2023年は、クレジットカードセキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meeting(以下、CM)が、北米、欧州、アジア太平洋(以下、APAC)の3リージョンで開催された。全リージョンにおいてオフラインで開催されたのは実に4年ぶりである。本稿では、筆者が2023年11月15日、16日で開催されたAPACリージョンのCMに参加した際の現地の様子や、アジア太平洋諸国の決済事情、そして参加後の日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:JCDSC)内における情報共有活動についてお伝えする。
欧州リージョンのCMに参加した際の様子については、PCI SSC 2023 Europe Community Meeting参加レポート | ダブリンの決済事情と注目テーマを解説をご覧いただきたい。
はじめに
NRIセキュアでは、これまでもPCI DSS審査資格を有するQSA企業として、いずれかのリージョンのCMに参加してきた(2020年から2022年はオンラインでの参加を継続していた)。2023年は、冒頭で紹介した記事の通り、欧州リージョンCMに参加をしている。今回のAPACリージョンのCMにはJCDSCに加盟する企業からの派遣参加という形で、APACの決済セキュリティ動向の調査や、CM参加後のJCDSC会員企業への情報共有を目的として、JCDSCユーザ部会世話役であるfjコンサルティング株式会社の瀬田 陽介氏(APAC CMのパネルディスカッションにご登壇)と、NRIセキュアから海老名 将宏(筆者)が参加した。
PCI SSC 2023 Asia-Pacific Community Meeting の概要
PCI SSC 2023 APAC CMは、2023年11月15日と16日の二日間で、マレーシア・クアラルンプールで開催された。オンライン参加を含めて400名近い参加申し込みがあったこのCMは、APACリージョンとしては過去最多の申込人数である。熱帯気候であるマレーシアの空気をそのまま持ち込んだかのように、会場は熱気に溢れ、かなりの盛り上がりを見せていた。会場の交流スペースではマレーシア料理がブッフェスタイルで提供されており、セッション以外の時間においても賑わっていた(筆者はNasi Lemakという料理を好きになり、たくさんいただいた)。
現地会場では、日本語・中国語・英語の同時通訳が用意されており、多くの参加者が利用していた。筆者も日本語の同時通訳を参考に全セッションを聴講していたが、発表者からの発信内容をスムーズに理解できたため非常に分かりやすかった。
セッションの内容については、北米や欧州のCMと比べると開催日数が1日少ないということもあり、20弱のセッションと限られていたが、全リージョン共通のPCI DSS関連のテーマ以外にもAPAC固有のセッションとして、決済セキュリティに関連する鍵管理や組織コンプライアンス、固有地域におけるQSA活動の特色、APACの決済セキュリティの最新の取り組みに関する紹介などがあった。
<左:会場ホテル、中央:メインセッション会場、右:ベンダブース>
日本企業における決済セキュリティ施策とPCI DSSv4.0への対応
日本のクレジットカードセキュリティにおけるPCI DSSv4.0の位置づけ
2日間のセッションのうちの約1/3がPCI DSSv4.0関連のセッションとなっており、全リージョン共通となるPCI SSC Leadership Teamのメンバが登壇するセッション以外にも、APACを拠点とする企業によるPCI DSSv4.0におけるスコーピング手法やEコマースにおける脅威トレンド等々、とPCI DSSv4.0で必要なセキュリティ対策を関連付けた解説が行われていた。日本からは、BSIグループジャパン株式会社・柳原 俊郎氏のセッションがあり、クレジットカード決済を取り扱う加盟店や、これから初めてPCI DSS準拠を目指す企業を対象として、PCI DSSv4.0の要件を理解するための重要な5つの観点について解説を行っていた。
- <PCI DSSv4.0の要件理解のための重要な5つの観点>
- ①アカウントデータの保護:アカウントデータの定義の変更に注目
- ②外部脅威への対応:フィッシングやWebスキミング等の外部脅威を認識すること
- ③内部リスクと環境変化への対応:アクセス権限や監査ログのレビュー、多要素認証、認証スキャンへの対応が重要
- ④フレキシビリティ:ターゲットリスク分析やカスタマイズコントロールによって組織にとってベストな柔軟なアプローチが必要
- ⑤セキュリティ成熟度の向上:各要件の適用期限や、PCI DSSスコープの把握、要件12を中心とする自社ポリシーへの精通が重要
現在の日本では、クレジットカード決済を行う加盟店に限って、割賦販売法に基づいたクレジットカード情報のセキュリティ対応をする上で、PCI DSSへの準拠以外に、カード情報の非保持化という日本独自のアプローチが存在する。国内においてPCI DSS自体の認知は広がりつつあるものの、実際にPCI DSS準拠する場合には各要件に必要な対策実装や定期的なセキュリティ運用、年次審査の通過など、長期的にみても高い対応負荷が想定される。一方、カード情報の非保持化を選択する場合には、最初にカード情報を保持せずに決済が可能な仕組みを実現できれば、基本的な脆弱性対策や自身の非保持化方式の妥当性を定期的に評価することで非保持化の状態を維持することが可能である。加盟店にとって、PCI DSSの準拠は非保持化よりもハードルが高いと感じられているために、組織として長期的な運用負担を考慮して、カード情報の非保持化を選択する加盟店は多い。
ただし、非保持化によりPCI DSS準拠を行わない加盟店において、決済ページのスクリプトを改ざんしカード情報を攻撃者に転送する攻撃手法であるWebスキミング等による脅威でクレジットカード情報が漏洩するインシデントが多発している。クレジットカード情報の非保持化というアプローチを選択する場合においても、上記5つの観点は、各企業が自組織の事業内容や規模に見合ったセキュリティ対策方針を確立するために有用であり、セキュリティ対策のベースラインを強固なものにするうえで非常に重要であると感じる。これら5つの観点については、IPAが発行する「中小企業の情報セキュリティ対策ガイドライン」や、クレジット取引セキュリティ対策協議会が取りまとめる「クレジットカード・セキュリティガイドライン」にもこれらに近い考え方が一部含まれている。加盟店において、PCI DSS準拠かクレジットカード情報の非保持化か、いずれにしても、PCI DSSv4.0を正しく理解し適切なセキュリティ対策を講じることが不可欠である。
PCI DSSv4.0を踏まえた今後の日本における企業の取組み方や施策方針
上述の通り、加盟店がPCI DSSv4.0を踏まえた適切なセキュリティ対策を実装していくために、様々な関係企業・機関による取組みや施策が必要となる。加盟店が感じているPCI DSSv4.0へのハードルは、QSA企業をはじめとした有識者が、PCI DSSv4.0の各要件の意図や具体的な対策方針を丁寧に示すことで解消していかなければならない。また、日本独自のクレジットカード情報の非保持化というアプローチをこれからも実効性のある対策としていくためにも、我々日本のQSA企業は、PCI DSSv4.0の理解促進や浸透に向けて、教育・啓発活動の強化、対策実践のためのガイダンスや柔軟なコンサルティングサービス提供をしていかなければならない。さらに、アクワイアラの立場では、管理下の加盟店において充分なセキュリティ対策が実装・維持できているかを定期的に確認する運用や体制の整備ができれば、加盟店のセキュリティレベルの維持や意識向上に繋がる。そして、政府や行政機関は、アクワイアラに対し加盟店管理の実態を定期的に提示することを求めるような法整備を進めることができれば、国内の加盟店全体のセキュリティをより強固なものとしていくことができると考えている。
PCI DSSv4.0策定における日本の貢献
APAC CMの2日目のパネルディスカッションでは、fjコンサルティング・瀬田 陽介氏が日本代表のパネラーとして登壇し、JCDSCによるPCI DSSの普及啓発活動について触れていた。 また、JCDSCのユーザ部会に所属し、PCI SSC のPO会員(Participating Organization)でもある瀬田氏は、PCI DSSv4.0の策定期間において、PCI SSCアソシエイトディレクターである井原 亮二氏と連携しながらPCI DSSv4.0の策定に深く関わっていたことについても話していた。井原氏のサポートのもと、PCI DSSv4.0ドラフト版について、PO会員である企業を中心に議論を行い、日本企業には馴染まないと思われる要件の表現をPCI SSCにフィードバックすることで、日本でも浸透可能なセキュリティ基準となるよう検討を進めていたことを話しており、他のパネラーから多くの関心を集めていた。
APACにおける決済インフラの進歩と日本の展望
自国内だけに留まらないクロスボーダーな決済インフラの計画の構築に向けて
インドのバンガロールに拠点を置くフォレンジック企業SISAのCEO・Dharshan Shanthamurthy氏のセッションでは、APACの決済を取り巻く環境の進歩について紹介されていた。Dharshan氏は、中国・香港・UAEにおける中央銀行デジタル通貨(CBDC)の実証テストが成功していることや、欧州を中心に拡大中の「Request to Pay」がマレーシアでも展開される計画が進んでいること、BIS(国際決済銀行)・MAS(シンガポール金融管理局)・BNM(マレーシア国立銀行)が新しいクロスボーダー決済「Project Nexus」を発表したこと等を例に挙げ、APACの決済インフラに大きな進歩があることを示した。
セッション内では、これらの他にも多くの国で新しい計画があることに触れていたが、その中でも多く見られるキーワードとして「リアルタイム」「クロスボーダー」「規格統一」などがあった。これは、今後進歩していく決済インフラに対して、自国内だけで使えるような決済ではなく、国際的に利用できることや、現金での支払い感覚により近い即時性が求められていることが分かる。今後は事業会社だけでなく、銀行や公的金融機関が主導する決済手段の展開が増えていくことも予想される。
APACの進歩に追随するために日本が重視すべきセキュリティ
データディスカバリソリューションの導入
今回、Dharshan氏は、クロスボーダー化を目指す決済インフラの進歩を支えるために必要なセキュリティ対策の一つとして、エンドポイントのセキュリティ対策を解説していた。一般的なエンドポイントのセキュリティ対策といえば、マルウェア対策ソフトウェアやEDR(Endpoint Detection and Response)などがよく知られているが、今回はデータディスカバリソリューションにフォーカスして解説が行われた。データディスカバリに関するソリューションとしては、Symantec社やMcAfee社のData Loss Preventionなどが世界的にもよく知られており、これらを導入することで自社環境内に存在する機密性の高いデータを特定でき、不適切な環境に機密データが保存されていれば素早く検知することができる。
リモートワークが恒常化し、従業員の端末セキュリティが組織全体のセキュリティに大きく影響する現代において、データディスカバリによりエンドポイントデータの保管場所や流れを可視化することは情報漏洩リスクの抑制に直結する。このことは、今回のAPAC CM内の他のセッションでも頻繁に取り上げられており、マルウェア対策ソフトやEDRのように、今後、データディスカバリソリューションが一般的なセキュリティ対策となることも十分に考えられる。
しかし、多様化するエンドポイント環境を完全に管理・統制できる仕組みをすぐに整備することは当然難しい。国内においては、そもそもリモート環境での重要情報の取扱いを規制するケースが主流である。そういった現状の中でも、リモート環境など幅広いエンドポイントにおいて重要情報を取り扱う必要がある場合は、まずはデータ管理ポリシーなど人手での運用による統制を敷きながらも、さらなるスケールを見越して、現時点からシステム的に統制可能なデータディスカバリソリューションの導入を目指して計画を立てることが望ましいと考える。
クロスボーダーを意識したサプライチェーンセキュリティの強化
先に述べたとおり、APACでは「リアルタイム」「クロスボーダー」「規格統一」を中心とした決済インフラの開発を計画している。APACの一員である日本においても、今後、これらのキーワードを中心に構築された新しい決済インフラに対応していかなければならない可能性は高い。周辺諸国でクロスボーダー決済を目的とした決済インフラが計画されていく中で、日本での決済が要求されることも十分に考えられる。
このような決済インフラに対応する基盤を日本で整備していく中で、上述の「データディスカバリ」に加え「サプライチェーンセキュリティ」が重要なセキュリティ要素になると筆者は考えている。サプライチェーンについては、今回のAPAC CMの中でもフォーカスされている。特に、加盟店などにおいて、サードパーティ製品の脆弱性を悪用されることでクレジットカード情報の漏洩が発生するインシデントが非常に増加していることが、英国のセキュリティ企業 Foregenix社のSylvia Choa氏のセッションでも紹介されていた。
クロスボーダー決済を実現するためには、一つの国だけで全てを完結させることは不可能であり、その決済インフラの中では多くの国のプロバイダやサプライヤーが密接に相互連携する必要がある。必然的に様々なエンドポイント環境やサードパーティベンダがステークホルダとして存在することになる。サプライチェーン全体において脆弱性や内部不正、外部からの攻撃リスクを排除するために、日本は自国の法規制に準拠しつつ、クロスボーダー決済のサプライチェーンに適用するためのセキュリティ基準を確立していかなければならない。そうすることで、今後、日本がAPAC全体の経済活動の促進に貢献することを期待している。
おわりに
参加後は、JCDSC会員企業からの希望者の聴講者やベンダ部会に参加している会員に対し、PCI DSS準拠審査を実施するQSAや、審査を受けるユーザとしての視点で瀬田・海老名の両名で解説を行った。JCDSCでは日本の各QSAやクレジットカード決済に関わる事業者が幅広く集まり議論できる場を提供している。そのような場で今回のAPAC CMの情報共有を行うことは多くのメンバがAPACの最新決済動向やカードセキュリティに関するベストプラクティスについて情報収集し、自社のセキュリティ戦略の策定や、対策レベルの向上に役立てることができる機会となる。もちろんPCI SSC CMに直接参加し情報収集や現地交流していただくことができれば望ましいが、興味があっても直接参加することが難しい日本の事業者については、JCDSCのような協議会にご参加いただき、情報収集や情報交換を図っていただきたい。
最後に、今回、JCDSC代表としてともに参加いただいたfjコンサルティング 瀬田 陽介氏、そして現地でアテンドしていただいたPCI SSC 井原 亮二氏、そして何より、今回の派遣活動をご支援いただいたJCDSCの事務局・運営委員の皆様に深く感謝申し上げるとともに、本稿の結びとさせていただく。
