Vistaやガラケーで買い物できない？ カードセキュリティ新基準が波紋

　古いWebブラウザーやフィーチャーフォン（ガラケー）を使っている顧客は、ECサイトでクレジットカード番号を入力できなくなる――。

　2016年7月に本格適用されるクレジットカード情報保護のセキュリティ国際基準「PCI DSS（Payment Card Industry Data Security Standard） v3.1」をめぐり、ECサイト事業者から反発の声が高まっている。一部の顧客がECサイトでクレジットカード番号を入力できなくなり、サイトの売り上げを押し下げる可能性があるためだ。

　基準策定団体のPCI SSC（Payment Card Industry Security Standards Council）も、反発の声が想定外に多いことから、本誌の取材に対して「v 3.1がもたらす影響の実態調査に乗り出す」（PCI SSC インターナショナルディレクターのジェレミー・キング氏）考えを示した。

既存ECサイトでは2016年7月からSSL 3.0/TLS 1.0が使用禁止

　PCI DSS v3.1では、Webブラウザーの通信暗号化技術（HTTPS）のうち、これまで推奨されていたSSL（Secure Sockets Layer） 3.0/TLS（Transport Layer Security） 1.0について、暗号仕様に脆弱性が確認されたとして、既存のECサイトでは2016年7月から使えなくなる（図）。これに代わり、より安全なTLS 1.1（一部実装除く）/TLS 1.2の利用が必須となる。

図●PCI DSS v3.1への移行タイムライン

（NTTデータの資料を基に本誌作成）

[画像のクリックで拡大表示]

　この措置の影響は、全世界のECサイト事業者にとって無視できないものだ。Windows Vista搭載のInternet Explorer（IE）はTLS 1.1/1.2に対応しておらず、SSL 3.0/TLS 1.0の対応を取りやめた決済サイトには接続できない。Windows 7以降でもWebブラウザーのバージョンによっては非対応か、既定で無効になっている。「（既に多くのWebブラウザーが使用を取りやめている）SSL 3.0はともかく、TLS 1.0の禁止は厳しい。Webサーバーやネットワーク機器の更新による出費も迫られそうだ」（NRIセキュアテクノロジーズ テクニカルコンサルティング部 グループマネージャーの矢野淳氏）。

　さらに国内では、顧客が持つガラケーの多くは、TLS 1.1/1.2に非対応だ。国内ECサイト事業者の一部は「ガラケー向けECサイトを取りやめる、ガラケーでの決済手段からクレジット決済を外す、などの対策を計画している」（NTTデータ先端技術 セキュリティ事業部 セキュリティコンサルティング担当 ITセキュリティグループ チーフコンサルタントの池谷陽氏）という。