カード国際ブランド、マスターカードが語る
PCI DSSはなぜ登場したのか
柏木 恵子
2008/12/26
 |
2008年12月5日にベルサール六本木(東京・港区)で、@IT編集部が主催する「@ITソリューションセミナー PCI DSSで知る・見る・使えるセキュリティ対策」が開催された。
PCI DSSはクレジットカード業界のセキュリティ基準だが、情報セキュリティに対する具体的な実装を要求していることから、企業の一般的な情報セキュリティにも応用できるものとして、昨今注目を集めている。
ここでは、セミナーの冒頭に行われた、マスターカード ワールドワイドセキュリティリスクサービス 日本/韓国担当 ビジネス・リーダーの荒川明良氏による基調講演「グローバルなデータセキュリティ基準であるPCI DSS」の内容を紹介する。
国際カードブランドがPCI DSSを制定した理由
 |
マスターカード ワールドワイド セキュリティリスクサービス 日本/韓国担当 ビジネス・リーダー 荒川 明良氏 |
PCI DSS(Payment Card Industry Data Security Standard)とは、支払カード業界のセキュリティ基準だ。そこで、基調講演の壇上には、支払カードの国際ブランドであるマスターカードで、セキュリティやリスク管理を担当している荒川明良氏が上がった。
支払カード業界では、カードの不正使用や加盟店の不正などを特定したり防止策を講じるために、さまざまなセキュリティプログラムを実施している。PCI DSSとは、そのような数あるセキュリティプログラムの中の1つだ。
ただし、ほかのプログラムとは大きく異なる点がある。それは、各国の政策や法制と深くかかわっているということだ。
また、支払カードは、グローバルなプラスチックマネーとして世界中どこでもいつでも利用できるということが特徴であり重要なことだ。カードの不正利用が発生した場合に損害を被るのは、カード会員またはそのカードを発行した会社だが、利用するのはその国の中だけとは限らない。つまり、国ごとにセキュリティのレベルが異なると、それだけカード会員や発行会社が不利益を被るリスクが高くなってしまうのである。そこで、国ごとの法律とは別に、世界共通のセキュリティ基準を設ける必要がある。そのために制定されたのが、PCI DSSなのである。
PCI DSSの検討や制定を行っているのは、PCI SSC(Payment Card Industry Security Standards Council)という組織だ。これは、2006年に支払カード業界のセキュリティ基準の開発/管理/教育/啓蒙(けいもう)の責任を負う公開フォーラムとして支払カードの国際ブランド5社によって創設され、以下の3つの基準を制定している。
- PCI DSS(データセキュリティ基準)
- PCI PA-DSS(支払アプリケーション――データセキュリティ基準)
- PCI PED(PIN入力機器)
PIN入力機器というのは店舗に設置されているPOS端末のことだが、この3つを見ると分かるように、PCI DSSは消費者保護だけでなく、情報処理会社および加盟店における情報セキュリティについても規定し、保護の対象としている。つまり、店舗や店舗から集まってきたカード利用者情報を取り扱う情報処理会社、あるいは支払アプリケーションや情報入力端末を開発・製造するような業者にとっても無関係ではないということだ。金銭に関係するために厳密に定められた基準が、さまざまな場面で参照されるという現状から見ても、このPCI DSSは単なる支払カード業界の標準ではなく、さまざまな場面で参考にできるものであると考えられるのではないだろうか。
支払カードデータ流出の現状
PCI DSS制定の背景として、支払カードデータの流出の現状は、以下のようにまとめることができる。
- クレジットカードの不正利用の金額は2000年あたりをピークに減少傾向
- 特に減っているのは、偽造カードによる被害
- ただし、ネット販売や通販などの非対面取引での不正は増加している
これは、対面取引ではプラスチックカードが必要だが、非対面取引ではデータだけで悪用可能ということが理由と考えられる。その意味からも、PCI DSSの必要性は強調される。また、グローバルな支払カードデータ流出の最近の傾向としては、以下のような特徴を挙げることができる。
- サイバー犯罪の多様化/巧妙化
- 統合POSシステムが標的になっている
- 最も多い攻撃手法はSQLインジェクション
- 遠隔コントロール・ソフトウェアによる被害も拡大
統合POSシステムはあまりなじみがないかもしれないので、簡単に説明しておこう。POSはPoint Of Saleの略で、買い物をしたときにレジに設置した端末で商品やポイントカード、クレジットカードなどのカード情報を読み込み、その情報を集計/分析し、販売動向を把握する仕組みだ。
この店舗用の端末自体が、読み取った情報を保持してしまう仕様になっている場合があり、このレジ端末にハッキングを行うことでクレジットカード情報を盗み取るという事例が、特に米国で多発した。これらの事態を改善するために制定されたのが、PCI DSSというセキュリティ基準なのである。
1/2 |
 |
| Index | |
| PCI DSSはなぜ登場したのか | |
 |
Page1 国際カードブランドがPCI DSSを制定した理由 支払カードデータ流出の現状 |
| Page2 PCI DSS、6つの目標と12の順守要件 気になるPCI DSSの最新動向 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
