オンラインショッピングやオンラインバンキングで利用されるクレジットカード情報。その保護に役立つのが“別経路”のセキュリティ対策だ。前編に続き、その考慮事項を示す。
前編「『秘密の質問』はもう“秘密”じゃない? Facebookでカード情報保護に異変」では、クレジットカード情報の保護方法として、通常のシステムとは別経路(アウトオブバンド)のセキュリティ対策を適用することの重要性を指摘。アウトオブバンドのセキュリティに関する6つの考慮事項のうち2つを説明した。後編では、残り4つの考慮事項を紹介する。
ほとんどのオンライン小売業者、特にクレジットカードやデビットカード情報を収集する業者は、ある程度のセキュリティ意識を持っている。だがセキュリティが主な懸念事項ではないSNS事業者に、そこまでの意識があるかどうかは疑問だ。
とはいうものの、非常に多くのオンライン小売業者が、米Facebook、米Twitter、米Instagram、米Gmailのアカウントを使って自社のWebサイトやアプリにログインできるようにしている。つまり、攻撃者はオンライン小売業者をハッキングしてアカウントを盗む必要はなく、SNSのセキュリティを回避すれば事が足りる。
アクセス制御についていうと、SNS事業者を含むサードパーティーの資格情報を受け入れると、そのサードパーティーのセキュリティ制御がデフォルトになる。そのため、サードパーティーのセキュリティ制御を完全に理解して信頼することが不可欠だ。企業はこのことを認識しなくてはならない。
同じユーザー名とパスワードの組み合わせを複数のSNSで使い回す顧客も多い。オンラインバンキングやオンラインショッピングサイトでは、そのような行為を回避するよう呼びかける必要がある。
オンライン小売業者は、自前のネットワークアクセス制御を利用するのが賢明だ。顧客がサードパーティーの資格情報を使用してWebサイトへアクセスできるようにしている場合、セキュリティを外注しているとはいえ、セキュリティの責任を自社で負っていることに変わりはない。Webサイトがハッキングされた場合、その被害には自社で対処する必要がある。SNSのログイン資格情報を責めたところで何にもならない。
保護するのは、オンライン小売業者のセキュリティではなく、クレジットカードやデビットカード所有者のセキュリティであることを忘れないようにすべきだ。
オンライン小売業者のWebサイトに顧客がクレジットカードを登録する際、アウトオブバンドの承認を必須にすると、どのようなセキュリティ上のメリットが得られるのだろうか。例えば、顧客が初めてクレジットカードを使用するとき、登録されているメールアドレスか携帯電話へ通知するWebサイトも存在する。大手サイトでは、新しい住所や未承認の住所に製品を送付する場合にも、アウトオブバンドの承認を必要にしている場合もある。
これらの制御はカード自体と結び付いており、オンライン小売業者は関わらない。この通知は、米国西海岸在住の顧客が、東海岸でクレジットカードを使用して買い物しようとした場合に送信される通知と似ている。
オンライン店舗と実店舗の小売業者の元でクレジットカードやデビットカードの口座情報を保護するだけが、アウトオブバンドのセキュリティ制御ではない。ほとんどの場合、銀行の顧客が使用する現金自動預け払い機(ATM)の数は限られている。通常は自宅や職場に近いものが利用され、いつも大体同じ額が引き出される。
そこで「Know your customer」(顧客確認)の概念を使用する。つまり、通常と異なる事象が発生した場合には、事前に登録されたメールアカウントか携帯電話に通知を送信するようにした方がよい。いつもの場所と異なるATMから預金が引き出された場合、いつもと違う額が要求された場合、異常な頻度で引き出されている場合がこれに該当する。正当なカード所有者は、この取引が適切かどうかを認めるだけでよい。
ハッキングを完全に防ぐ方法はないと考えると、このアウトオブバンドのセキュリティ対策は、攻撃者に別のハードルを課す一助となるだろう。
携帯電話に通知を送信すると、メールと比べてすぐに確認できるだけでなく、安全性も高くなる。無料のインターネットメールへの通知はお勧めできない。ユーザー名とパスワードがあれば、世界のどこにいてもハッカーがオンラインのメールアカウントにアクセスできるからだ。一方、携帯電話に送信されるメッセージが傍受しにくいのは全世界共通である。
データの流出事件は相次いでいる。顧客が利用するかもしれないオンライン店舗や実店舗の小売業者のセキュリティを金融機関が確保するのは難しい。だが資産自体と関連付ければ、セキュリティ対策はどのような場所でも効果を発揮する。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
