第2回 あの手この手で守るべきカード情報、その中身とは？

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/10/7

---

　不正利用にカード番号は必須ではない?!

　クレジットカード決済には、カード会員番号が必要です。しかし、前述のとおり、例外があります。

　クレジットカードの不正利用の中で一般的な手法の1つに、悪意のある利用者によるセッションハイジャックを利用した不正利用があります。会員登録が必要なECサイトで買い物をする際、カード情報を登録しておけばワンクリックで買い物ができる、というようなサイトを利用されたことがありますでしょうか。セッションハイジャックについてはここでは詳述しませんが、このようなECサイトにおいて、予測されやすいセッションIDの生成を行っている場合、直接カード会員番号を閲覧することなく、他人のクレジットカードを不正利用して買い物ができてしまいます。これは、ECサイトであればほぼすべてのサイトで発生し得るものであると考えられます。

　PCI DSSでは、要件6.5のWebアプリケーション開発におけるセキュリティ対策要件の中で、「6.5.3 認証およびセッション管理の不徹底」の対策を行う必要がある、という要件でカバーされています【注】。

【注】 ここでOWASP（Open Web Application Security Project）の項目が参照されているのですが、PCI DSSバージョン1.1では参照しているOWASP Top10のバージョンが古いため、実際にはOWASPのサイトで公開されている、最新のTop10を利用する必要があります。

　カード情報保護を通じて「セキュリティの考え方」を知るべし

　今回は、PCI DSSとその周辺技術から、クレジットカード業界における不正利用、なりすまし防止のための技術を通して、セキュリティ対策を実施するうえで最も基本的でかつ重要な考え方をご紹介しました。

　また、ISMSとPCI DSSをともに実施することで、互いを補完してより効率的にセキュリティ対策を行えるという考え方と、情報資産を守るために必要な多層防御という考え方もご紹介しました。

　特に多層防御という考え方は、英語ではMultilayer Security、もしくはさらに概念的にDefence in Depthといった用語が使われることがあり、低いレイヤから上位レイヤの考え方まで広く適用できます。今後の記事でも引用しますので、この考え方をつかんでいただければ幸いです。

3/3

Index
あの手この手で守るべきカード情報、その中身とは？
	Page1 「カード会員情報」って16けたの番号だけじゃないの？ “持たない”が最も有効な施策、持つのならばきっちり守る
	Page2 ネットショッピングでよく見掛ける「3Dセキュア」とは？ セキュリティの基本は「多層防御」
	Page3 不正利用にカード番号は必須ではない?! カード情報保護を通じて「セキュリティの考え方」を知るべし

Profile

川島　祐樹（かわしま　ゆうき） NTTデータ・セキュリティ株式会社 コンサルティング本部　PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）