクレジットカード情報の取扱いに関するセキュリティ基準として世界中に急速に普及しています。日本では、2020年東京オリンピック・パラリンピックに向けて、安全なカード取引が行われる社会の実現を目標として、PCI-DSSに対する対応を進めています。
PCI DSSは、どう始まったのだろうか。
PCI DDSセキュリティ標準委員会の創立メンバーには、Visa、MasterCard、Discover Financial Services、JCB InternationalやAmerican Expressがあります。彼らは、2004年に集まり、カードの所有者の個人情報誤用を事前に予防して、保護するためにPCI-DSS国際標準を作りました。公式PCI DSSガイドには「PCIは、カード所持者のデータを受諾、伝送又は保存する取引の規模や数に関係なく、全ての組織または加盟店に適用される。つまり、当該組織の顧客がクレジットカード又はデビットカードを使用して、直接販売者に支払う場合、PCI DSSの要求事項が適用される。」と明示されています。
カード会社と決済処理代行事業者、加盟店など、クレジットカード情報を取り扱うすべての組織を対象としており、ネットワークアーキテクチャとソフトウェアデザイン、セキュリティ管理等に対する基準が12つの要求事項に整理されています。
一方、PCI DSS対応のために、日本国内からも活発な動きがみられています。
2020年東京オリンピックに向け、「国際レベルのでセキュリティ環境を整備すること」を目的としている当協議会は、クレジットカード関連企業・小売店、団体、経済産業省の一員などで構成されています。クレジット取引のセキュリティ対策の強化に向けた実行計画(以下、クレジットカード取引セキュリティガイドライン)が発表された後、数回の改正を経て、最後に改正されたバージョンは、6月1日に施行されるクレジットカード取引のセキュリティ対策強化を定めた改正割賦販売法のガイドライン的な位置付けとなります。
改正された実行計画では、1番目にクレジットカード情報保護をさらに強化するため、カード加盟店で利用者のカード情報を保存しない努力(非保持化)を要求し、カード情報を保有する場合、カード会社や決済代行会社ではPCI DSSを準拠することを要求しています。
そして、カード偽造防止による不正利用防止のためにIC型クレジットカード対策を推進し、すべてのカード端末機がICに対応するように義務化し、各カード会社で発行するすべてのカードにはIC型にするよう、求めています。最後に、ECサイトや電子メール、電話などの非対面取引でクレジットカードの不正利用防止のために状況に応じたセキュリティ措置の導入を要求しており、特にデジタルコンテンツや家電、電子マネー、チケットなどの高危険群を取り扱う加盟店では「本人認証」「券面認証」「属性・行動分析」「配送先情報」の4つの基本的な対策のうち1つ以上を、不正利用被害が多発している加盟店(不正顕在化加盟店)に2つ以上を導入するよう規定しています。
※「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018‐」PDFファイルはこちらから確認できます。
≫≫ https://www.j-credit.or.jp/download/news20180301l2.pdf
PCI-DSSが扱う6つの主要関心事は、データ保存・サイバーセキュリティ・管理制御・持続的なモニタリング及びアップデート・正式セキュリティ政策です。PCI-DSS要求事項6.6は、カード所持者のデータを信頼できない活動から安全に保護し、オンライン環境を保護して積極的にテストする方法に対する深層的な概要を扱います。PCI-DDS 6.6は、PCI-DSS標準では最も複雑な部分であり、頻繁に質問が提起される部分でもあります。
WAF提供会社の場合、PCI-DSS標準が満たされていることを証明するため、手動セキュリティテストが必要です。ここには、以下の領域に対するテストが含まれます。
- インジェクションの欠陥、特にSQLインジェクション
- OS Commandインジェクション、LDAPやXPathインジェクション欠陥およびその他のインジェクション欠陥
- バッファオーバーフロー(Buffer Overflow)
- 安全ではない暗号化保存所
- 不安な【通信】チャンネル
- 不適切なエラーハンドリング
- クロスサイトスクリプティング(Cross-Site Scripting、XSS)
- クロスサイト要求偽造(Cross Site Request Forgery、CSRF)
- 不完全な認証及びセッション管理(Broken Authentication and Session Management)
- 不適切なアクセスコントロール(オブジェクト直接参照、URLアクセス制限失敗)
上記のチェックリストは、WAF提供会社がPCI-DSS認証を受ける時、知っておくべきチェックリストです。オンライン加盟店やその他のウェブサイトの所有者の場合、上のチェックリストはPCI-DSS標準を満たすセキュリティソリューションを選択する際、他社WAF提供会社と議論できる良い参考資料です。
結局、事業者はPCI-DSSを必ず確認しなければなりません。
クレジットカード情報を必要とする事業主はオンラインで事業を進める時、安全かつ倫理的に運営するために、PCI-DSS標準を準拠しなければなりません。信頼できるWAFソリューションを探すのは、カード所持者の情報取扱リスクを減らすのに役立ち、今後PCI-DSS 6.6のセキュリティ問題も解決することができます。
