インターネットが普及した現在、オンラインサービスで商品や証券などを取り引きする機会は確実に増えています。金融業界でもコスト削減や顧客サービスの向上、そして保険商品の銀行窓販全面解禁や金融商品取引法などによる自由競争の激化から、オンライン経由での金融商品の取扱いが進んでおり、インターネットでクレジットカード情報を含む個人情報のやり取りは増加の傾向にあります。
しかし、こうした動きにあわせて多発しているのが、クレジットカード情報データの漏えい事件です。2005年に米国で起こった漏えい事件では4,000万件以上ものクレジットカード情報が流出し、不正使用による被害額は6,500万円に上りました。流出元はクレジットカード決済を請け負う決裁処理会社で、システムにぜい弱性があるのを第三者が発見し、ネットワークに侵入してカード情報を盗んだということです。
これら事件の教訓を受け、クレジットカード会社5社(VISA、JCB、マスターカード、アメリカン・エクスプレス、ディスカバー・フィナンシャル・サービシズ)は「Payment Card Industry Data Security Standard」(PCI DSS:PCIデータセキュリティ基準)を制定しました。クレジットカードのデータを取り扱う会社がカード情報を正しく保護し、ネットワークやアプリケーションの安全性を確保し、第三者機関による監査を受けるよう規定したセキュリティ基準です。いわば、SOX法のクレジット取扱会社版と考えてもよいでしょう。
クレジットカード決済機能を持つ事業者は、PCI DSSの遵守が求められます。違反者がデータを流出させた場合は重い罰金が科せられ、クレジットカード決済機能を停止させられるなどの厳しい罰則があります。JCBでは、JCB加盟店や決済代行事業者がPCI DSSに準拠しているかどうかを確認できるよう「JCBデータセキュリティプログラム」という診断プログラムを提供しており、こうしたサービスを利用することも有効です。
では、実際にどのような対策を実施すればよいのでしょうか。PCI DSSでは、クレジットカード決済システムを構築するための12の要件を規定しています。その1つの「安全性の高いシステムを開発し、保守すること」では、「既知の攻撃からWebに面したアプリケーションを防護する仕組みを取り入れなければならない」と明記されています。
要件1: データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
要件2: システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
要件3: 保存されたデータを安全に保護すること
要件4: 公衆ネットワーク上で要件3: 保存されたデータを安全に保護することカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
要件5: アンチウイルスソフトを利用し、定期的にソフトを更新すること
要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること
要件7: 業務目的別にデータアクセスを制限すること
要件8: コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
要件9: カード会員情報にアクセスする際、物理的なアクセスを制限すること
要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
要件11: セキュリティシステムおよび有事の対応手順を定期的にテストすること
要件12: 情報セキュリティに関するポリシーを保持すること
外部からの攻撃として考えられる対策に、ファイアウォール、ウイルス対策製品、IDP/IDSなどがあります。しかし、最近の攻撃は多様化しており、特に Webアプリケーションを狙った攻撃は従来の対策で防ぐことができません。その中でも攻撃手口の9割以上を占めるといわれているWebアプリケーション攻撃方法が、「SQLインジェクション」です。SQLインジェクションは、データベースからデータを取得するためのSQL文に、第三者へデータを送信させるなどの不正操作をさせるSQL構文を埋め込みます。
問題は、こうした攻撃は通常のWeb通信に隠れて仕掛けられることです。ぜい弱性のあるWebサイトに偽のURLへ誘導するスクリプトを埋め込む「クロスサイトスクリプティング」も、同様の仕組みを使います。そのため、正常な通信と判別するのが難しく、流出にも気付かないケースさえあります。
つまり、PCI DSSに対応するには、Web通信のトラフィック自体を監視して、不正なトラフィックをブロックする仕組みが必要ということです。
2007年11月、F5はPCI DSS遵守を目指す企業を支援するため、クレジットカード決済に関するセキュリティ標準の策定などを推進する「PCIセキュリティ標準協議会」に加盟しました。アプリケーションとネットワークのセキュリティ分野をリードする企業として、豊富な経験と知識を活かしながら、より安全なオンラインビジネスの推進をサポートします。
F5の『BIG-IP Application Security Manager』の最新バージョンでは、クレジットカード番号のパターンを検知してサーバからの流出を防止する「データガード機能」など、PCI DSSの要件を満たす機能を多数搭載しています。F5は今後もお客様に安心と信頼を提供できる製品の開発に邁進します。
