5. 対面加盟店でのクレジットカード不正利用対策
取締役執行役員 CISO
セキュリティ事業部長 山岡 正輝
博士(工学)
2020年オリンピック・パラリンピック東京大会にむけて、日本政府はキャッシュレス化の推進を重要な政策課題と位置付けている。2016年12月には、改正割賦販売法が成立し、クレジットカード会社だけではなく加盟店にもカード情報の保護が義務化された。国内のクレジットカード業界で、いま、何が起こっているのか、その一端を現場からレポートする。
POS端末でのクレジットカード情報の取り扱い
前回までのレポートでふれたように、店員とクレジットカード保有者が対面して決済が行われる対面加盟店で、POSシステムを介してカード情報を取り扱う内回り方式(図1参照)を採用している場合、PCI P2PE(Point-to-Point Encryption)と呼ばれるカード情報を暗号化する技術を備えたソリューションを導入することで、「非保持化と同等/相当のセキュリティ措置」を実行したものとみなされ、クレジットカードセキュリティに関する加盟店の負担が軽減される。
P2PEでは、加盟店に設置されているカードからデータを読み取る装置(POI(Point of Interaction)デバイス)で読み取ったカード情報を直ちに暗号化し、決済GW等の安全な復号環境へ送達するまでカード情報を復号化しない。暗号でデータを保護する方式がP2PEの技術的なポイントとなる。
POIデバイスには、POIデバイス内のファームウェアに埋め込まれたデータを暗号化するためのSRED(Secure Reading and Exchange of Data)機能が内蔵されており、クレジットカード情報を読み取った時点で直ちに暗号化することが可能となっている。
また、暗号化されたカード情報は、内回り方式で加盟店の店舗内POS端末やPOSサーバを通過する際にも暗号化されており、加盟店の従業員でさえもカード情報を復号して読み取ることはできない仕組みになっている。
POS端末に感染するマルウェア対策
これまでに、海外のみならず国内においても、POS端末に感染するマルウェアが確認されている。
アンチウイルスソフトの利用など対策は進んでいるが、POIデバイスから読み取られたカード情報がPOS端末内を平文の状態で通過あるいは処理されると、メモリスクレイピングと呼ばれるPOS端末内のメモリ上から情報を盗み取る攻撃に対して脆弱となってしまう。
前述したように、P2PEでは、POS端末はカードリーダー等のPOIデバイスで暗号化されたデータを扱う仕組みとなっているため、これらの脆弱性が低減される。そのため、P2PEは、POS端末に感染するマルウェアに対する有効な対策といわれている。
PCI P2PEセキュリティ基準
VISA等の国際ブランド5社が設立したPCI SSC協議会(Payment Card Industry Security Standards Council)は、P2PEに関するセキュリティ基準(Point-to-Point Encryption Requirements and Testing Procedures)を定めている。
基準は、表1に示す6個のドメインから構成されており、例えば、ドメイン1の「暗号化デバイスとアプリケーション管理」では、PCI認定のSRED対応POIデバイスを使用することが、要件の一つとして定められている。また、そのテスト手順についても定められている。
PCI P2PEで利用されている基本的な技術は、エンドエンドで情報を暗号化して送信する仕組みであり、暗号鍵の管理方法が一番のポイントとなる。そのため、P2PEに関するセキュリティ基準は、運用管理に関する要件が多いのが特徴となっている。特に、暗号鍵の管理に関する検証要件が多く、POIデバイスへの暗号鍵の埋め込みや暗号鍵をリモートでPOIデバイスに配信する際に適用される要件なども定められている。
PCI DSSにおけるNTTデータ先端技術の強み
P2PEソリューションプロバイダー等に対するインタビューやドキュメント調査、システム設定調査等の審査を正式に行うことができる機関を、PCI SSC協議会が認定する制度がある。
表1に示した6つのドメインのうち、特にドメイン2「アプリケーションのセキュリティ」の評価を行うには「PA-QSA (P2PE)」の資格が必要となる。NTTデータ先端技術は、2017年3月、この資格を有する国内初の審査機関となった。さらに、NTTデータ先端技術は、P2PEアプリケーションを開発するベンダーに対する審査を行う「QSA (P2PE)」の資格も有しており、審査機関としても登録されている。
NTTデータ先端技術は、セキュリティコンサルティングや診断、監視、インシデントレスポンス、ソリューション提供等を行う「セキュリティ専門事業組織」をもっている。また、PCI DSSに関しては、「認定審査機関」という顔をもっており、実績も豊富である。PCI DSSのフレームワーク検討段階から監査に関する事業をスタートさせ、「コンサルティング、ソリューション提供、認定審査、維持支援」まで、PCI DSSに関するすべてのプロセスをサポートする体制を整え、多くのお客様にご満足いただいている(図2参照)。
<PCI DSSのことなら下記へ>
sec-info@intellilink.co.jp