「秘密の質問」はもう“秘密”じゃない? Facebookでカード情報保護に異変:カード情報を守り抜く“別経路”のセキュリティ対策【前編】
クレジットカード情報を保護するためには、「PCI DSS」が義務付けているセキュリティ対策だけでは不十分だ。本稿では、検討すべき“別経路”のセキュリティ対策を解説する。
最近、米国の大手小売業者でデータ侵害の被害が相次いでいる。例えば、米Target、米Neiman Marcus Group、米Michaels Stores、米J. C. Penneyなどだ。この影響は、被害に遭った小売業者と顧客だけでなく、その顧客が利用しているクレジットカードやデビットカードを発行した銀行や信用金庫にまで及んでいる。
顧客の個人情報や財務情報を保護することは、金融機関の利益にもつながる。銀行固有のネットワーク内で情報を保護するだけでは不十分であることは今や明白であり、彼らはそのことに頭を悩ませている。
関連記事
- Windows XPサポート終了でPOSシステムが大打撃 カード決済不可が急増か
- 実は安全ではない「POSレジ」 サイバー犯罪者が好んで狙う理由は
- 「iPhoneでカード決済」を危険にしない3つのセキュリティ対策
- セール中はセキュリティ対策を後回し 小売業界の危ない慣習とは
“別経路”のセキュリティを実装する際の考慮事項
インターネットに保存されている顧客の個人情報や財務情報は、膨大な量になる。オンライン小売店が保持している顧客の支払いカード情報も同様だ。個人情報がオンラインで過剰に共有されるようになった今、「あなたの通っていた小学校の名前は?」などの「秘密の質問」の答えは「Facebook」などのSNSを見ればすぐに暴かれてしまうので、“秘密”ではなくなっている。
多くの金融機関は、既に通常のシステムとは別経路(アウトオブバンド)のセキュリティ対策を適用して、クレジットカード情報を保護している。例えば、顧客が新しいクレジットカードを有効にするときには電話認証を義務付けている。その過程では、カードに記載されている情報だけでなく、正規のカード所有者にしか分からない幾つかの秘密の質問に答えなければならない。
多くの金融機関が今直面している課題は、登録プロセス完了後の支払いカードや、オンライン店舗と実店舗の小売業者で使用される支払いカードをどう保護するかだ。
以下に、アウトオブバンドのセキュリティに関する考慮事項を6つ紹介する。クレジットカード業界のデータセキュリティ標準「PCI DSS」の要件を超えて情報やクレジットカードを保護する際に留意されたい。
考慮事項1:オンライン小売業者の脆弱性
PCI DSSのような業界標準は、クレジットカード取引のセキュリティを最適化し、クレジットカード所有者のデータを保護するために策定されている。だが顧客のクレジットカード情報を保持する可能性がある全てのオンライン小売業者のセキュリティを金融機関が確保することは、絶対に不可能だ。
Targetのデータ流出事件の発端は、空調機器メーカーだったという事実にも留意しなければならない。脆弱性が存在する範囲は、小売業者固有のネットワークを大きく上回る。実際の販売をする主要な小売業者だけにリスクが存在するわけではない。
米通貨監督庁のトーマス・カリー長官は、2014年4月16日に米ワシントンで開催されたサミットで、取引先のリスクに適切な注意を払うことの重要性を強調した。また、どの銀行もベンダー管理プログラムによって、常に全ベンダーのリスクアセスメントをしなくてはならないと述べた。
支払い情報やシステムへのアクセス権限を持つ社内外の個人/団体は、個人情報にアクセスできる。アクセス権限を持つ個人と団体を全て監査することは、どの組織にとっても重要だ。彼らは正当な理由でアクセス権を所持している場合が多いが、そうでないケースもある。臆することなく、可能な限りアクセス権を無効にするか制限することをお勧めする。
正常なビジネス機能を満たす以上の範囲または特権のアクセスが設定されている場合もある。全ユーザーとシステムに強力な多要素認証を確実に実装することが肝要だ。その上で、こうしたアクセスを継続的に監査した方がよい。理想的には、少なくとも四半期ごとに監査するのがよいだろう。
考慮事項2:クレジットカード情報保護の単一障害点
情報のプライバシーを確保してハッカーによる攻撃を阻止したりするために、オンライン小売業者が単一のシステムや制御に依存しているとしよう。例えば、忘れたパスワードのリセットはオンラインで実行するなどだ。これは情報保護の単一障害点となる。
同じ都市にプライマリデータセンターとバックアップデータセンターを配置している企業についても、同じことがいえる。大雪や地震などの単一の災害によって両方のデータセンターが影響を受けるリスクがあるからだ。
単一障害点のリスク軽減は不可欠である。バックアップ用のデータセンターを選択する際には、その場所が肝心になる。2つのデータセンターを国内の異なる地域に配置するのは珍しいことではない。こうすることにより、2つの設備が単一の災害から同じ影響を受ける可能性が低くなる。
アウトオブバンドでの確認を要さず、オンラインでパスワードをリセットできるようにする場合、Webサイトが単一障害点になる。セキュリティをもう一段階高めるには、携帯電話かメールアカウントにコードや確認を送信するとよいだろう。
銀行のキャッシュカードも同様だ。カードと4桁の暗証番号があれば、ほとんどのATMでは顧客の口座にアクセスできるので、単一障害点になる。何か特別なことをする際にはアウトオブバンドでの承認を必須にすれば、顧客と金融機関の両方を保護できる。
後編では、SNSの影響やATM(現金自動預け払い機)など、残る4種の考慮事項を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.