今回はカード情報漏洩の対策についてまとめ、最後に2018年後半に浮き上がった事例で見逃せないdポイントの不正利用事件についても解説する。
結局は基礎的な対策が大切
いまECサイトを運営している側がとるべき対策は以下の2段階になります。
・システムに脆弱性がないようにチェックする。
・仮にあったとすれば修正するか、修正に時間がかかる場合は改ざん検知のシステムを導入する。
徳丸 そうですね。いずれも昔から言われている基本的なことです。基本をちゃんとやりましょうということです。
まあ、世の中なかなか基本はちゃんとできない。
徳丸 そうなんですよ。
こうやってお話を伺うことになって何年か経ちますが、毎年、同じことを言っているような気がしますね。
徳丸 言っていることは変わっていないんです。だからいいんですけどね。よくセミナーの冒頭で「セキュリティはいたちごっことか言っているけど、あれは半分嘘です」と言うんです。盗む手口は変わっていますが、そこに侵入する手口は変わっていないのです。
しかし、ECサイトの運営側には諸事情があって、基本的な対策を施すことを嫌がるんですね。たとえば、パッチを適用したりバージョンアップをすると、システムがまれに動かなくなるのでそれを嫌がって、先延ばしにしたりするんです。でもこうやって侵入されてしまったら元も子もない。結局コストという点でも非常にかかりますから、そこはちょっと頑張って基本に忠実にやりましょうということですね。
ECサイトは許可制や認可制になるかもしれない
カード情報流出事件で、最も気になるのが、脆弱性をそのままにしているサイトが残っていて、みなさん平気で商売をされている、というあたりです。
徳丸 そうなんですよねえ。
たとえば建物を建てるときには建築許可が要りますね。同じような、構築物としてのECサイトというものに対しての、許可なり認可なりということを国はやるべきですか。
徳丸 そこはいろいろな意見があるでしょうが、私はもうしないとしょうがないんじゃないか、という意見です。実はカード情報非保持化の話もそういう流れの中にあるはずだったのですが、現実を見てPCI DSS並みにセキュリティ対策を施すといっても無理だ、ということで非保持化を進めた、というのが私の推測です。