狙われるカード情報、国際基準で守る時代が到来する?:Voice
外国人観光客の増加を背景にクレジットカードなどによる決済も拡大しつつある。カード情報の国際的なセキュリティ基準「PCI DSS」を推進する団体の幹部は、「2020年の東京五輪までに日本での浸透を支援したい」と語る。
久方ぶりの円安基調などを背景に来日する外国人観光客が急増している。観光立国を目指す政府は先頃、東京五輪が開催される2020年の外国人観光客数の目標を年間2000万人から3000万人へと大きく引き上げた。こうした状況で予想されるのが、クレジットカードなどを利用した決済の増加だ。それとともにカード情報などを狙うセキュリティ犯罪のリスクの高まりも懸念される。
カード情報を保護する枠組みでは2008年に、5つの国際的なカードブランド(American Express、Discover、JCB、MasterCard、VISA)が「PCI Security Standards Council」(PCI SSC)を設立。それまで各ブランドが独に策定していたカード情報のセキュリティ基準を国際標準の「Payment Card Industry Data Security Standard」(PCI DSS)として策定し、PCI SSCがPCI DSSの世界的な普及を推進してきた。
PCI DSSではカード情報および取扱システムに関する12のセキュリティ要件が規定されており、各国のカード発行元会社などがカード加盟店などに対して要件への準拠を求めてきた。PCI DSSは度々改定されており、最新のセキュリティ脅威動向に対応したものとして整備されている(関連リンク)。カード先進国といわれる米国では加盟店のPCI DSSへの準拠が事実上の義務にもなっているようだ。
| 項目 | 要件 | 内容 |
|---|---|---|
| 安全なネットワーク構築・維持 | 要件1 | カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること |
| 要件2 | システムパスワードとその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しないこと | |
| カード会員データの保護 | 要件3 | 保存されたカード会員データを安全に保護すること |
| 要件4 | 公衆ネットワーク上でカード会員データを伝送する場合は暗号化すること | |
| 脆弱性管理プログラムの導入 | 要件5 | アンチウイルスソフトまたはプログラムを利用し、定期的に更新すること |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守すること | |
| 強固なアクセス制御手法の導入 | 要件7 | カード会員データへのアクセスを業務上の必要範囲内に制限すること |
| 要件8 | コンピュータにアクセスする利用者ごとに個別のIDを割り当てること | |
| 要件9 | カード会員データへの物理的なアクセスを制限すること | |
| 定期的なネットワークの監視とテスト | 要件10 | ネットワーク資源およびカード会員データに対する全てのアクセスを追跡、監視すること |
| 要件11 | セキュリティシステムおよび管理手順を定期的にテストすること | |
| 情報セキュリティポリシーの整備 | 要件12 | 全ての担当者の情報セキュリティポリシーを整備すること |
国内では2010年頃からPCI DSSに対する関心がITベンダーなどを中心に高まり始めた。ただ、欧米に比べると日本のクレジットカード利用はそれほど高くはないと言われ、PCI DSSの普及ペースは鈍かったようだ。それが上述した来日外国人の急増などを背景に大きく変わる可能性が出てきた。
カード情報の被害が国内で横行する事態になれば、日本に対する国際的な信用が損なわれる恐れもある。海外ではサイバー攻撃などよって膨大なカード情報が犯罪集団に盗まれ、闇市場で取引されているのが実態だ。最近では「POSマルウェア」と呼ばれる店舗端末に感染してカード情報を盗む不正プログラムが国内で広がり始め、カード情報を保護するセキュリティ対策が急務になった。3月には経済産業省が「クレジット取引セキュリティ対策協議会」を発足(関連リンク)。協議会ではPCI DSSへの準拠に関する具体的な情報漏えい対策などを検討していく。
PCI SSC インターナショナルディレクターのジェリミー・キング氏PCI SSCでPCI DSSの海外普及を担当するインターナショナルディレクターのジェリミー・キング氏は、「日本を含むアジア太平洋地域は世界で最もカード利用率が高まっている。カード決済のみならずモバイル決済も浸透し始め、2020年に向けてキャッシュレス化が加速するだろう。日本にとってはカード情報を国際基準で保護していく取り組みが急務になっている」と指摘する。
同氏によれば、PCI SSCでは経産省や日本クレジットカード協会、日本カード情報セキュリティ協議会と連携して、PCI DSSの日本での普及を支援していく。10月14、15日には都内で「PCI アジア太平洋コミュニティミーティング」を開き、カードセキュリティを取り巻く現状や対策技術動向の解説、PCI DSS導入のトレーニングなどを提供するという。
「カード決済やモバイル決済に国境はないので、データの安全を守るためにはぜひ国際標準を活用してほしい。PCI DSSは準拠すれば良いというものではなく、セキュリティリスクを減らすためにあると考えていただきたい。われわれはそのために包括的な支援を行っている」(キング氏)
PCI DSSの12の要件は全て準拠すべきというものではなく、実際には加盟店などの状況に応じて必要な要件に対応していく形が多い。「加盟店によってはカード発行元などの支援を受けながら、数年をかけてセキュリティ対策を整備していくケースが一般的だ」という。
2020年に向けて欧米で先行していたPCI DSSの普及が国内でもようやく本格化することになりそうだ。
関連記事
- ベリトランス、PCI DSS対応の課金決済プラットフォームを構築
ベリトランスはOracle Exadataを活用し、グローバルなセキュリティ基準に対応した課金決済プラットフォームを構築した。 
小売業者のPOS端末に潜むセキュリティの危険性、顧客情報流出の恐れも
規模の小さい商店などは大部分が中古のPOSシステムを利用しており、システムの頻繁な更新も行っていないために、脆弱性を悪用される可能性が大きいという。- 国内企業のPCI DSSへの対応、2011年から本格化の見通し
カード業界のセキュリティ基準「PCI DSS」に準拠する動きが北米に続いて、欧州や中国でも拡大しているという。国内では2011〜12年に本格化するとの見通しだ。 
PCI DSSへの準拠を試みる組織の弱点と強化の近道
クレジットカード業界のセキュリティ基準「PCI DSS」は、セキュリティ対策のベストプラクティスとしても注目される。準拠審査で指摘される不備は弱点でもあり、優先的に対策を強化すべきポイントになると言えるだろう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft 365のTeamsセット売り中止、裏にあった規制と競合の圧力
- Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
- Geminiを搭載 Googleが新たな脅威インテリジェンス「Google Threat Intelligence」を発表
- XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?
- “心のアタックサーフェス”を保護せよ 巧妙化するサポート詐欺の対策を考える
- 身代金の支払い禁止は“おとぎ話”か? 完全禁止派 vs. 禁止措置緩和派の論争
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 生成AI vs. 人 フィッシングメールの質が高いのはどちらか? Splunkの研究成果
ITmediaはアイティメディア株式会社の登録商標です。