2014年5月30日8:00

ニフティのPCI DSS準拠システムの構築と課題解決(下)

初回審査より、2回目以降の審査が困難
運用はパッチ適用後のテスト費用も考慮する必要がある

PCI DSSの審査を受けた経験でいうと、1回目よりも2回目、3回目の審査の方がハードです。1回目は、QSAと確認しながらできますが、2年目は証跡を出して確認してもらうため、大変になります。

また、四半期ごとに内部監査を行いますが、運用中はさまざまなトラブルが発生します。これまでニフティでも、カメラが録画できていない、ログがなくなる、ログサーバが停止する、パッチが適用できないといったトラブルがありました。例えば、カメラの録画については、複数台準備していたため、他のカメラで補完するなどの対応を行いました。また、ログサーバを集約させると、ログの消失リスクが高まることは分かっていたため、他で取得したログを活用し、対応することができました。ログサーバの停止については、従来からローカルでログを蓄積しており、改ざん検知はログを取る際にハッシュを別にとっていたので助かりました。パッチの適用については、アプリの修正で対応しましたが、時間とお金がかかりました。

PCI DSSを運用していて課題となる部分については、構築と運用のコストがかかる点です。四半期に一度の内部監査でも工数がかかります。また、PCI DSSの対象範囲を削減するとコスト削減は可能ですが、対応のコストはかかります。さらに、運用はパッチ適用後のテスト費用も考慮する必要があります。

PCI DSSの審査を受ける際も、各QSAで解釈に幅があります。PCI DSSの取得に向けては、同業他社と情報交換しましたが、当時は解釈が違うこともありました。また、PCI DSSの認知度も決して高くはなく業界以外でのエンドースが必要であるとも感じています。

PCI DSSの要求事項以外のケアも大切
クレジットカード情報の外部委託を検討

加えて、PCI DSSは約250項目ありますが、要求事項でケアできていない部分もあると思います。まずオンメモリのカード情報で、仮にデータベースの暗号化を行っていてもメモリ上では平文です。これは、POS端末などで被害が出る可能性があります。また、アンチウィルスソフトの限界です。PCを守るほぼ唯一の防御策であるアンチウィルスは新種のウィルスには効果がないため、気づいたときには手遅れの場合もあります。最後に、委託会社のセキュリティとなり、協力会社のセキュリティ基準が必ずしもPCI DSSでないケースも考えられます。例えば、企業が直接契約できるところは審査可能ですが、孫請けしている会社はそれが難しい状況です。実際、米国のターゲット社の事件では、この3つの課題が浮き彫りとなりました。

PCI DSSの課題
PCI DSSの課題

ニフティでも、カード入力のアクセスが急増した時期がありました。キャンペーンなどでアクセスが増えることはありますが、同一のIPアドレスから短時間にアクセスがありました。調査の結果、ニフティでは顧客サービスとして有効期限、会員名などの個別エラーを返答していたのですが、攻撃者はカード番号のどこに問題があるかを調べていました。エラーページを使ってのクリーニングに利用されていたため、その対応を行いました。

昨年度ニフティでは、リスト型攻撃による「なりすまし不正ログイン」を受けました。合計約2万IDでログインされましたが、IDやクレジットカード番号については、PCI DSSの要件に合わせてマスキングしていたため、被害はありませんでした。

昨今の各社における不正利用の事例をまとめると、少なくとものべ3,000万件弱のメールアドレスやパスワードが漏えいし、攻撃に利用されているという話もあるため、IDやパスワードは漏れているという前提での対応が必要です。ニフティでも「@nifty」のログインにワンタイムパスワードを利用した認証を取り入れ、認証を強化しています。

今後の展開として、進化する攻撃、日常化する攻撃への対応には高いコストが伴います。そのため、クレジットカード情報を保持する目的の見直しも必要であると考えています。クレジットカード情報を委託することで、高コスト体系を見直し、他の部分にコストを捻出できます。ニフティでは決済処理事業者へクレジットカード番号を委託する予定で検討しています。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のニフティ株式会社 セキュリティ推進室 課長 伊藤 求氏の講演をベースに加筆を加え、紹介しています。

maepage
tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP