2014年5月30日8:00

ニフティのPCI DSS準拠システムの構築と課題解決(下)

初回審査より、2回目以降の審査が困難
運用はパッチ適用後のテスト費用も考慮する必要がある

PCI DSSの審査を受けた経験でいうと、1回目よりも2回目、3回目の審査の方がハードです。1回目は、QSAと確認しながらできますが、2年目は証跡を出して確認してもらうため、大変になります。

また、四半期ごとに内部監査を行いますが、運用中はさまざまなトラブルが発生します。これまでニフティでも、カメラが録画できていない、ログがなくなる、ログサーバが停止する、パッチが適用できないといったトラブルがありました。例えば、カメラの録画については、複数台準備していたため、他のカメラで補完するなどの対応を行いました。また、ログサーバを集約させると、ログの消失リスクが高まることは分かっていたため、他で取得したログを活用し、対応することができました。ログサーバの停止については、従来からローカルでログを蓄積しており、改ざん検知はログを取る際にハッシュを別にとっていたので助かりました。パッチの適用については、アプリの修正で対応しましたが、時間とお金がかかりました。

PCI DSSを運用していて課題となる部分については、構築と運用のコストがかかる点です。四半期に一度の内部監査でも工数がかかります。また、PCI DSSの対象範囲を削減するとコスト削減は可能ですが、対応のコストはかかります。さらに、運用はパッチ適用後のテスト費用も考慮する必要があります。

PCI DSSの審査を受ける際も、各QSAで解釈に幅があります。PCI DSSの取得に向けては、同業他社と情報交換しましたが、当時は解釈が違うこともありました。また、PCI DSSの認知度も決して高くはなく業界以外でのエンドースが必要であるとも感じています。

PCI DSSの要求事項以外のケアも大切
クレジットカード情報の外部委託を検討

加えて、PCI DSSは約250項目ありますが、要求事項でケアできていない部分もあると思います。まずオンメモリのカード情報で、仮にデータベースの暗号化を行っていてもメモリ上では平文です。これは、POS端末などで被害が出る可能性があります。また、アンチウィルスソフトの限界です。PCを守るほぼ唯一の防御策であるアンチウィルスは新種のウィルスには効果がないため、気づいたときには手遅れの場合もあります。最後に、委託会社のセキュリティとなり、協力会社のセキュリティ基準が必ずしもPCI DSSでないケースも考えられます。例えば、企業が直接契約できるところは審査可能ですが、孫請けしている会社はそれが難しい状況です。実際、米国のターゲット社の事件では、この3つの課題が浮き彫りとなりました。

PCI DSSの課題
PCI DSSの課題

ニフティでも、カード入力のアクセスが急増した時期がありました。キャンペーンなどでアクセスが増えることはありますが、同一のIPアドレスから短時間にアクセスがありました。調査の結果、ニフティでは顧客サービスとして有効期限、会員名などの個別エラーを返答していたのですが、攻撃者はカード番号のどこに問題があるかを調べていました。エラーページを使ってのクリーニングに利用されていたため、その対応を行いました。

昨年度ニフティでは、リスト型攻撃による「なりすまし不正ログイン」を受けました。合計約2万IDでログインされましたが、IDやクレジットカード番号については、PCI DSSの要件に合わせてマスキングしていたため、被害はありませんでした。

昨今の各社における不正利用の事例をまとめると、少なくとものべ3,000万件弱のメールアドレスやパスワードが漏えいし、攻撃に利用されているという話もあるため、IDやパスワードは漏れているという前提での対応が必要です。ニフティでも「@nifty」のログインにワンタイムパスワードを利用した認証を取り入れ、認証を強化しています。

今後の展開として、進化する攻撃、日常化する攻撃への対応には高いコストが伴います。そのため、クレジットカード情報を保持する目的の見直しも必要であると考えています。クレジットカード情報を委託することで、高コスト体系を見直し、他の部分にコストを捻出できます。ニフティでは決済処理事業者へクレジットカード番号を委託する予定で検討しています。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のニフティ株式会社 セキュリティ推進室 課長 伊藤 求氏の講演をベースに加筆を加え、紹介しています。

maepage
tokysyu

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP