大切なクレジットカード情報を守る!「PCI DSS」による情報保護

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

大切なクレジットカード情報を守る!「PCI DSS」による情報保護

2014/08/19


 大手教育事業者による空前の規模の情報漏洩事件が耳目を集めている一方、クレジットカード情報の漏洩事件も深刻化している。特にECサイトを運営する企業での情報漏洩、しかもクレジットカード情報の漏洩と不正利用は企業存続をも左右する重大事件に発展しかねない。コスト最適な形でリスクを最小限にするためにはどうすればよいのだろう。長年情報漏洩防止に注力してきたクレジットカード業界が依拠するセキュリティ標準「PCI DSS」は、その疑問への1つの解答として生かせそうだ。今回は、カード不正使用被害の現状と、PCI DSSの役割や内容について紹介しよう。カード業界に限らず、すべての組織に共通する対策がそこにある。

PCI DSS

POS端末(POSレジ)がウイルス感染、重要データが攻撃者のもとへ!

【未だ現役のスキミング手口】
 カード偽造手段の「スキミング」はご存知の方が多いだろう。行楽地などの店舗で買い物や食事などをしてカードで支払いを行うと、従業員が手元の読取り装置でカードの磁気情報を読み取って(この行為がスキミング)カードを偽造し、不正に使用する犯罪だ。この手口は古くからあり、例えば2005年に逮捕された国内ゴルフ場支配人を含む偽造グループによる事件では、ゴルフ場の利用客のキャッシュカードをスキミングして偽造、監視カメラで撮影した貴重品金庫の解錠番号をカードの暗証番号として利用して多額の現金を不正に引き出す手口が使われた。この手口はその後も繰り返されたほか、昨年はタクシー運転手らが乗客のクレジットカードをスキミングしてカードを偽造、不正に利用した事件で逮捕されたケースが大きく報道された。スキミングは海外を含めてカード偽造の常套手口になっている。

【POSレジのウイルス感染により大規模情報漏洩事件が発生】
 しかし直接のスキミングは一度にそれほど大量の情報窃取ができない。現在特に海外で大問題になっているのがPOSレジからのクレジットカード/デビットカード情報の漏洩だ。昨年の米国大手小売業者の事件では、およそ半月ほどの間にカード情報4000万件、顧客情報7000万人分が流出した。これはある店舗のPOSレジがウイルスに感染し、他のPOSレジや本社サーバーなどに侵入して情報を収集、犯人側に送信したものとされている。
 多くのPOSレジはカード情報を端末内に保存せず、暗号化して決済代行業者などに送信するだけなのだが、カード読取りの一瞬間だけ、POSレジのメモリにカードの生の磁気情報が書き込まれる。そのタイミングを狙って情報を横取りする機能をウイルスが持っていた。このような不正活動を行うウイルスについて調べたセキュリティベンダのトレンドマイクロによると、ウイルス検出数は昨年22件だったものが、今年の1〜3月の3ヵ月間だけで156件を数え、約7倍の増加を示しているという。
 日本でも多くの店舗が汎用OSを搭載したPOSレジを使用しており、メンテナンス用のUSBメモリがセットできたり、インターネットに接続できたりするシステムが多い。にもかかわらず、アンチウイルスや外部メディア接続制御などへの対応がPCの場合と比較して段違いに遅れているようだ。

【サーバーへの不正アクセス、ウイルス感染も続く】
 また、ECサーバーへの不正アクセスやシステムの脆弱性を狙った攻撃も、同様に大規模な流出を引き起こしている。最近ではあるECサイトの1160件のカード情報、カード名義人名、有効期限、セキュリティコードが不正アクセスによって外部に流出し、カード決済機能の停止を余儀なくされた。また別の複数のECサイトを運営する会社では最大約9万5000件の決済情報が漏洩した可能性がアクセスログ解析によって判明、セキュリティ体制の見直しを行った。さらにサイト会員への成りすましによって最大約2万4000件のクレジット情報を不正に閲覧された可能性を公表したサイトもある。類似の事件は他にいくつも発生している。

【内部不正による情報漏洩も深刻】
 さらに組織内部の関係者の不正行為による漏洩も大きな問題になっている。今年1月に韓国で、カード会社大手3社の顧客データ1億件以上がカード情報もろとも業務委託先の情報セキュリティ会社の社員の手により外部に流失していたことが発覚した。7月に公表された国内大手教育事業会社の情報漏洩事件ではカード情報の漏洩は確認できていないものの、空前の約2300万件の顧客データ漏洩が明るみに出た。この事件では委託先の社員がスマートフォンに情報をコピーして外部名簿業者に販売したとして逮捕されている。当の教育事業会社が損害賠償などに費やす金額は260億円(7/31現在)とされた。 
 表1に、クレジットカードとキャッシュカードの不正利用被害の状況を示す。2013年には約79億円もの不正使用被害が出ており、場合によっては企業の存続を脅かしかねない深刻な状況が続いていることがわかる。カード会社はむろんのこと、ECサイトやPOSシステムを運用するすべての企業にとって、カード情報の保護は喫緊の課題だ。

表1 クレジットカード不正使用被害(上)とキャッシュカード不正利用被害(下)の現状
表1 クレジットカード不正使用被害(上)とキャッシュカード不正利用被害(下)の現状
(上)一般社団法人日本クレジット協会 2014年3月31日公表資料による。
(下)金融庁 2014年5月30日公表資料による。

 このようなカード情報漏洩や不正使用を防ぐためのクレジット業界のセキュリティ標準に「PCI DSS」がある。極めてセンシティブな情報を扱う業界だけに、一般的な情報セキュリティマネジメント標準であるISMS(情報セキュリティマネジメントシステム)などよりも具体的な項目が規定されており、カード情報の取り扱いやECサイト運営などに携わる企業以外でもセキュリティ実装の参考になる部分が多い。以下に、そのエッセンスを見ていこう。


1

PCI DSSとは

1-1

PCI DSSの概要

 PCI DSS(Payment Card Industry Data Security Standards)は、クレジットカードの国際5大ブランドと言われるAmerican Express、Discover、JCB、MasterCard、Visaが利害関係を超えてセキュリティ強化のために策定した業界の統一セキュリティフレームワークだ。5大ブランドで設立したPCI Security Standards Council(PCI SSC)がその普及に努めている。

■PCI DSSで守る情報とは?

 PCI DSSはクレジットカードのPAN(会員番号/Primary Account Number)を保存、処理、伝送する組織と環境が備えるべき要件を定義している。PANは当然カード会員の最重要機密情報。これを保護するとともに、PANに紐付けられる各種情報もまた保護対象だ。

磁気ストライプから読み取れる情報

PAN:クレジットカード番号。一般に16桁の数字。

有効期限:PANの有効期限を示す「0914」というような4桁の数字。

氏名:ユーザーの氏名。

カード認証用のコード(CVV、CVC、CID):カードの正当性を示すコード

カード表面/裏面から読み取れる情報

磁気ストライプ内の情報からカード認証用コード以外の全部

氏名とセキュリティコード(CAV2/CVC2/CVV2/CID):カード署名欄の右上または表面に印字された3桁または4桁のコード。ECなどでの決済の際に、署名確認の代わりに利用される。

ICチップ内の情報

暗証番号(PIN:Personal Identification Number):本人確認用の番号。ICカードリーダを備えたPOSレジなどで署名の代わりに利用できる。

 こうした情報を取り扱うのは「ブランド」のほか、「加盟店」「カード発行会社(イシュアー)」「加盟店向けサービス提供業者(アクワイアラー)」「決済代行会社」といった関係各社だ。これらのメンバーすべてが、それぞれの取り扱う情報内容に応じたPCI DSSへの準拠が求められる。PCI DSSは2006年に初版、2010年に第2版、2013年に第3版と改訂が重ねられて今に至っている。目的はセキュリティ侵害の可能性および侵害が発生した場合の影響を最小限に抑えることであり、そのために備えるべきセキュリティ対策が大きく12要件にまとめられた。それら要件を自社が備えていることを申請し、審査機関の審査をクリアした場合に、PCI DSS準拠が取得できる。この認証を受けることで次のようなメリットがある。

PCI DSS準拠を取得するメリット

クレジットカード運用のリスクを低減できる。

自社への信頼感やブランディングに役立つ。

カードの不正使用が生じた場合、損害補償義務を免れる場合がある。

 肝心なのは、PCI DSSへの準拠を目指せば必ずセキュリティ強化が実現することだ。ただし準拠しているからといって安心というわけではなく、PCI SSCでは準拠は最低限の水準を示すとされており、適切な運用が求められている。とはいえ準拠が認められれば、その事実を第三者が簡単に確認できることになり、信頼感は増すだろう。なお、クレジットカード番号の漏洩を起こした場合、各ブランドからフォレンジックス調査、PCI DSS準拠(オンサイト監査)調査などが必須となる。

■ISMSとの違いは?

 ITのセキュリティ標準としてISMS(情報セキュリティマネジメント標準)が有名だが、こちらはセキュリティ管理のPDCAサイクルをいかに効果的に回して運用を改善していくかに重点が置かれており、必ずしもサーバーやネットワークのセキュリティ対策を詳細に規定しているわけではない。PCI DSSはむしろ情報漏洩リスクを低減するために何をすればよいかに重点が置かれ、具体的なレベルで記述されているのが特長だ。PCI DSSをベースにしたセキュリティ体制を確立したあと、その後も適切に運用していくために、ISMSが生かされると考えるとよいだろう。ただしPCI DSSでも例えば「四半期に一度の脆弱性スキャン」や「1年に1回のペネトレーションテスト」「週1回の重要ファイルの比較」などを最低限実施するよう求めており、継続的な検証と改善が織り込まれている。さらに運用やウイルス対策、委託先管理などについての記述が加えられているのも特長だ。

セキュリティ情報局にご登録頂いた方限定で「大切なクレジットカード情報を守る!「PCI DSS」による情報保護」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


PCI DSS/大切なクレジットカード情報を守る!「PCI DSS」による情報保護」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「PCI DSS」関連情報をランダムに表示しています。

PCI DSS」関連の製品

継続請求管理ロボット「経理のミカタ」 【ソフトバンク コマース&サービス】 Linuxサーバデータ暗号化ソリューション SERVER GENERAL 【ソフトエイジェンシー】 アプラス事例:Linuxと高信頼ハードの“いいとこ取り”が作る信販サービスの未来 【日本アイ・ビー・エム株式会社】
その他基幹系システム関連 暗号化 Linux
SFA/CRMと会計をつなぎ、請求・集金業務を管理・統合・自動化するRPA(ロボティック・プロセス・オートメーション)。 導入も簡単で透過的な、Linuxサーバデータ暗号化ソリューション。
鍵管理や権限別アクセス管理などが容易に実現でき、情報セキュリティの運用負荷を大幅に軽減する。
アプラス事例:Linuxと高信頼ハードの“いいとこ取り”が作る信販サービスの未来

PCI DSS」関連の特集


小学生向けのプログラミング教室を手がけるスタートアップ企業。3年間で生徒数が10倍にも増加したスピー…



 cloudpackが公開しているセキュリティホワイトペーパーの要点を紹介する連載の第3回目は、業務…



今や“ログ管理”は企業規模を問わず、発注元などから求められる要件になってきている。最近ではログ収集の…


PCI DSS」関連のセミナー

カード業界セキュリティ PCI DSS導入実践コース ベーシック 【BSI グループジャパン】  

開催日 7月14日(金),9月20日(水)   開催地 東京都   参加費 有料 5万4000円(税込み)

東京オリンピックの2020年開催に向け、政府はクレジットカードを世界で最も安全に利用できる環境作りを、閣議決定しました。これを受けて金融庁・経産省はじめ6省庁は…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 6月15日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 6月22日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007190


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ