大型加盟店のPCI DSS準拠も進むも国内は……

ビザ、ダイナミック認証などで不正取引を水際で防止

2012/04/20

 ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。

visa01.jpg 米ビザ チーフ・エンタープライズ・リスク・オフィサー エレン・リッチー氏

 予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。

 保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PCI DSS」への順守を求めていく。

 リッチー氏は、大型加盟店のPCI DSS準拠率はワールドワイドで8割に上り、中でも米国は最も進んでおり97%が準拠していると述べた。一方、日本では残念ながらそこまでの水準には達していない。特に、PCI DSS準拠のためのコスト負担が困難な中小の加盟店における対策は、今後の課題という。

 最後の対策のフェーズでは、法執行機関との協力に加え、不正を防止するための情報共有を進める。また、決済が行われたらその旨をカード会員に伝え、本当に自分の意思で行った取引かどうかを確認できるようにする「リアルタイムアラート」も提供していく。

 今後はさらに、データ分析と、決済が行われたデバイスや位置といった情報を組み合わせてリスクを算出し、それに応じて認証などを強化することによって水際で不正を防止する「ダイナミック認証」も推進していく。「取引の90%以上はリスクが低く、追加認証は不要で、余計な操作などは必要ない。一方ハイリスクな取引には『VISA認証サービス』によって、ワンタイムパスワードトークンやチャレンジ&レスポンスなどのダイナミック認証を追加する」(リッチー氏)。

 同時に、消費者に対する啓発にも取り組んでいきたいとした。「『パスワードを入力してください』と呼び掛けてくるフィッシング攻撃やソーシャルエンジニアリングのターゲットになったときにどうすべきか、攻撃者がどういった手法を使っているかについて、コンシューマーを教育していくことはとても大切なことだ」(同氏)。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間