Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サイバー攻撃はロシアンルーレット?

改正割賦販売法の施行が6月1日に迫る中、3月末の実行計画の期限に向けて多くのカード会社、EC加盟店がクレジットカード情報非保持またはPCIDSS準拠に向けて取り組んでいます。

itpro.nikkeibp.co.jp

 

この(非保持or準拠状況)答え合わせは、3月末のガイドライン期限に向けて日本クレジット協会JCA)が取りまとめる準拠状況情報を待つしかありませんが、私の感覚では「各社の温度感が違う」ので取り組みが進んでいる企業とそうでない所が分かれている(遅れている企業も多々ありそう)、そして全体を俯瞰するならば「遅れ気味であるという結果が出る気がします。

その理由として考えられるのは、カード情報非保持はステークホルダーによって様々すぎるシステムがあるが故に、非保持相当判断が混乱していたことが一因として挙げられるかと思います。業界全体の方向性を誘導するために必要だったのだと思いますが、PCI DSS準拠の考え方とは本来は違う、非保持という日本独自のガイドラインPCI DSS準拠相当としてしまった事の影響は大きいといえます。。PCI DSSは2004年にリリースされて以来、それなりに事件や実情に合わせて改訂されてきた歴史がありますが、それと同等のセキュリティと整理するガイドラインは、やはり出してみて、「様々な業態のステークホルダー」の厳しい洗礼を浴びたのかも知れません。

もう1つ大きな理由は、法的な裏づけ部分が6月1日の改正割賦販売法施行である事、そしてそれを違反していたとしても直接的な罰則は無いという部分を勘案して、遅れ目で対応している企業が多い事もあるかも知れません。投資判断を遅らせたい個社の事情もあるかも知れませんし、ガイドライン(やるべき事)を正しく見極め、最小限の負荷で済ませたい企業の慎重姿勢もあるのかも知れません。

しかし元々のPCI DSSであったり、実行計画(ガイドライン)制定の概念部分を見落とすと、企業は痛い目に遭うかも知れません。「サイバー攻撃」等々の影響によりここ何年も「クレジット取引の不正被害が増加している」という現実があるからです。中でもセキュリティ対策が不十分な事からカード情報漏えい被害は、無視できない状況になってきており、2017年のクレジット取引の不正被害は過去最悪になる可能性が高いといわれています。

語弊を恐れずに言えば、企業の置かれている状況は「今まで不正被害が出てないから大丈夫だろう」ではなく、「ロシアンルーレットを回している最中」であり、いつ自社が被害を受けるか分からないのです。そうした環境の中で、非保持やPCI DSS対策に消極的である企業は、日本のムラ社会の中では正しいのかも知れませんが、海外ハッカーからすれば、そんな事情とは関係なく攻撃をする訳であり、事件が発生した際に大きな被害を受ける可能性は高いかも知れないという事を理解しておくべきかと思います。

 

 借金で悩む男性のイラスト(カード)

 

更新履歴

  • 2018年2月3日 PM(予約投稿)