クレジットカードのセキュリティ対策について

 2017.09.22  Secure Enterprise編集部

日本のクレジットカード不正使用被害は、2003年以降減少傾向にありました。しかし、EC化に伴い、2013年から一点して増加傾向にあり、2016年には年間113億9,000万円の被害額が発生しています。

引用:一般社団法人日本クレジット協会「クレジットカード不正使用被害の集計結果について

こうした、クレジットカード不正使用の被害が拡大している中、日本の電子取引市場は、前年に増して拡大しており、今後もその傾向は続く見通しです。さらに、2020年には東京オリンピック・パラリンピックも控えており、クレジットカード取引高の急増が見込まれていま。

以上の状況を踏まえ、企業のクレジットカードセキュリティ対策への取り組みは、急務と見るべきなのではないでしょうか。

今回は、経済産業省クレジット取引セキュリティ対策協議会が発行している「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-を参考に、クレジットカードのセキュリティ対策についてお話していきます。

クレジットカードのセキュリティ対策は2016年12月から義務化されている

2016年12月、特定商取引法の改正に伴い、割賦販売法も改正されたことをご存知でしょうか?ちなみに割賦販売法はクレジットカード取引に関する法律を定めたものです。

此度の法改正により、クレジットカード会社だけでなく、その加盟店においても様々な義務が発生しました。つまり、加盟店もクレジットカード会社同様に、クレジットカード情報の保護に取り組まなければならないことになります。

実は、この法改正を知らず、いまだクレジットカードのセキュリティ対策に取り組んでいない企業は少なくありません。場合によっては罰則もあり得るので、早急な取り組みが必要です。

参考:経済産業省「早わかり☆改正割賦販売法

PCI DSSへの準拠、あるいはクレジットカード情報の非保持を目指す

上記の法改正によってクレジットカードのセキュリティ対策に対する考え方が大きく変わったことで、2018 年 3 月末までに、特にカード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として情報の非保持化を求めています。

これはつまり、ECサイトを運営し、かつクレジットカード決済に対応している加盟店は、2018年3月末までにクレジットカード情報の非保持に対応してください、という義務です。情報を保持する場合は、PCI DSSに準拠しなければなりませんn。

ちなみにPCI DSSとは、国際クレジットカード企業5社(アメリカン・エクスプレス、ディスカバー、JCB、マスターカード、VISA)によって共同で作成されたセキュリティ対策基準であり、現在ではクレジットカードのセキュリティ対策基準として国際標準となっています。

PCI DSSへの準拠は非常に何度が高いため、おそらく多くの加盟店が情報の非保持を選択し、対応することでしょう。しかし最近では、自社のセキュリティ対策を体系立てて証明するために、PCI DSSへ準拠しようという意欲を見せる企業が増えています。

政府は2020年3月までに、クレジットカード全加盟店が、情報の非保持かPCI DSSへの準拠を目指しています。

カード情報非保持化のための取り組みとは?

多くの加盟店がPCI DSSの準拠ではなく、カード情報の非保持化へ取り組むということを前提に、具体的な取り組みについて紹介していきます。

そもそも「カード情報の非保持」とは、加盟店のサーバ内に顧客のクレジットカード情報が保存されていないことに加えて、同サーバ上で情報が処理・通過されない状態を指します。目的はもちろん、カード情報の漏えいによる不正使用を防ぐためです。

加盟店のサーバ内にカード情報が保管されていると、サイバー攻撃により簡単に情報漏えいが起きてしまいます。クレジットカード会社のように、堅牢なセキュリティ体制を敷いている加盟店の方が圧倒的に少ないので、サイバー攻撃者からすれば「格好の的」というわけです。

このため、加盟店のサーバ上にカード情報を「そもそも保管しない」という取り組みが注目され、義務化されました。

そこで、「JavaScriptを使用した非通過型」と「リダイレクト型」という2つの取り組みが想定できます。

JavaScriptを使用した非通過型とは

ECサイトにおいて商品が購入される際、入力されたカード情報を「トークン」と呼ばれる乱円数字の文字列に変換され、決済を行います。メリットはシステム追加という形で、低コストでカード情報非保持に対応できることです。

しかし、ECサイトリニューアル時には、システム開発に手間とコストがかかる可能性があります。

リダイレクト型とは

クレジットカード決済を、ECサイトのサーバとは別の決済代行事業者のサーバ上で行うタイプのものです。決済画面のテンプレートがあり、そのまま利用できるので導入が非常に簡単というメリットがあります。

ただし、購入画面が自社ECサイトのものではなくなるので、ユーザーが不審に思うというデメリットもあります。

ECサイトのカード情報非保持化においては、上記いずれかの対応を取ることが多いでしょう。どちらにも一長一短あるので、現状の環境を整理し、自社に最適な選択を行うことが大切です。

WAFでクレジットカードのセキュリティ対策をさらに強化

WAF(ウェブ・アプリケーション・ファイアウォール)とは、ECサイトを構築するために必要なWebアプリケーションの脆弱性(セキュリティ上の弱点)をカバーするためのセキュリティ製品です。

カード情報を保持する場合はPCI DSSに準拠する必要があることは、前述のとおりです。そのPCI DSSでは、WAFの導入によるWebアプリケーション脆弱性の保護が、要件として含まれています。

従って、クレジットカードのセキュリティ対策において、WAFは非常に重要な機能を持っているということです。

WAFを導入することで、SQLインジェクションやクロスサイトスクリプティングといった、重大な脆弱性があったとしてもECサイトを保護することができます。ユーザーとサーバ間で行われるHTTP通信の中身を監視するので、正常通信か不正通信かを、瞬時に判断し、必要に応じて通信を遮断します。

これにより、クレジットカード情報を堅牢に保護することが可能になります。

まとめ

クレジットカード決済に対応していない店舗やECサイトは、ほとんど皆無です。このため、すべての企業にとって、クレジットカードのセキュリティ対策は重要だと言えます。皆さんの企業では、現在どのようなセキュリティ対策を取っているでしょうか?これを機に、クレジットカードのセキュリティ対策について、再考してみてください。

情報漏えい対策簡易マニュアル

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「最新動向」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド