【1】クレジットカードセキュリティの現状
クレジットカード決済は拡大し定着してきていますが、クレジットカード業界については異業種による新規参入や業界再編性・機能分化が進み、また複数の関連事業者が介在し、役割と責任関係が必ずしも明確となっていない面がでてきています。こうしたことからクレジットカード取引に関わるトラブルや個人情報を含むカード情報が漏洩するといった事態が発生しやすい状況にあり、「産業構造審議会割賦販売分科会基本問題小委員会(経産省)」でもクレジットカード取引の規制対象範囲、与信事業における取引の適正管理、個品割賦購入あっせん取引、クレジットカード取引と情報漏洩問題について検討を進めているところです。こうした中、先回も紹介しましたクレジットカード業界のセキュリティ基準とその基準に従った監査が益々重要な位置を占めるものと思われます。
1.不正の状況
社団法人日本クレジット産業協会の調査よると、日本では毎年400億円を超える不正被害が出ていましたが、法制度や業界での対応が功を奏し平成16年からは減少傾向にあるものの、依然として数百億円の不正が続いているとみられます。社会問題化したキャシュカードの偽造被害は平成16年度が約9.6億円(*1)であることと比較すると、その被害額の大きさがわかります。
不正の内容は、カードの不正使用が2/3を占めており、偽造カードは1/3程度であります(前回コラム参照)。米国の調査によるとオフライン系では、クレジットカードの紛失・盗難と取引履歴の詐取等による不正使用が40%を超えており、オンライン系ではスパイウエア、ハッキング、フィッシングによるクレジット情報の詐取による不正が多くなっています。
米国の対フィッシング団体APWG(Anti-Phishing Working Group)によるとフィッシングによるID詐欺は依然増え続け、偽サイトも増えているようですが、一昨年カリフォルニア州において、フィッシング行為は民法違反となるというアンチフィッシング法案が成立しました。同法においては、被害者は詐欺まがいの電子メールを送りつけ、個人情報を盗み取ろうとした者を起訴できるとしており、ID詐取に対応した法整備も進みつつあります。
*1:「金融庁 偽造キャシュカード問題に関する実態調査結果 平成17年10月」より
2.主要な不正対策
[ 偽造カード対策 ]
磁気カードからICカード化の導入が進んでいます。EMV仕様として知られEuropay、Mastercard、VISAインターナショナルの3社が取り決めた金融決済用接触ICカードのデファクト・スタンダードで、現在ヨーロッパとアジアを中心とした約30ヵ国において、EMV仕様のICカードが約2.5億枚発行されています。これに対応する店舗用端末およびATMは約200万台にのぼっているようです。ICカードの持つ高いセキュリティと処理能力で、世界的に偽造カード被害の減少やカードの多機能化に大きく寄与するなど、世界各地で市場に定着しつつあると言えそうです。
[ 非対面型のインターネット決済 ]
発行者による取引ごとの認証や、加盟店サイトでクレジットカード支払いに係る情報の隠蔽等により不正使用の防止を図る3Dセキュア技術(VISA,Masterにより開発)をベースとしたインターネットを介したクレジット決済が推進されており、徐々に市場への導入が広がっているようです。
- 不正を見分けるための購買行動のプロファイルを蓄積し、普段と異なる購買行動をとると警告を発する機能が使われています。例えば、日本で数万円までの買い物を定期的にしていて、行ったことのないアフリカで10万円を越す取引が発生した場合警告を表示するといったものです。
- カード番号に続く3~4桁の数字がカードに印刷されていますが、セキュリティコード(CCVコード)と呼んでおり、オンライン処理時にカード不正使用を防ぐために補足的なセキュリティ対策として提供されています。カード使用時にカード伝票等に表示されませんので、基本的には真正なカード保有者しか認識できない番号ですので、不正使用の防止が可能になります。
米国セキュリティ専門会社PSC(Payment and Security Experts)を訪問し、PCIDSS(クレジットカード業界のセキュリティ基準)に関する現状と課題について聞いてきましたので、その概要を紹介します。
1.監査を通じて見た問題
PSCでは比較的大手の企業を対象とした決済システムの監査が多いようですが、監査経験を通じて憂慮される点について指摘しており、重要な示唆を含んでいますので、ポイントのみを挙げておきます。
[ サービスプロバイダにおいて ]
設計やアプリケーションアーキテクチャにおいて、セキュリティが一般に貧弱で、リスク分析、脆弱性分析が欠如している。物理的や人間ファクターのセキュリティは整備されている反面、情報セキュリティについては、システム問題として十分に取り組まれていないのが現状である。
[ 加盟店において ]
インフラストラクチャに対する知識や問題点が十分に調査されていない。またアプリケーションについても十分な理解がされていないし、設計手法も確立されておらず、各ソリューションを手早く結合させたものになっている。システムの効率性は厳しく考慮されている一方、セキュリティについての整備が貧弱であり、憂慮される状況にある。
2.これからのセキュリティ監査について
PSCは決済システムに関わるインフラの設計・装備のサービスを提供している(Visaベストプラクティスの作成やペイメント関連プログラムを認証することも経験)。そのため、決済(支払い)に係るコンセプトやモデル、運用を熟知した上でのセキュリティ監査・対策を可能としていることが一般のセキュリティ監査会社との違い、強みとなっているようです。確かに昨今の脅威の傾向(特定の業種やアプリケーション、企業をねらった攻撃が増大)をみるまでもなく、業種特有の脅威分析や対策が求められていることを考えると、アプリケーションや運用まで広げた監査が要求されていると考えられます。
| ■次回の予告 | ||
| 一昨年大規模なクレジットカード情報漏洩事件が米国で発生しました。この事件の顛末と今後のセキュリティ対策に残した課題について解説する予定です。 |
| 東京大学 国際・産学共同研究センター 客員教授 林 誠一郎 |
【過去コラム一覧へ】 | 【HOMEへ戻る】 |