情報セキュリティの10大潮流 [7] 安全安心な電子社会の構築 第2の潮流「安全な商取引の展開」【後編】
本連載では、情報セキュリティの進化の中、10大潮流を取り上げています。各潮流は「セキュリティ管理の確立」と「安全安心な電子 社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考
特集
特集
─
3.電子商取引と決済
(1)決済手段
インターネットによる電子商取引が進む中で、深刻なユーザの問題として最も懸念されている一つが、電子的決済の安全性問題です。
インターネットショッピングの際の決済方法としてユーザに最も人気が高いのは、クレジットカードによる支払いと言われ、次いで、後払いの銀行・郵便振込の人気が高いようです。一方ショップ側で現在導入している決済方法は代金引換が最も多く、次いでクレジットカードによる決済手段が続くようですが利便性から今後はクレジット支払いの利用が進むと思われます。
(2)クレジットカードの不正
わが国のクレジットカード不正使用被害額は、社団法人日本クレジット産業協会によると、2006年(平成18年)で約105億円と、対前年比でも45億円減少し、平成12年の309億円をピークとして大幅な減少傾向を示しています。 これは、リアル取引における不正使用について、2001年(平成13年)の刑法改正による偽造カード犯に対する取り締まり強化、カード会社が導入する不正検知システムによる防止対策が功奏しているものと考えられます。
しかし、インターネット上でカード情報等を詐取するフィッシング等の新たな形態の犯罪も発生し、「なりすまし」による不正使用被害が増加しています。
カード情報の詐取は、カード会員本人より入手するフィッシングやスパイウェア等インターネットを利用するもの、紛失盗難カードを利用するものなどがあり、また、加盟店(カード支払いできる店)やカード会社、情報処理委託会社等のカード取引関係事業者に対するハッキングや、Winny、スパイウェア等インターネットを悪用した入手、加盟店からの売上伝票の盗難や関係事業者の社員による漏えい等さまざまな原因があります。
(3)Webセキュリティ(クレジットカード)
NRIの調査では、クレジットカードを扱うWebサイトでは特段のセキュア性がもとめられるにも関わらず、他Webサイトと同様の割合で不正アクセスや情報漏えいの危険があるとしています。クレジットカード情報を扱うWebサイトは、その情報の重要性から、その他のWebサイトよりも高いセキュリティレベルが要求されるため、今後は向上していくことが強く求められるとしています
Webサイトのセキュリティ診断:傾向分析レポート2009(NRIセキュア)
http://www.nri-secure.co.jp/news/2009/0727_report.html
4.クレジットカードセキュリティ基準(PCI DSS)
(1)セキュリティ基準(PCI DSS)の制定
前述したようにクレジットカードの不正使用や偽造、フィッシングをはじめとしたID詐取等クレジットカードに対する脅威が増加しています。米国でも4,000万人分ものクレジットカード情報が漏えいするという嘗てない大規模な個人情報漏えい事件が発生しています。
こうした状況を背景に2004年に、業界で統一されたセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)が策定され、関連する全事業体を対象としたセキュリティ基準として現在注目されているところです。
PCI DSSは業界の統一基準を国際カード会社5社(American Express、Discover、JCB、MasterCard、VISA)が2004年12月に共同で策定し、現在世界的に広がり始めています。
(2)セキュリティ基準の内容
PCI DSSはクレジットカード情報保護に関する国際基準で、ネットワークの設定やパスワードの管理、ウイルス感染の防止、データ暗号化等、以下に示すチェック項目を挙げ、カード加盟店や決済代行事業者等が遵守すべき最低限の基準を定めています。
・安全なネットワークの構築・維持
・カード会員情報の保護
・脆弱性を管理するプログラムの整備
・強固なアクセス制御手法の導入
・定期的なネットワークの監視およびテスト
・情報セキュリティ・ポリシーの整備
クレジットカードのセキュリティ基準PCI DSS(NTTデータ・セキュリティ)
http://www.nttdata-sec.co.jp/article/security/061101.html
5.ソーシャルガバナンス
電子商取引はユーザが直接接する店舗や配送等の関連サイト、また決済システムなど複数の事業者によって実現しています。そのいずれにおいてもアイデンティティ情報などの個人情報を安全に扱うことが必要で、事業者に対して情報漏えいの防止、不正アクセスの回避、コンプライアンス遵守に関連する内部統制が構築されたガバナンスが求められます。これを筆者はソーシャルガバナンスと呼んでおります。
コーポレートガバナンス、内部統制、ITガバナンス、セキュリティガバナンスは、いずれも単独企業や関連企業グループ内に閉じて求められるガバナンスです。ソーシャルガバナンスは、社会的基盤となっているサービスについて、その社会的責任を果たすために、関連する企業群、行政等全ての関連事業体に統括的に求められるガバナンスとして筆者が新たに呼んだものです。
もちろんサービスは、複数の関連企業によって提供されますので、各企業においては個々のガバナンスが構築され有効に運用されていることが、ソーシャルガバナンス確立の前提となります。
クレジットカードのセキュリティ基準(PCI DSS)については、クレジット業界のソーシャルガバナンスの一環としてとらえることができます。また電子取引の拡大に従って今後ますます有効なソーシャルガバナンスの構築とその運営を図る必要があるでしょう。
(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)
情報セキュリティの10大潮流
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》