Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ガラケーの終焉

日経にフューチャーフォン(PCIDSSの影響)の記事が書いてましたので、取り上げてみます。

tech.nikkeibp.co.jp

 改正法の実務上の指針である「実行計画」(クレジット取引セキュリティ対策協議会が策定)では、カード会社に加え、カード加盟店に代わって決済事務を代行する決済代行事業者(PSP:Payment Service Provider)も、カード業界のセキュリティ国際基準「PCI DSS(Payment Card Industry Data Security Standard)」に準拠しなければならないと定めている。

 このPCI DSSの最新版では、決済のためにカード会員情報を送受する際には安全性が高いプロトコルとしてTLS(Transport Layer Security)1.2以降を使うことを義務付け、移行期限を2018年6月30日に区切っている。

 (日経記事から引用)

 

◆キタきつねの所感

まさに記事の通りです。改正割賦販売法の施行が6月1日、その月末にはTLS1.2未満(※TLS1.1も安全であれば使えますが実装が難しい可能性があるので1.2以上と考えた方が良いみたいです)はPCI DSS準拠条件から外れます。日本だと影響が大きいのがフューチャーフォンと言われる、いわゆるガラケーです。ほとんどスマホ的な機種を別にして、ほとんどのガラケー機種がTLS1.2以上を技術的にサポートしてないので、今まで決済で使えていたのが、TLS問題でガラケーでの決済には使えなくなる事となります。

お客様の体験に大きな影響を与えるのではないか・・・といった心配事をコンサルのお客様からも聞くことがあるのですが、お話しを良く聞くと、ガラケーでの決済利用率を考えると、(私の聞いた方々は)サービスを切ってしまってもほとんど影響が無い(ほとんど利用されてない)と言う方が多いです。

 

一応(怖いので)総務省の情報通信白書H29年を見てみましたが、

f:id:foxcafelate:20180519154349j:plain

普及率ベースで5%切っていますし、電話機能としてガラケーを使う法人用途では決済まではやってないケースが多いと思いますし、そもそも1人で複数台持ち・・というケースも多いと思いますので、サービス提供者が思う程に、ビジネスに影響を与える、またはエンドユーザが影響を受ける(TLS問題でサービスを打ち切ったと怒る)ケースはそんなに多くは無いのではないでしょうか?

PCI DSSでは、v3.1が出た時に業界全体のクレームを受けて2年対応期限を延長した経緯があり、PCI SSCは再延長してこないと思われます。また仕方無い理由がある場合には、妥当な猶予期間は与えると思いますが、やりたくないから先延ばししたい・・という話は恐らく通じないのかと思います。

この辺りは、5/23-24に東京でPCI SSC主催のコミュニティミーティングが開催されるので、情報がありましたらシェアしたいと思います。

 

安全なカード社会の実現をめざして日本カード情報セキュリティ協議会

PCI SSC Asia Pacific Community Meeting - Tokyo 2018 - Confirm Identity | Online Registration by Cvent

 

 

foxsecurity.hatenablog.com

 

 

 

※出張から帰ってきて・・・えらく記事作成に追われています。ストックしていた記事が全部なくなってしまったので仕方が無いのですが、調べて・考えて・(それっぽい)文章を書くというのは面白いものではありますが、労力も大きいなと改めて感じております。

携帯電話のイラスト(ガラパゴス携帯)

 

更新履歴

  • 2018年5月12日PM(予約投稿)