2014年5月30日8:00
ニフティのPCI DSS準拠システムの構築と課題解決(下)
初回審査より、2回目以降の審査が困難
運用はパッチ適用後のテスト費用も考慮する必要がある
PCI DSSの審査を受けた経験でいうと、1回目よりも2回目、3回目の審査の方がハードです。1回目は、QSAと確認しながらできますが、2年目は証跡を出して確認してもらうため、大変になります。
また、四半期ごとに内部監査を行いますが、運用中はさまざまなトラブルが発生します。これまでニフティでも、カメラが録画できていない、ログがなくなる、ログサーバが停止する、パッチが適用できないといったトラブルがありました。例えば、カメラの録画については、複数台準備していたため、他のカメラで補完するなどの対応を行いました。また、ログサーバを集約させると、ログの消失リスクが高まることは分かっていたため、他で取得したログを活用し、対応することができました。ログサーバの停止については、従来からローカルでログを蓄積しており、改ざん検知はログを取る際にハッシュを別にとっていたので助かりました。パッチの適用については、アプリの修正で対応しましたが、時間とお金がかかりました。
PCI DSSを運用していて課題となる部分については、構築と運用のコストがかかる点です。四半期に一度の内部監査でも工数がかかります。また、PCI DSSの対象範囲を削減するとコスト削減は可能ですが、対応のコストはかかります。さらに、運用はパッチ適用後のテスト費用も考慮する必要があります。
PCI DSSの審査を受ける際も、各QSAで解釈に幅があります。PCI DSSの取得に向けては、同業他社と情報交換しましたが、当時は解釈が違うこともありました。また、PCI DSSの認知度も決して高くはなく業界以外でのエンドースが必要であるとも感じています。
PCI DSSの要求事項以外のケアも大切
クレジットカード情報の外部委託を検討
加えて、PCI DSSは約250項目ありますが、要求事項でケアできていない部分もあると思います。まずオンメモリのカード情報で、仮にデータベースの暗号化を行っていてもメモリ上では平文です。これは、POS端末などで被害が出る可能性があります。また、アンチウィルスソフトの限界です。PCを守るほぼ唯一の防御策であるアンチウィルスは新種のウィルスには効果がないため、気づいたときには手遅れの場合もあります。最後に、委託会社のセキュリティとなり、協力会社のセキュリティ基準が必ずしもPCI DSSでないケースも考えられます。例えば、企業が直接契約できるところは審査可能ですが、孫請けしている会社はそれが難しい状況です。実際、米国のターゲット社の事件では、この3つの課題が浮き彫りとなりました。
ニフティでも、カード入力のアクセスが急増した時期がありました。キャンペーンなどでアクセスが増えることはありますが、同一のIPアドレスから短時間にアクセスがありました。調査の結果、ニフティでは顧客サービスとして有効期限、会員名などの個別エラーを返答していたのですが、攻撃者はカード番号のどこに問題があるかを調べていました。エラーページを使ってのクリーニングに利用されていたため、その対応を行いました。
昨年度ニフティでは、リスト型攻撃による「なりすまし不正ログイン」を受けました。合計約2万IDでログインされましたが、IDやクレジットカード番号については、PCI DSSの要件に合わせてマスキングしていたため、被害はありませんでした。
昨今の各社における不正利用の事例をまとめると、少なくとものべ3,000万件弱のメールアドレスやパスワードが漏えいし、攻撃に利用されているという話もあるため、IDやパスワードは漏れているという前提での対応が必要です。ニフティでも「@nifty」のログインにワンタイムパスワードを利用した認証を取り入れ、認証を強化しています。
今後の展開として、進化する攻撃、日常化する攻撃への対応には高いコストが伴います。そのため、クレジットカード情報を保持する目的の見直しも必要であると考えています。クレジットカード情報を委託することで、高コスト体系を見直し、他の部分にコストを捻出できます。ニフティでは決済処理事業者へクレジットカード番号を委託する予定で検討しています。
※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のニフティ株式会社 セキュリティ推進室 課長 伊藤 求氏の講演をベースに加筆を加え、紹介しています。
