皆さん、こんにちは。
今回のペンタストーリーでは、皆さんがあまり重要性を実感感じていないかもしれない、POSセキュリティについて、ゆっくりご説明したいと思います。
日常生活でよく使われるクレジットカード。
商品やサービスの費用を支払うとき現金を使うことなく一回でお金を払うことができるのですが、その過程がとても安全とは言えません。むしろ日本クレジットカード協会によると、クレジットカードに関する被害額は、前四半期より約1.6倍も急増しています。
(▲日本クレカ協会の不正使用被害額表)
今年発生した情報流出事件の代表的例として、7月末、投資情報サイトである「fx-on」の情報漏えい事件があります。クレジットカード情報が約9822件流出され、カード番号を含め、セキュリティコードなどの個人情報が漏えいされる事件がありました。
(▲「fx-on」サイト)
サイトの運営企業であるゴゴジャンは、早速被害を金融庁や警視庁に報告し、情報流出の可能性がある顧客に謝罪と注意を喚起しましたが、下記の二つの方策もまた再発防止策として実施したそうです。
1.クレジットカード情報が残らないようにカード情報を非保持化すること
2番の対策案はとても一般的だと言えますが、より注目すべきのことは1番の「カード情報の非保持化」です。一体カード情報の非保持化とは、何のことでしょうか。
これについて簡単に説明します。
2016年2月、経済産業省が主導する「クレジット取引セキュリティ対策協議会」では、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-」が発表されました。POSシステムは、端末とともにWebサーバなど多様に連携しているため、情報漏えい事故が発生しやすいシステムなのです。経済産業省はより消費者が安心して決済できる環境を構成するため、こうしたガイドラインを提示したのです。
こちらのガイドラインが提示する代表的な対策の二つは「カード情報の非保持化」と「PCI DSS準拠」でした。まず「カード情報の非保持化」とは、クレジットカード加盟店の機器ネットワークで、カードの情報が処理・保存・通過されないことを意味します。また「PCI DSS」とは、クレジット業界における国際的なセキュリティ基準です。
対策案の趣旨自体は問題ないのですが、一般企業からこちらの対策を実施するにはその費用とプロセスの難しさでとても無理がありました。「PCI-DSS」を準拠して「カード情報を保存・処理・通過する」ということは多くの手数と費用が必要だったからです。
(▲POS加盟店の課題)
そこで登場したのが、2017年3月に改訂された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」です。改訂案を閲覧してみると、PCI DSSの規格の一つである「PCI P2PE」は、会員の敏感な情報をPOS端末から決済が承認されて処理されるサーバまで、安全に転送して処理する方式に関する規定です。これを一言でいうと「最初から最後まで情報を暗号化しろ!」ということなのですが、既にこの規定は米国では導入されている方式でした。取引プロセスを安全に保護するという点で、グローバルで認められているので、改正されたガイドラインで初めて言及されながら、カード業界およびセキュリティ業界から注目されました。
(▲PCI DSSの認証仕組み)
経済産業省は以後、2017年7月、改正割賦販売法の施行に向け「クレジットカード加盟店契約に関するガイドライン」もまた策定しました。
益々急増しているクレジットカード情報流出事件に向け、日本クレジット協会ではセキュリティに関する注意を喚起しています。
不正アクセス攻撃から防御し、「PCI P2PE」規定に準拠するためには適切なソリューションを選択し、セキュリティを守ることが最も大事です。ペンタセキュリティのD’Amo for POSは、こういう目的に適合なデータ暗号化ソリューションです。POS決済プロセス上のクレジットカード情報をPOS端末から決済サーバまで安全に暗号化する「エンドツーエンド・セキュリティ・ソリューション」であり、ウェブサーバ、DBサーバなどに適用可能な多様な暗号化技術を通じて、POSシステムに容易に適用することが可能です。
ガイドラインが要求するPOSセキュリティのニーズを満たしているソリューションを通じて、お客様のクレジットカード情報をさらに安全に保護するセキュリティ対策を備えてください。
※「D’Amo for POS」の詳しい情報は、こちらから確認できます。
※「POSセキュリティ」の詳しい内容は、こちらから確認できます。
