クレジットカード情報の保護基準

クレジットカードは、インターネットの 普及当初から一貫して、 サイバー犯罪の格好のターゲットです。 カード業界が設立した PCI セキュリティ標準評議会が定める、 データセキュリティ標準 PCI DSS は、 カード会員の情報を保護する 堅固なセキュリティ対策を確立する 実用的なフレームワークです。 米国情報機関の職員だった エドワード・スノーデンは、 国家主導で個人や外国政府の情報が 収集されている実態を告発しました。 近年はこれを受けて、 欧州のデータプライバシー規則 GDPR など、データの悪用を防止する 規制の強化が進んでいます。 その結果、データが悪用された場合に 企業が問われる責任は重くなり、 カード決済に対応する すべての事業者にとって、 情報管理や決済のセキュリティを 徹底できるかが死活問題となっています。 PCI DSS の内容を見る前に、 使われている主な用語の意味を 理解しておきましょう。 「加盟店」とは、クレジットカードや デビットカードでの支払いに 対応する事業者です。 「サービスプロバイダー」とは、 加盟店が決済やカード情報の保存に 利用するサービスを提供する事業者です。 「認定セキュリティ評価機関」 略称「QSA（キューエスエー）」とは、 PCI DSS へのコンプライアンスを 評価できる認定を受けた独立機関です。 「内部セキュリティ評価者」とは、 認定を受けて社内評価を提出できる 加盟店の従業員です。 「データの悪用」とは、 セキュリティの不備により カード会員の情報が流出することです。 「カード会員データ」とは、 プライマリーアカウント番号、 会員氏名、有効期限、 サービスコードのことです。 「機密認証データ」とは、 カード確認情報と暗証番号を含む 磁気ストライプデータまたは チップ上のデータです。 データの悪用が発生した場合、 カード会社は原因の調査を開始します。 この時、PCI DSS へのコンプライアンスが 認定されている事業者は免責を 請求できますが、 そうでない場合は、重い罰金を課されたり、 カード決済を取り扱う権利を 失ったりします。 ただしいずれの場合も、 カードの再発行や顧客への弁済といった 対応のコストは負担しなければなりません。 では、以上のことを頭に置きながら PCI DSS の規定を見ていきましょう。 PCI DSSは、 PCI セキュリティ標準評議会が 策定する標準で、 コンプライアンスに必要な条件を 明確に示しながら、整備すべき管理策と テストの方法をまとめています。 バージョン 3.2（さんてんに）では、 システムや運用に関わる 12 の要件にわたって、 合計 200 近くに上る管理策が 必須項目として挙げられています。 最初は、効果的なファイアウォールの 設置と構成に関する要件です。 ファイアウォール設定の 基準を確立すること、 ファイアウォールに関わる変更には すべてテストを行うこと、 そして６か月ごとにルールを見直すことが 定められています。 加盟店は、カード情報に関わる すべてのネットワークとデバイスの 構成および配置がわかる ネットワーク図を作成し、 常に最新の状態に 更新しておかなければなりません。 カード取引とは関係ないトラフィックは、 カード情報システムに アクセスすることがないよう、 遮断する設定が必要です。 そのため、通常の内部ネットワークから PCI ゾーンを分離して、 PCI 専用のゲートウェイでトラフィックを 管理する方法が一般的です。 インターネットに 直接接続するシステムには、 内部と外部それぞれへのゲートウェイで アクセスを管理する緩衝地帯、 いわゆる DMZ（ディーエムゼット）を 設ける必要があります。 ファイアウォールが必要なのは、 社内システムだけではありません。 従業員の私物を含むモバイルデバイスで 社内ネットワークにアクセスするためには、 デバイス自体に ファイアウォールソフトウェアを インストールして、従業員自身が 変更できない設定で運用することが 必要です。 BYOD（ビーワイオーディー）とも 呼ばれる私物混じりの運用環境では、 この措置が非常に重要です。 次はパスワードの取り扱いです。 デフォルトのパスワードや 破られやすい設定を使うことは 禁止されています。 それぞれのデバイスや システムコンポーネントに 効果的なセキュリティ設定を行い、 不要なポートとサービスは 完全に削除しなければなりません。 カード会員データの保存は最小限にとどめ、 保護することが必要です。 本人確認に使用した認証データは、 平文でも暗号化した形でも 保存することが禁じられています。 アカウント番号の表示には、 末尾４桁以外をアスタリスクに 変換するなどのマスキング処理が必要です。 アカウント番号を保存する場合は、 強力な暗号化または ワンウェイハッシュで 保護しなければなりません。 暗号化ソリューションでは、 心臓部分ともいえる暗号鍵の マネジメントを厳密に行うことが必要です。 カード会員データを、 インターネットなどのオープンな ネットワークや安全でない ワイヤレスネットワークで 送受信する場合は、暗号化が必要です。 十分に保護されていない アカウント番号の送信に、 メールやショートメッセージなどの エンドユーザーシステムを 使用してはいけません。 暗号化の手法は、 変化する技術動向に照らして 効果的なものとすることが必須です。 ウェブアクセスの 暗号化ソリューションとしては、 長年 SSL（エスエスエル）が 一般的でしたが、 2013 年に「ハートブリード」と呼ばれる 致命的な脆弱性を悪用した 不正行為が見つかりました。 PCI セキュリティ標準評議会は これを受けて、カード会員データの 暗号化に使用できると定めた ソリューションから SSL を 除外する決定を下しました。 次はウイルス対策です。 エンドポイントデバイスと サーバーの両方をマルウェアから 保護するため、カード会員データを扱う システムにはアンチウイルスソフトの 導入が義務づけられています。 定期的なウイルススキャンも必須です。 新種のマルウェアは、 ウイルスデータベースに追加される前に システムに侵入する危険があるからです。 ベンダーから発信される脅威や 脆弱性の情報を注視して、 セキュリティを強化する重要なパッチは 公開から１か月以内に 適用しなければなりません。 システムの開発やテストに 使用するアカウントは、 本番システムの稼働前にすべて削除します。 また、カスタム開発したソースコードは 必ずコードレビューにかけ、 SQL インジェクションや クロスサイトスクリプティングを はじめとする脆弱性がないかを 入念に確認します。 本番で使用するアカウントデータを テストに使ってはいけません。 PCI DSS の要件のうち、 後半の６つは、いわゆる PCI ゾーンの外に 求められるセキュリティレベルを 規定しています。 特に注目されるのが、 物理的アクセスの制限に関する要件です。 対象には、カード情報の読み取りに 使用される特殊デバイスも含まれます。 この背景には、銀行の ATM（エイティーエム）やガソリンスタンドの 給油機などを標的にした カード情報のスキミングが 多発している問題があります。 2015 年４月にフロリダ州で行われた 一斉検査では、約 6,000 台の給油機のうち 81 台からスキミング装置が 発見されました。 ガソリンスタンドを狙った この種のサイバー犯罪の被害額は、 米国だけで年間 30 億ドルに上ると 推計されています。