Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSSをやらないなら、リスクは許容されなければならない

ZDネットさんに、PCI DSSの記事が出てました。専門分野でもあるので少しコメントしてみます。

japan.zdnet.com

記事内容として、クレジットカード業界の置かれている状況がよくまとまっています。また日本では2008年から普及への取り組みが始まったという辺りも、その通りかなと思います。

こうした経緯により、2016年2月には経済産業省が主導する「クレジット取引セキュリティ対策協議会」から国内クレジットカード業界におけるPCI DSSへの準拠を2020年までに進める実行計画が発表された。

少し端折られたのは、実行計画なるものは実際は2012年に1回目が出ている辺りでしょうか。

www.paymentworld.jp

Paymentnaviさんの記事を見ると分かりますが、2012年に出されている実行計画は、大手カード会社と大手のサービスプロバイダー程度にしか普及しなかった背景があります。JCAガイドラインが出た時点では、来年6月頃に施行される改正割賦販売法ほどには強制力がある書き方がされてませんし、経産省JCAも関係者に積極的に説明を行ってなかった部分もあり、つまり最初の実行計画はうまくいかなかったと言えます。

その経験を受けて2016年の実行計画が出てきました。特に2020年の東京五輪に向けてのキャッシュレス社会の促進や改正割賦販売法の施行という追い風もありましたので、クレジットカード業界のプレイヤーが真剣に取り組み始めた、という所があろうかと思います。

とはいえ、実行計画では元々のPCI DSSの概念に無い、”カード情報非保持化”という例外(免責)事項もある事から、楽な方、楽な方と考える企業が、実際にはカード情報を社内に保有しているのに(本当はPCI DSS準拠を目指すべきなのに)安直に非保持を狙う事を考えているところも残念ながらある様です。

攻撃側は、その狙った個社がカード情報非保持だろうがPCI DSS準拠だろうが関係なく攻撃する訳であり、そこに価値のある情報があれば、ECサイトでの不正購入に使ったり、ブラックマーケットに流すことになります。そうした正しいリスク判断の元で、カード情報非保持を目指されたり、PCI DSS準拠を目指されたり、あるいは諸々のリスクを考慮して『何もやらない』、といった選択肢を取る事が求められています。その観点において、安直な判断を下している企業が将来事故を起こすリスクは依然高いままであることには気をつける必要があります。

ですが、PCI DSS準拠しているからといって、カード情報が安全である、サイバー攻撃を受けてもカード情報やクレジットカード情報は流出しない、という事はまったくありません。(銀の弾ではありません)GMO-PGが今年3月にApache Struts2脆弱性を突かれて(実質上の0ディ攻撃)カード情報を流出させてしまった様に、PCI DSS準拠は最低限やらなければならない事がまとまったガイドラインでしかないのです。

不正アクセスに関するご報告と情報流出のお詫び GMOペイメントゲートウェイ

 

ZDネットさんが書かれていたPCI DSS--日本で“市民権”を得られるかについて私見を述べるなら、自社のリスク分析を真面目にやれば、PCI DSS準拠(あるいはそれ以上の対策)を本当に取り組まなければならない企業が増えますし、PCI DSSに取り組まなくても良いと正しいリスク許容をされる所も増えますので、重大なカード情報流出事故が減り、市民権を得られる(=普及する)のではないかと思います。

リスク分析を(真面目に)行わず、「実はセキュリティ対策をしっかりしてませんでした、ごめんなさい」という事件が今後も多く出てくるようであれば、経産省やカードブランド、カード会社(アクワイヤラー)も、もう1段階厳しく、セキュリティ対策強化(PCI DSS準拠)を求めてくるのかと思います。結果として、強制的に市民権を得ることにはなるかも知れませんが、やはりその前に、業界の自主努力で市民権を得てほしいものです。

 スキミングのイラスト