安全安心情報のセキュリティ産業新聞社

新聞のご購読はこちらから
サイト内検索
注目ニュース インタビュー・対談 特集 連載 新製品情報 セミナー情報 リンク セキュリティフォーラム
ホーム >注目ニューストップ >注目ニュース2008トップ   広告のお申込はこちらから
 

2008年10月10日号 注目ニュース4

過去の記事はこちらから

カード情報侵害が84%

セキュリティフォーラム
ECサイトの防衛策とは
 
 
 

(2008年10月10日号)

 ECサイト(電子商取引を行うサイト)は種類も増え、近年いよいよ身近になっているが、それと同時に、不正アクセスによるクレジットカード情報漏えい事故も急増。そうした状況下、NTTデータとNTTデータ・セキュリティが主催する「ECサイトに求められる最新セキュリティ対策セミナー」が、9月25日、NTTデータ本社(豊洲センタービル)で行われた。
  まず、Verizon Businessのセキュリティ・ソリューションズ、ビジネス・ディベロップメント・マネージャーの五十嵐久理氏が「急増している情報漏えいの原因を探る」をテーマに講演。同社が調査したデータ漏えい・侵害事件の分析結果について
  「情報を盗む側の目的は金。データ侵害は発覚まで時間がかかり、悪用できる期間が長く逃げやすい。被害を受けた企業を業界別に見ると飲食料品業界と小売が合わせて55%。規模別では11人から100人までの会社が多く狙われており、ガードのゆるいところがターゲットになっている。侵害された資産・情報の種類はクレジットカード情報が84%を占め、漏えい・侵害の発見は第三者からの連絡によるものが70%。安全を確保するための推奨事項として(1)セキュリティポリシーを実用的なプロセスを通じて実施する。(2)漏えい・侵害の83%がそれほど複雑でない攻撃によって発生しているので、まず、基本的なセキュリティを確保し、その後、高度なセキュリティを構築する。(3)ビジネスパートナーが関係する漏えい・侵害が39%を占めるため、パートナーの接続のセキュリティを確保する。(4)企業内部のどこに機密データがあるかを理解し、リスクを評価する。(5)イベントログを監視する。(6)漏えい・侵害が起きたときの対応プランを文書で作成する。(7)漏えい・侵害の擬似インシデント環境を作り、対応プランに従って擬似テストを行う」──以上を挙げた。
  続いて、NTTデータ・セキュリティのコンサルティング本部・茅野耕治氏がカード情報を保護する国際統一基準であるPCIDSSについて紹介。
  「PCIDSSは国際カードブランド5社が設立したPCISSCが策定・運用。カード会員データを取扱う事業者を対象に、PCISSCが認定した監査人であるQSAが訪問調査を行う。PCIDSSは義務ではないが、準拠することによって機密情報を守るための対策を効果的に行えるメリットがある。監査の対象となる要件は、(1)ファイアウォール、ルータの管理(2)システム設定標準(3)カード会員データの保護(4)インターネットアクセス管理(5)アンチウィルス管理(6)パッチ管理、開発段階の対策(7)アクセス制御(8)アカウント管理 (9)物理的施策(10)ログ管理 (11)脆弱性スキャン、テスト(12)情報セキュリティポリシー」と報告。
  NTTデータ・決済ソリューション事業本部の佐藤篤氏はクレジットカードデータの中継や売上データの作成・伝送を行う決済代行ASPサービスであるCAFIS BlueGateについて解説。
  「新サービスの3大メリットとして、(1)利用会社が受け付けた顧客のカード情報をNTTデータが預かる。利用会社は会員のIDを管理すればOK。セキュリティリスクを大幅に軽減する。(2)登録した顧客の2回目以降の購入でカード情報の入力が不要。NTTデータが加盟店からの会員IDデータを預かったカード情報に変化して、カード会社に伝送する。(3)顧客が登録したカード情報を変更したいときも、利用会社管理の会員IDはそのままで、登録カード情報の変更ができる。登録していないカードでの一時的な決済にも対応」──の3つを掲げ、クレジット決済の際にID、パスワードの入力を求め、本人認証を行う3Dセキュアについても紹介した。
  最後に、NTTデータ・セキュリティ・営業本部の鍋島聡臣氏が「事故・事件に遭わないためのセキュリティ対策」をテーマに、「PCIDSSに前向きな企業は、企業としての責任感があり、またセキュリティの現状を理解しているといった共通点がある。まずは、皆様のセキュリティレベルを上げる役割を担っているQSAにお問い合わせを」と語り、締めくくった。