ここから本文です

クレジット業界のセキュリティ基準「PCI DSS」は安全なのか(後編)

6/8(木) 14:50配信

THE ZERO/ONE

前編でも解説したが、2017年3月にApache Struts2の重大な脆弱性をついた大規模な不正アクセスがあり、東京都税サイト、住宅金融支援機構サイトから、合計約40万件のクレジットカード情報が流出した。両サイトは、いずれも国内最大の決済代行事業者であるGMOペイメントゲートウェイ社(以下GMO-PG)が受託運営しているものだった。

手間も時間もかかるPCI DSS準拠

関係者に衝撃を与えたのは、流出したカード情報の件数の多さもさることながら、いずれのサイトもPCI DSSに完全準拠をしていたということである。PCI DSSの要件は大まかには以下の6つであるが、これらがさらに細かく分かれ、約400項目の技術的かつ具体的な要求事項により構成されている。

・安全なネットワークの構築
・カード会員情報の保護
・脆弱性管理プログラムの整備
・アクセス制御方法の導入
・ネットワークの定期的な検査
・セキュリティポリシーの制定

GMO-PGのようなPSP(ペイメントサービスプロバイダ)といわれている業態では、国際ブランドや行政の指針により外部の認定セキュリティ評価機関(QSA)の年次監査が義務付けられている。

PSP以外にも日本政府は2020年の東京五輪開催を控え、クレジット取引のセキュリティを国際標準に近づけるための施策の一つとして、このPCI DSS準拠を推し進めている。2018年3月までにECサイトなど非対面加盟店が、2020年3月までにはPOS取引など対面加盟店が、カード情報非保持またはPCI DSSに準拠することを要請されている。

カード情報非保持が選択できず、PCI DSS準拠をする場合は、ECサイトやPOS加盟店にとって簡単なことではない。手間も時間もお金もかかる。

「一般に、 PCI DSSに準拠する場合は、どんなに早くても半年、通常は約1年程度の期間を要します」(fjコンサルティング、瀬田陽介CEO)。そこまで手間暇をかけてPCI DSSに準拠をすれば、もうカード情報保護は問題なし、と考えたとしても不思議ではない。ところが、今回、完全準拠のサイトから大規模なカード情報流出事件が起きてしまった。莫大な費用をかけて準拠するPCI DSSそのものに意味がないのではないか? と考えてしまう加盟店が出てきてもおかしくない。

1/3ページ

最終更新:6/8(木) 14:50
THE ZERO/ONE