今週のSecurity Check(第194回)

 おさいふケータイ,ETC用ICカード,小売事業者が提供するICカードなど,クレジットカードは我々の日常生活の至る所にあり,決済に便利な環境の整備が進んでいる。ただクレジットカードの種類が増えるにつれ,管理されるべき情報も膨れ上がる。決済サービスを提供する企業にとって,利用者の利便性を高めるとともに,セキュリティ強化は不可欠である。

 米国に比べるとクレジットカード利用者は少ないものの,平成17年時点での統計によれば,日本でのクレットカード発行枚数実数は2億8900万枚(日本クレジット産業協会の公表数値)となっている。日本では一人当たり2枚程度のクレジットカードを保有していることになる。

 クレジットカード会社のセキュリティ対策の効果もあり,最近でこそクレジットカードの不正使用は減少傾向にあるが,依然として被害は出続けている。米カード・システムズ・ソリューションから4000万件という規模のクレジットカード情報が漏えいした事件は記憶に新しいが,原因としてWebアプリケーションにぜい弱性が存在したことが公表されている。こうした事件を考えると,クレジッットカードのセキュリティ対策はまだまだ大きな課題と言える。クレジットカードを発行する企業はもちろん,加盟店を含め,セキュリティ強化が求められる。

 そこで今回は,クレジットカード業界において,どのようなセキュリティ対策が考えられているかを紹介しよう。

■業界標準のセキュリティ規格「PCIDSS」を知っておこう

 クレジットカード業界では,PCISSC(PCI Security Standards Council LLC.)という組織が中心的な活動をしている。関連する企業256社で構成される組織で,主な出資企業はVISA(AIS),MasterCard(SDP),JCB(JCB Data Security Program),Discover,American Expressといった国際カード・ブランド会社である。

 PCISSCは2006年9月,カード会員データを保護するための「PCIデータセキュリティ基準(PCIDSS)」を定めた。PCIDSSでは,カード会員データであるカード番号(PAN=Primary Account Number)と,これに関連する機密情報を保護するために実施すべき要件が規定されている。

 具体的には,6項目の「コントロールの目的」に関し,それぞれの詳細要件,付録要件合わせて12項目の要件がまとめられている(表1)。

表1 PCIデータセキュリティ基準の概要
【コントロールの目的】安全なネットワークの構築・維持
●要件1
データを保護するためにファイアウォールを導入し,最適な設定を維持すること
●要件2
システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
【コントロールの目的】安全なネットワークの構築・維持
●要件3
保存されたデータを安全に保護すること
●要件4
公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合,暗号化すること
【コントロールの目的】脆弱性を管理するプログラムの整備
●要件5
アンチウイルス・ソフトウエアを利用し,定期的にソフトを更新すること
●要件6
安全性の高いシステムとアプリケーションを開発し,保守すること
【コントロールの目的】強固なアクセス制御手法の導入
●要件7
データアクセスを業務上の必要範囲内に制限すること
●要件8
コンピュータにアクセスする際,利用者ごとに識別IDを割り当てること
●要件9
カード会員情報にアクセスする際,物理的なアクセスを制限すること
【コントロールの目的】定期的なネットワークの監視およびテスト
●要件10
ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し,監視すること
●要件11
セキュリティシステムおよび管理手順を定期的にテストすること
【コントロールの目的】情報セキュリティ・ポリシーの整備
●要件12
情報セキュリティに関するポリシーを整備すること

 さらに米国では,いくつか州レベルで法令化が実施されている。欧州でもクレジットカード情報におけるセキュリティ標準化の動向があり,PCIDSSを含め,世界的に国際標準化の動きが加速しつつある。また各カード・ブランド会社は,加盟店やサービス・プロバイダ,カード発行会社などに向けてカード会員データ・セキュリティ・プログラムを提供している。PCIDSSと目的は同じだが,それぞれ内容には違いがある。

 こうした中で企業が実施すべき対策としては,まず社内のセキュリティ・レベルの維持・向上を実現するために,PCIDSSの変更又は通常の企業における監査基準に従い,定期的に手順を繰り返し継続することが重要である。

  1. PCIDSSのセキュリティ基準をベースに現状とのギャップ分析する(未実施の要件を洗い出す)
  2. 未実施の要件について具体的な対策を検討する(関連部署と協力してプロジェクト化することを推奨。対策に応じたリソースおよびコストも考慮して全体基本計画を作成する)
  3. 全体基本計画に基づき,個別実施計画書を作成する(組織体制,対応詳細,実施予定期間,優先順位)
  4. 個別実施計画書に基づいて準備,実施する
  5. 運用管理のためのマニュアルを整備する
  6. コンプライアンス対応として,セキュリティ要件の変更を内部規程などに反映する
  7. 監査を定期的に実施する(内部規程に基づく監査の実施)

 対策に当たっては,PCIDSSにかかわる外部のコンサルティング・サービスまたはソリューションを利用する手もある。カード会員データなどを取り扱う事業者・加盟店を中心として,PCIDSSを有効に活用してセキュリティ対策を実施するために活用していただきたい。


西 誉
インターネットセキュリティシステムズ
プロフェッショナルサービス本部コンサルティング部長

ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)