第2回 あの手この手で守るべきカード情報、その中身とは？

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/10/7

---

　ネットショッピングでよく見掛ける「3Dセキュア」とは？

　さて、PCI DSSとは少し離れてしまいますが、皆さまがインターネットのショッピングサイトで買い物をする際に見掛ける本人認証サービス「3Dセキュア」について、簡単に説明したいと思います。

　3DセキュアのDは、「Domain」のDで、「領域」を表しており、これもまた本人確認の技術の1つです。3Dセキュアとは規格を指しており、その実装は各ブランド、カード会社によって異なります。

• J/Secure……JCB
• Secure Code……MasterCard Worldwide
• VISA認証サービス（Verified by Visa）……VISA International

　これらは実装が異なるだけで、その目的は同じです。買い物をする際に、カード番号と有効期限入力後、ショッピングサイトとは異なるサイトに遷移し、パスワード入力が促されます。最近では日本のECサイトでも実装されているインターネット店舗が増えてきました。

　ページが遷移していることからも分かるとおり、上述のPINやCVV2などと異なり、買い物をする人が入力した暗証番号が店舗に知られることがありません。もちろん、PINやCVV2も通常店舗側で閲覧することはできませんが、悪意のある店舗や、悪意のある人に何かが仕組まれた機械やWebサイトでは閲覧、入手されてしまう可能性がゼロではありません。

　3DセキュアはPCI DSSの枠組みの中で言及されることはありませんが、海外では3Dセキュアがすでに普及したうえでPCI DSSの実施が求められていると考えられますので、どちらかを実施すればよいというわけではありません。PCI DSSとは別のベクトルで、カード会員を不正利用から守るために3Dセキュアは非常に重要な仕組みであるといえるわけです。

　セキュリティの基本は「多層防御」

　さて、PCI DSSでは一切言及されない3Dセキュアを話題に出したことには意味があります。それは、多層防御という考え方です。セキュリティ対策製品やソリューションには、「これさえ導入すれば安心！」といった宣伝文句が使われるのを見掛けます。しかし、実際には何かを守るための万能で単一の技術や仕組みは存在しません。1つの情報を守る、と考えるには、まずはその情報を「狙う」側の視点で考え、あらゆる角度からの侵入、盗難、攻撃を想定し、それぞれのリスクに対して対策を施す必要があります。

　カード会員情報を守るというのは、不正利用、なりすましを防ぐのが主な目的ですが、その不正利用、なりすましからカード会員情報を守るために、このようにさまざまな角度から、何層にもおよんだセキュリティ対策が求められています。多層で防御を行うことは、セキュリティの考え方の中で最も重要な考え方ですから、これを実施すれば大丈夫、といわれてもそれをうのみにせず、適切に多層防御を施すことが必要です。

図2　クレジットカード情報を多層で守る

 

2/3

Index
あの手この手で守るべきカード情報、その中身とは？
	Page1 「カード会員情報」って16けたの番号だけじゃないの？ “持たない”が最も有効な施策、持つのならばきっちり守る
	Page2 ネットショッピングでよく見掛ける「3Dセキュア」とは？ セキュリティの基本は「多層防御」
	Page3 不正利用にカード番号は必須ではない?! カード情報保護を通じて「セキュリティの考え方」を知るべし

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）