「カード番号すらシェアする世代」を守るには：VISA Global Security Summit 2013レポート

　2013年10月1日より米国・ワシントンD.C.にて「VISA Global Security Summit 2013」が開催された。ペイメントカードに関係する加盟店やカード発行会社を対象としたイベントで、「金銭」を直接扱う業界におけるセキュリティの現状を共有し、各プレイヤーが何をすべきかを考えるセッションが多数行われた。

　決済ネットワーク大手であるVISAは、カードブランドとして著名な企業であり、コンシューマーにもなじみ深いものだろう。

　クレジットカード、デビットカードなどの取引の中身は、加盟店や利用者、カード発行会社との「電文の交換」である。世界各地の加盟店でカードを利用すると、カード番号や金額などの情報がネットワーク上にて処理され、さまざまな情報を基にその取引が正常なものかどうかを判断する。

　ここで「本人認証」と「安全な通信」をいかにスマートに行うかがVISAの業務であると考えると、セキュリティに携わるエンジニアにも身近に感じられるのではないだろうか。

　VISAはこれらの情報処理に、多くのパートナーとともに最新鋭のセキュリティを投入している。「VISA Global Security Summit 2013」で語られた、安全なペイメントネットワーク形成のための取り組みを紹介しよう。

新しい世代には新しい「標準」を――いつでもどこでも安全な決済を行うには

VISA チーフ・エンタープライズ・リスク・マネージャー エレン・リッチー氏

　VISAのチーフ・エンタープライズ・リスク・マネージャーのエレン・リッチー氏は基調講演前に、本イベントの概要を紹介した。

　まずリッチー氏はクレジットカードの歴史について語った。15年前は、単純なPINコードのみでも悪用を防げていたペイメントテクノロジが、いまでは多様な「悪」に対抗しなくてはならない。この現実に対し「『ノーマル』（常識）を再定義する」必要があると述べた。

　PCからモバイルへスタイルが変わるとともに、新たな世代が登場しているとリッチー氏は述べる。その世代とは、最新デバイスとモバイルを使い、いつでもどこでもEコマースで決済を行うような若者たちで、リッチー氏は「プッシュボタン世代」（Push-Button Generation）と表現した。

　彼らはソーシャルネットワークサービスを駆使し、ありとあらゆることをシェアする。中には、過剰なシェアにより、自分のデビットカード番号やセキュリティコード（CVV2）までもFacebookで公開してしまう若者もいるという。

Push-Button Generationによる「このカード、クールでしょ？」という投稿にはデビットカード番号が……

　新たなノーマルは新たなリスクを呼ぶ。

　VISAは、新たなセキュリティリスクに対しては「セキュリティのデザインはシステムを作る最初の段階で必要なものであり、後から付け加えるものではない」と指摘する。新たなノーマルには、新たな決済手段や個人認証、そしてセキュリティ脅威が登場し、これらのリスクに追従していかなくてはならないとリッチー氏は述べる。

新たなノーマルにはリスクが伴う

　さらに、従来VISAのような決済ネットワーク大手がカバーしていたエリアに、多くの新プレイヤーが登場している点も、新たな「ノーマル」だという。その新プレイヤーとは、例えばPaypalなどの決済事業者であったり、アップルのiPhoneやグーグルのデジタルウォレットなど、IT企業が作るエコシステムも含まれる。

　これらのリスクに対して、もはや何をするかという時期ではなく「どう対応するか」が問題だとリッチー氏は定義する。販売する人、購入する人をどのようにスマートに認証するか、高度な攻撃に対し、どうやってリアルタイムにセキュリティ・インテリジェンスを適用していくか、また利用者が誤ってカード番号を公開してしまうような案件に対しても、どう教育し、どうやって内部アラートを挙げられるかという課題を、技術でクリアしていくべきだと述べた。

　そして最後にリッチー氏は、VISAは利用者に向け、安全なショッピングが非対面でも行えるよう顧客のデータを守りつつ、手間のかからない決済手段を提供し続けると宣言し、講演を終えた。

RSAが予測する2020年のセキュリティ

米EMC エグゼクティブバイスプレジデント兼RSA エグゼクティブチェアマン アート・コビエロ氏

　基調講演には、米EMC エグゼクティブバイスプレジデント兼RSA エグゼクティブチェアマン、アート・コビエロ氏が登壇した。「Security-Enabled Innovation」と題する講演は、2020年の攻撃手法を想定しつつ、いま私たちができることを提示する内容だった。

　まずコビエロ氏は、コンピューティング環境が、以前の専用端末からPCへ、そしてモバイルデバイスに取って代わることで、それにかかわるユーザー、アプリケーションの数が飛躍的に増えたことを述べた。

　それに伴い、攻撃されるポイントも変わってくる。例えば2020年のソーシャルメディアにおいては、より商業化が進み、プライバシーが脅かされる危険があるとした。またアプリケーションは、モバイルアプリ全盛の現状に代わり、ビッグデータを活用するアプリが標準となるだろうとコビエロ氏は予測する。これに伴い攻撃の対象も、現在主流の混乱を狙うものから、破壊的なものへ進化すると考えられる。

過去の経緯から、2020年の「破壊的な」攻撃を予測する

　コンピューティングの世界における脅威は、将来的にさらに広がると予想できる。コビエロ氏は現在、モバイルデバイスで決済をしたことがあるユーザーがわずか12％しかいない事実を指摘し、安全性への懸念がモバイルデバイス所有者の行動を制限してしまっていると述べた。

　これに対しコビエロ氏は、安全に対する情報を積極的にシェアし、テクノロジで守ることを提唱した。いま現在の「境界を守る／静的なコントロール／サイロ型のマネジメント」といった「受動的セキュリティモデル」を、「リスクベース／動的コントロール／インタラクティブマネジメント」といった「インテリジェンスドリブンなセキュリティモデル」に変更すべきだという。

受動的なセキュリティモデルからインテリジェンスドリブン型へ

　その実現に有効なのが、「セキュリティ版ビッグデータ」だという。セキュリティ関連機器が生み出す多数のデータから隠れたパターンを探し出し、そのシグナルを基に、セキュリティアプリケーションと連携する仕組みを取れば、未知の攻撃にも対抗できるとコビエロ氏は指摘する。このような新しいセキュリティモデルへ移行するために、防御中心の機器のために振り分けられていた予算を、検知が行えるよう予算構成を組み替えるなどの措置を取るべきだとした。

新たなセキュリティモデルに向けた移行の道筋

楽しくセキュリティ知識を〜アプリのハッカソン勝者が決定

　このイベントには、米TechCrunchによる「Visa’s TechCrunch Disrupt Hackathon」のファイナリスト2組が登場し、ペイメントカードのセキュリティを向上させるアプリの決選投票が行われた。このハッカソンは2013年4月27日に開催され、700以上のデベロッパーが参加したという。

　決勝に残った2組のアプリはどちらも、セキュリティの知識を楽しみながら身に付けるためのモバイルアプリだ。Team Voutcheによるアプリ「Voutche」は、Facebookのプロファイル情報をチェックし、プライバシー設定などにリスクがないかどうかをスコア化して表示する。

　Team Double Blackによるアプリ「Ultra V Force」は、コミック形式でフィッシングの脅威やID窃盗についての知識を付けていくもので、コミック内で提示されるクイズに正解すると新たな章が読めるだけでなく、保護者向けのアプリ「V Force Guardian」にその進ちょくを報告するようになっている。

　本イベントの参加者による投票により、「Voutche」が優勝を射止めた。Team Voutcheには優勝賞金5000ドルが授与された。

セキュリティアプリハッカソンの決選投票