 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
PCI DSSは普及するか? ダブルスタンダード化などの阻害要因を考える |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
兼松エレクトロニクスとLogLogic Japanが共同主催したPCI DSSセミナーで、ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部長の山崎文明氏が「普及」に関する講演を行った。そこから現在の普及と阻害、それぞれの要因を探ってみる。 山崎氏は「制裁処置がPCI DSS普及の1つの動機になるだろう」と語る。 インターネットで楽器や音響機器を販売するサウンドハウスから4月に、カード情報を含む情報漏えいが発生した。こうした事故が起きた場合、カードブランド各社の対応は厳しく、「一度流出した企業には、PCI DSS準拠が確認されない限り、カード決済を認めない方針を採っている」(山崎氏)。 現に12月25日の時点でも、サウンドハウスのショッピングサイトでクレジットカード決済は行えない。「サウンドハウスの場合、もともとクレジットカード決済があまり多くなかったらしい」(同氏)が、取引件数によっては事業に絶大な影響を及ぼすことも考えられる。 11月11日(シンガポール時間)にはVISAより、大手のカード加盟店にPCI DSS準拠を義務付けるタイムラインも発表された。年間カード取引件数が600万件を超えるようなレベル1の加盟店に、2010年までに準拠を求めるものだが、注目すべきは、期限までに準拠が確認されなかった場合、アクワイアラ(加盟店を開拓することで手数料を収益とする事業者)に対して「罰金」も辞さないとする内容が盛り込まれたことである。 米国では、1カ月遅れるごとに1万ドル(VISAの規定)、四半期遅れるごとに5000ドル(MasterCardの規定)といった罰金が科せられる。また、American Expressでは、準拠が確認されなかった場合に加盟店契約を解除するという、ある意味一番厳しい規定を設けているという。罰則のルール化は確実に進んでいる。 こうした罰則の規定によって、PCI DSSは普及せざるを得ないというわけだ。 一方、普及を阻害しかねない要因としては、「仮想化環境における監査ガイダンスが存在しない点」や「QSA(訪問審査事業者)の審査基準の不均一さ」などが存在するが、中でも特に大きな要因になり得るのが「改正割賦販売法(以下、改正割販法)」であるとしている。従来の割販法に、主にカードセキュリティの内容を盛り込んだのが改正割販法だが、PCI DSSの内容とかみ合わなければ、「ダブルスタンダード化する懸念があるのだ」(山崎氏)。 カードは国際的なものである。日本で取得したカードは海外でも使える。米国で発生した情報流出に日本人のカード情報が含まれることがあれば、その逆もしかりだ。だからこそ、グローバルスタンダードとしてPCI DSSが登場したのに、日本だけ2つの基準を抱えてしまえばどうか。国際的に見て日本だけ独自の路線を進むことになり、それはおそらく弊害を生むことになる。それは避けたいところなのだが、山崎氏は「改正割販法の内容はどうやら緩やか。具体的なPCI DSSとはかみ合わない可能性が高い」と、ダブルスタンダード化がにわかに現実味を帯びてきていることに触れた。 もう1つ、先行き不透明な世界的金融危機も普及を大きく阻害しかねない。セキュリティはいつだってコストや利便性の対として天秤(てんびん)にかけられるものだ。ところが、これまで保たれてきたトレードオフのバランスも今はコスト側に大きく傾いてしまっている。この状況で、どれだけPCI DSS準拠を優先することができるだろうか。ISMSや日本版SOX法の対策が流用できればコストも抑えられるのだが、PCI DSSの方が内容が具体的であるため、これまでの対策が「必要」となっても「十分」にはならないことも多いのだ。 コストの問題は確かに高いハードルである。しかし2008年もSQLインジェクションなどによる情報流出が頻発している。過去のIPAの調査によれば、被害の復旧には1億円超のコストがかかるだけでなく、サービスを数カ月閉鎖したことで20~30億円の売上減となったケースもあるという。それを考えると、コストの問題は逆に普及要因といえなくもない。 課題は、経営体力が少ない小規模なカード加盟店にいかに推進していくかである。自社ですべての対応を行うのは限りなく不可能に近い。そのためか、カード情報の管理を代行するサービスや現状のギャップ分析を行うサービスを開始している事業者が多数あり、また、カード決済代行処理を行うプロセサも急増している。小規模なカード加盟店は、こうしたサービスを利用するのが現実的な手であろう。その代わりに委託先の事業者がしっかりPCI DSSに準拠していけば、普及への近道が見えてくる。 また、PA-DSS準拠のPOSアプリケーションを導入するという手もある。PA-DSSとは、POSアプリケーションに必要なセキュリティを規定した基準で、PCI DSSと同じく、PCI SSCによって運営される国際基準となっている。PCI DSSは突き詰めると、「全磁気ストライプ」「CVC2/CVV/CID」「暗証番号」は保管してはならず、「カード番号」「有効期限」「サービスコード」「カード会員名」を保管する場合は保護するようにと定めたものだ。PA-DSS準拠のPOSアプリケーションを利用すれば、大掛かりな手間をかけずにPCI DSSの一部をカバーすることができる。 前述の通り、大規模なカード加盟店には、すでにPCI DSS準拠のタイムリミットが設けられている。今後、それ以外の規模のカード加盟店にも同様の決定が下されるかもしれない。しかし制裁処置だけでは当然不十分だ。重要なのは、自社のみで対応しきれないような企業に、現実的な対応策を用意することだろう。アウトソースやギャップ分析、PA-DSS準拠のPOSアプリケーションの検討などは、有効な第一歩といえる。 ■ URL 兼松エレクトロニクス株式会社 http://www.kel.co.jp/ LogLogic Japan株式会社 http://www.loglogic.com/jp/ ネットワンシステムズ株式会社 http://www.netone.co.jp/ ■ 関連記事 ・ NIerのネットワンがPCI DSSに注力するワケ-「当社には地図のようなもの」(2008/11/14) ・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13) ・ VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに(2008/11/13)
( 川島 弘之 )
|
