2017年9月13日8:41
PwCコンサルティング合同会社は、2017年9月3日、「PCI DSS準拠期限まで残り半年、企業はどうすべきか?」と題したセミナーを開催した。同セミナーでは、PCI DSSの最新動向、日本におけるPCI DSSの推進に加え、大手クレジットカード加盟店の「東急ハンズ」「髙島屋」「パルコ」の担当者が登壇し、それぞれの取り組みについて紹介した。
『インシデントが発生する』という前提に立って準備
如何に検知力を高めていくかが重要
セミナーではまず、PwCコンサルティング合同会社 マネージャー 小林 公樹氏が、PCI DSSの最新動向について説明した。
近年、個人情報をはじめ、企業や組織の重要情報が漏えいする事件が後を絶たない。特に、換金性の高いクレジットカード情報の漏えいが相次いでいる。日本クレジット協会や経済産業省が推進する「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、カード情報を保持するカード会社、PSP(決済代行事業者)、EC加盟店のPCI DSS準拠は2018年3月末と定められている。また、EC加盟店は同期限までに準拠できない場合は、カード情報の非保持化を実現しなければならない。
PCI DSSは、6項目12要件、約400項目を遵守し、QSAの審査をパスする必要がある。仮に99%の要件を満たしていても、1%の項目に不備があっては完全準拠とみなされない。加盟店にとっては、PCI DSS未準拠でカード情報の漏えい事件が発生した場合、顧客からの信頼低下はもちろん、カードブランドから多額の賠償金を課せられる可能性もある。すでに米国の大手スーパーでは、カード情報等漏えいにより、多額の賠償に発展した。そのため、自社のコア事業を実施するのにカード情報は本当に必須であるかを考え、非保持化も含めて考える必要がある。
PwCのデータによると、グローバルでのセキュリティインシデント件数は2016年においては減少したが、インシデントによるシステム停止時間は依然として横ばいの状況だ。同社では、『インシデントが発生する』という前提に立って準備すると、サイバー攻撃の兆候を確実に捉えることができるとした。また、インシデント発生後の態勢を整備しておくことが望ましい。小林氏は、「インシデントが発生しないことは大事ですが、如何に検知力を高めていくかが重要である」と語った。
PwCでは、PCI DSS関連サービスとして、ギャップ分析からPCI DSS認証後の準拠範囲の見直し、改善などのサポートを実施している。また、「Threat Intelligence」では、脅威・脆弱性情報の提供、インシデントが発生した際のアドバイザリ、リアルタイムインシデントレスポンス、サイバー攻撃演習などを行うことが可能だ。サイバー攻撃演習では、同社のサイバーセキュリティスタッフが実際に攻撃を仕掛けて、企業のSOCチームがその攻撃を適時・適切に検知して対応できるかを検証する。
2017年もカード情報漏えいは増加傾向に
PCI DSSを用いて多角的・重層的な対策を
続いて、Secure・Pro 代表 大河内貴之氏が講演した。大河内氏が関係しているフォレンジック調査会社による漏えい調査をみると、2017年も漏えい件数は増えているそうだ。傾向として、2015年、2016年はカード情報の取扱件数100万件以下の中小企業からの漏えいが多かった。
今年上半期の攻撃の手法もSQLインジェクションやバックドア、Heartbeat(ハートビート)など、ほとんど同じ手口を用いた脆弱性が多くなっている。PCF社がフォレンジック調査などを行う事案の中で多い攻撃手口は、SQLインジェクション攻撃、バックドアプログラムの設置、既知の脆弱性を利用した攻撃となっているが、「攻撃手口からPCI DSSをみると一定の効果がある」とした。
たとえば、SQLインジェクションは、Webプログラムの修正が有効であり、PCI DSSの要件6や11にも記載がある。また、バックドアプログラムについては、セキュリティパッチの更新が有益であり、CMSなどの管理者権限がどの程度使えるかによって影響範囲が変わってくるが、PCI DSS要件2、6、8を意識した開発を行うことが有効だとした。さらに、要件10のログのレビューに加え、要件11への対策として、脆弱性の運用サイクルや管理および、駐在型のファイル整合性監視の仕組みを入れておき、不正プログラムを検知したうえで削除する運用が有効だ。
さらに、「カード情報を保持する企業では、どのようにPCI DSSの範囲を縮小していくか」が重要であるとした。実行計画では、PCI DSS準拠しない場合は非保持化が求められるが、「非保持化はPCI DSS準拠を阻害するものではなく、セグメンテーションの一部であり、対象範囲の削減とカード番号の無価値化のために有効なプロセスである」という。
なお、PCI SSCが2016年12月に発行した「Assessor Newsletter」では、PCI DSSの対象と対象外の双方がアクセスする共有セグメント(PCI DSS対象範囲)を設けることで、アクセスコントロールやIDS/IPS、ファイル改ざん検知、ログ監視、ペネトレーションテストなどにおいてセグメンテーションを担保することができると紹介された。
大河内氏は、「PCI DSSは、すべての要件が網掛けになっており、どこかでセキュリティ対策の網がかかるように設計されているため、カード情報の漏えい対策として、PCI DSSを用いて多角的・重層的な対策を行うのが望ましい」とした。
東急ハンズでは非保持化とICカードに対応
パルコや高島屋でも実行計画に沿って準備を進める
同セミナーでは、「これからの日本企業におけるPCI DSSの取り組み PCI DSS準拠の各社の課題やモチベーションとは」と題した、パネルセッションを実施。東急ハンズ 執行役員オムニチャネル推進部長 兼 ハンズラボ 代表取締役社長 長谷川秀樹氏、髙島屋 経営戦略部 デジタルイノベーション推進室 副室長 高橋 豊氏、パルコ 執行役 グループICT戦略室 CDO 林 直孝氏の大手POS加盟店の担当者が登壇した。モデレーターは、PwC Japanグループ パートナー 小山 徹氏が務めた。
東急ハンズでは、東芝テックのPOSを使用しているが、数年に何回か二度打ちの取り消し処理のために、カード会社とカード情報を介してやり取りすることがある。同社では、POS加盟店ではいち早く、一部店舗のiPad POSシステムにICクレジットカード決済機能を追加し、クレジットカード情報を東急ハンズのシステムを保存や通過しないシステムを構築した。暗号化されたカード情報は決済端末と、ベリトランスの決済サーバ間のみで送受信するため、非保持化を実現させた。
また、EC決済の処理では、ユーザーが入力したクレジットカード情報をトークン(別の文字列)に置き換えて決済処理を行う接続方式「ダイレクト型」の決済を採用するなど、セキュリティを強化している。長谷川氏は、今後の決済動向として、Amazonが米国でテストしている「Amazon Go」のようなサービスの普及に期待を示した。
パルコでは、クレジット取引セキュリティ対策協議会の実行計画に基づき、2018年3月を目標に社内のセキュリティ対応を進めている。カード情報の漏えい対策は、ECサービスとして、カード情報の非保持化を行う予定だ。また、「3-Dセキュア」や「セキュリティコード」にはすでに対応している。さらに、偽造カードによる不正対策は、提携カード「PARCOカード」の発行会社であるクレディセゾンと調整してカードのIC化を進めることに加え、20店舗での対応を順次行うとした。
一方で、パルコでは、スマートフォンサービス「ポケットパルコ」など、デジタル戦略も強化しており、2020年に対面・非対面の仕組みを区別する必要があるのかという思いもあるそうだ。林氏は、先日中国を訪れたが、中国ではAlipayやWeChat Payなどを使ったデジタル決済、配送サービスなど、アプリを使ったサービスが浸透している。今後は、国内でもQRコードなどアプリを使った決済などが普及することで、よりキャッシュレス決済につながるとした。
髙島屋では、2018年3月に新POSに入れ替える予定だ。対面ではカード情報非保持化対応の実施内容を検討中とした。髙島屋クレジット発行の「髙島屋カード」および「タカシマヤポイントカード」、他社カードへの対応で考えている。他社クレジットは新POSを導入することと、百貨店共同の外部共同利用センターを使用する。自社クレジットは、2020年3月までの対応を進めるが、外商システムなどはカード情報と紐づいている課題が残っている。また、髙島屋クレジットのIC化対応も進めている。
さらに、非対面については、2018年3月までにEC部分のカード情報非保持化を進めるとした。