古いWebブラウザーやフィーチャーフォン(ガラケー)を使っている顧客は、ECサイトでクレジットカード番号を入力できなくなる――。
2016年7月に本格適用されるクレジットカード情報保護のセキュリティ国際基準「PCI DSS(Payment Card Industry Data Security Standard) v3.1」をめぐり、ECサイト事業者から反発の声が高まっている。一部の顧客がECサイトでクレジットカード番号を入力できなくなり、サイトの売り上げを押し下げる可能性があるためだ。
基準策定団体のPCI SSC(Payment Card Industry Security Standards Council)も、反発の声が想定外に多いことから、本誌の取材に対して「v 3.1がもたらす影響の実態調査に乗り出す」(PCI SSC インターナショナルディレクターのジェレミー・キング氏)考えを示した。
既存ECサイトでは2016年7月からSSL 3.0/TLS 1.0が使用禁止
PCI DSS v3.1では、Webブラウザーの通信暗号化技術(HTTPS)のうち、これまで推奨されていたSSL(Secure Sockets Layer) 3.0/TLS(Transport Layer Security) 1.0について、暗号仕様に脆弱性が確認されたとして、既存のECサイトでは2016年7月から使えなくなる(図)。これに代わり、より安全なTLS 1.1(一部実装除く)/TLS 1.2の利用が必須となる。
この措置の影響は、全世界のECサイト事業者にとって無視できないものだ。Windows Vista搭載のInternet Explorer(IE)はTLS 1.1/1.2に対応しておらず、SSL 3.0/TLS 1.0の対応を取りやめた決済サイトには接続できない。Windows 7以降でもWebブラウザーのバージョンによっては非対応か、既定で無効になっている。「(既に多くのWebブラウザーが使用を取りやめている)SSL 3.0はともかく、TLS 1.0の禁止は厳しい。Webサーバーやネットワーク機器の更新による出費も迫られそうだ」(NRIセキュアテクノロジーズ テクニカルコンサルティング部 グループマネージャーの矢野淳氏)。
さらに国内では、顧客が持つガラケーの多くは、TLS 1.1/1.2に非対応だ。国内ECサイト事業者の一部は「ガラケー向けECサイトを取りやめる、ガラケーでの決済手段からクレジット決済を外す、などの対策を計画している」(NTTデータ先端技術 セキュリティ事業部 セキュリティコンサルティング担当 ITセキュリティグループ チーフコンサルタントの池谷陽氏)という。
