大型加盟店のPCI DSS準拠も進むも国内は……
ビザ、ダイナミック認証などで不正取引を水際で防止
2012/04/20
ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。
米ビザ チーフ・エンタープライズ・リスク・オフィサー エレン・リッチー氏予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。
保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PCI DSS」への順守を求めていく。
リッチー氏は、大型加盟店のPCI DSS準拠率はワールドワイドで8割に上り、中でも米国は最も進んでおり97%が準拠していると述べた。一方、日本では残念ながらそこまでの水準には達していない。特に、PCI DSS準拠のためのコスト負担が困難な中小の加盟店における対策は、今後の課題という。
最後の対策のフェーズでは、法執行機関との協力に加え、不正を防止するための情報共有を進める。また、決済が行われたらその旨をカード会員に伝え、本当に自分の意思で行った取引かどうかを確認できるようにする「リアルタイムアラート」も提供していく。
今後はさらに、データ分析と、決済が行われたデバイスや位置といった情報を組み合わせてリスクを算出し、それに応じて認証などを強化することによって水際で不正を防止する「ダイナミック認証」も推進していく。「取引の90%以上はリスクが低く、追加認証は不要で、余計な操作などは必要ない。一方ハイリスクな取引には『VISA認証サービス』によって、ワンタイムパスワードトークンやチャレンジ&レスポンスなどのダイナミック認証を追加する」(リッチー氏)。
同時に、消費者に対する啓発にも取り組んでいきたいとした。「『パスワードを入力してください』と呼び掛けてくるフィッシング攻撃やソーシャルエンジニアリングのターゲットになったときにどうすべきか、攻撃者がどういった手法を使っているかについて、コンシューマーを教育していくことはとても大切なことだ」(同氏)。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
