クレジットカードセキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meeting(以下、CM)が今年も開催された。例年同様、北米、欧州、アジア太平洋の3リージョンで開催されたが、筆者は2024年10月8日(火)~10日(木)にてスペインのバルセロナで開催された欧州CMに参加した。
本稿では、バルセロナにおける決済事情や欧州CMのイベントの様子、注目テーマについてお伝えする。
バルセロナの決済事情
バルセロナは日本人からも人気のある国際的な観光都市であり、筆者が滞在中の10月は気候も涼しく多くの観光客で賑わっていた。
現地の決済事情としては、バルセロナ空港と市内を結ぶAerobusのチケット購入、宿泊施設での市税の支払い、レストランやスーパーでの支払いなど全ての決済場面においてクレジットカードが利用可能であった上に、ほとんどの決済端末ではタッチ決済機能が備わっており、キャッシュレス化が進展していた。
公共交通機関に関しては、電車、地下鉄、バスは全てT-mobilitat[1]と呼ばれるカードで乗車することができ、そのカードの購入にはクレジットカードが利用可能である。
筆者は主にバス、地下鉄を利用していたが、バス車内にはT-mobilitat用の端末とは別にクレジットカードの決済端末も設置されており、タッチ決済で乗車することも可能であった。
地下鉄に関してはクレジットカードのタッチ決済が使える駅はほとんどなかったが、バルセロナ最大のターミナル駅であるBarcelona Sants駅の、ある1つの改札(高速鉄道から地下鉄への乗り換え改札)では利用することができた。
但し、クレジットカードのタッチ決済の仕組みはT-mobilitatと直接互換性がないため、T-mobilitat用の通常改札の隣に鍵のかかったゲートがあり、決済端末が設置されていた。タッチ決済が行われるとゲートが開くような仕組みはなく、駅員に声をかけゲートの鍵を開けていただく必要があった。このように多少の不便さがあることや、T-mobilitatで使える回数券の方がお得であるからか、実際に地下鉄でタッチ決済を利用している人は少ないように見受けられた。
なお、バルセロナの地下鉄では改札の出場時にはカードのタッチが不要であるため、下車する駅のタッチ決済対応有無の考慮は不要である。
左:地下鉄改札T-mobilitatタッチ 右:地下鉄ゲートのタッチ決済端末
PCI SSC Community Meetingの概要
本イベントは、弊社を含む審査機関、加盟店、サービスプロバイダ、セキュリティベンダ等様々な企業が参加し、決済セキュリティに関する最新動向の発信や情報交換を行うことを目的としている。
筆者が参加した欧州CMは、Palau de Congressos de Catalunyaを会場に、対面及びオンラインのハイブリット形式で開催され、PCI SSCによると世界各地から600名を超える関係者が参加した。
セッションは約40セッション、ベンダーブースは約25ブース出展されており、セッションが行われていない時間帯にはベンダーが講演を行うTech Talksの時間も設けられ、各ベンダーの製品やソリューションの詳細説明を聞くことができるようになっていた。
また、初日のレセプションパーティやベンダーショーケース会場では食事も提供されており、参加者と気軽に交流できる機会が設けられていた。
左:メインセッション会場、中央:会場受付、右:ベンダーショーケース会場
セッションの概要
例年通りPCI DSSを中心としたテーマが複数用意されており、特に2025年3月31日に対応期限が迫っているベストプラクティス要件[2]への準拠対応について、先送りにせずに早急に対応することが強く推奨されていた。一方で、PCI DSS以外のPCI基準のバージョンアップに関する発表や、暗号鍵管理、Webスキミング、ランサムウェア、欧州における規制等、その他のテーマについても多く取り上げられていた。
また、今年は新たな試みとして、初日の午前中に任意参加のワークショップが用意されていた。以下2つのいずれかのテーマに参加することができ、筆者はテーマ①に参加した。
- ①Approaches for Monitoring Third Party Service Providers
(サードパーティサービスプロバイダの監視に対するアプローチ) - ②Assessment Evidence Collection Techniques
(審査におけるエビデンス収集方法)
本ワークショップは、複数のグループに分かれ、テーマに対するベストプラクティスとしてどのような考えを持っているか、各社における成功事例や課題、そこからどのような教訓を学んだかについて意見交換を行うものであった。また、PCI SSCとして実施すべきアクションの明確化もディスカッションテーマとして与えられ、PCI SSCのあるべき姿を考える機会にもなった。
2024年1月より新エグゼクティブディレクターに任命されたGina Gobeyn氏による基調講演では、急速に変化する決済業界において、PCI SSCだけではなく参加組織の協力や意見が必要であることが強調されており、今年から追加されたワークショップもこの方向性における一つの取り組みであることが述べられていた。
来年のPCI CMのアジェンダはまだ発表されていないものの、今後は参加組織とPCI SSCの交流や意見交換の場が増えることが考えられる。
注目テーマ
以降より、PCI基準の変更や方向性に関するテーマ、欧州CMに親和性のあるテーマを中心に、注目テーマとして4つのセッションの概要を解説する。
1.PCI基準の今後の方向性
PCI SSCでは現在、PCI DSSを含む15個の決済セキュリティ基準が公開されているが、今後数年間でこれら全ての基準を更新していくことが発表された。
急速に変化する決済業界において、新しい技術が出現するたびに新しいセキュリティ基準を作ることによる既存のセキュリティ基準との重複の発生や、既に15個存在している現在のセキュリティ基準体系の複雑化を防ぐことが目的である。
また、複数のセキュリティ基準への準拠が求められる事業体や担当者にとっても、基準の統合や再編により準拠負荷が軽減されるというメリットがある。
具体的には、現在のPCI基準がどのように連携しているかの検証を行い、重複をできるだけ排除し、PCI SSCが考えるターゲット領域に統合、再編成していく予定である。
現在のPCI基準と今後PCI SSCが目指すターゲット領域
例えば、鍵管理及び暗号化に関する要件はPCI PIN Security、PCI P2PE、PCI MPoC、PCI DSS等の複数のPCI基準に、様々な記載粒度、要求レベルで散りばめられている。これら複数のPCI基準に準拠をするためには、それぞれで要求される鍵管理や暗号化を満たす必要がある。
また、PCI PIN SecurityとPCI P2PEは別の基準であるものの要求されている内容はほぼ同じであり、要件の重複が見られる。講演の中では、これらを踏まえ「PCI KMO(Key Management Operations)」と呼ばれるPCI PINとPCI P2PEを統合する新しい基準が検討されていることが説明された。
また、カード製造場所の「環境セキュリティ」、カード情報を保存している場所の「環境セキュリティ」等、決済業界における「環境セキュリティ」も多くの基準に共通する要求事項である。これについても、「PCI ESS(Environmental Security Standard)」と呼ばれる基準の検討がされている。
さらに、「Emerging Technology Framework」として、他の重要なターゲット領域で求められている要件の一部を採用し、決済業界において新技術が開発された際にベストプラクティスとして使用できるフレームワークの策定案も発表された。これにより、新技術に関する新しい基準の策定に時間をかけずに、既存の基準と共通する重要なセキュリティ領域については早い段階から取り込むことができる。
本稿におけるPCI SSCの方針はPCI CMで初めて発表されたものであり、PCI SSCとしても公式な検討は初期段階である。今後の議論によってはさらに方向性が変わる可能性はあるものの、新技術の出現時の素早いセキュリティ対応と現場の準拠負荷の軽減を同時に実現することができる新たなPCI基準体系が公開されることが期待される。
2.PCI MPoC v1.1へのバージョンアップ情報
PCI MPoC(Mobile Payments on COTS)とは、COTS(Commercial off-the-shelf)と呼ばれる市販のスマートフォンやタブレットなどのデバイスを、店頭の決済端末として利用する決済ソリューションにおけるセキュリティ基準を指す。
PCI MPoCは2022年11月にv1.0が公開後、2023年2月にv1.0.1へのマイナーバージョンアップ、その他技術的なFAQの更新等がされてきたが、2024年後半にはv1.1へのマイナーバージョンアップが予定されている。
以降にて、Andrew Jamieson氏の講演で述べられていたPCI MPoCv1.1における変更予定の内容について抜粋して解説する。
①PIN入力の受け入れ選択肢の拡大
PCI MPoC ではカード情報の読み取りとして複数の方法がサポートされている。但し、外付けのPOIデバイスとしてはSCRP(Secure Card Reader for PIN)承認クラスのPCI PTS認定端末のみが許可されていた。その結果、PIN入力による本人確認はCOTSデバイス上の専用ソフトウェアのみで受け入れ可能であった。
V1.1からは外付けのPOIデバイスとして様々な種類のPCI PTS認定デバイスが許可されるようになり、COTSデバイス上の専用ソフトウェアでのPIN入力の受け入れだけでなく、外付けPOIデバイス側でのPIN入力の受け入れもできるようになる。
この変更によりデバイスの選択肢が拡大し、店舗では利用シーンや顧客ニーズに応じて適切なデバイスを選択することができる。
PCI MPoC v1.0.1からv1.1におけるPIN入力の変化
②MPoC SDKの統合に関する変更
PCI MPoC v1.0.1では2つのMPoC SDKが1つのアプリケーションに組み込まれている場合に、それぞれのMPoC SDKは完全に分離されている必要があった。v1.1からはある1つのMPoC SDKに別のMPoC SDKを統合し、1つのSDKとしてアプリケーションに組み込むことができるようになった。
また、決済機能を持つMPoC SDKの統合はPCI MPoCラボ[3]による検証・評価が必要となるが、例えば交通チケットの読み取り機能等、MPoCと直接関係のない機能を持つMPoC SDKの統合であれば、ベンダー自身により適切に統合が行われているかの検証・評価を行うことが可能となる。
これらの変更により、より豊富な機能を持つアプリケーションの構築や、開発効率の向上が見込まれる。
その他にも、要求が厳しすぎる一部の鍵管理要件の削除等、準拠対象事業者の負担を軽減する変更が行われる予定であることが解説された。
本稿を執筆した2024年10月現在、PCI SSCのサイト上では11個のPCI MPoCソリューションが認定されている。今回の変更が既存のPCI MPoC基準の柔軟性の向上や準拠ベンダーの負荷軽減を図るものであることから、ソリューションベンダーとしては参入障壁が下がり、今後は更に認定ソリューションが増えていくことが考えられる。また、MPoCソリューションは従来の決済端末やPOSに比べコストが低く、導入にかかる期間も短縮できる。今回の変更により店舗の利用シーンやシステムの特性に合わせた様々な選択肢が広がるため、今まで現金のみ受け入れていた中小加盟店での利用や、特定の混雑する時間帯に、より多くの決済を受け入れることを目的とした大規模加盟店における追加の決済端末としての利用など、市場規模の拡大が予測される。
3.フィッシング耐性のある認証要素
近年、フィッシングの脅威が拡大している。
フィッシング対策の一つとしてMFA(多要素認証)を使用する選択肢がある。2022年3月31日に公開されたPCI DSS v4.0では、従業員をフィッシングから守るための要件の一つとして、要件8.4.2「全てのCDE[4]へのコンソール以外の全てのアクセスにMFAを実装すること[5]」が新規要件として追加された。
一方で、フィッシングサイトにOTP(ワンタイムパスワード)を入力させる画面を表示させ、ユーザからID/PWと共にOTPを盗み取り、リアルタイムで当該OTPを使用することで不正ログインをするリアルタイムフィッシング等、巧妙化した手口により、MFAを利用していたとしても必ずしも安全とは言えなくなってきている。
これらのリスクを踏まえ、Andrew Jamieson氏の講演ではフィッシングに強い認証要素を利用することを強く推奨しており、その例としてFIDO認証を取り上げた。
FIDO認証とは、パスワードを使用しない認証技術の一つで、公開鍵暗号方式を利用した認証と、ユーザが所持するデバイスの確認を組み合わせた仕組みである。
具体的には、ユーザが認証要求を行うとサーバからランダムな文字列が送信され、署名が求められる。ユーザは自身のデバイスに保存された秘密鍵で署名を行い、その結果をサーバ側に送る。サーバ側では、保存している公開鍵を用いて検証を行い、成功した場合にログインが許可される仕組みである。この際、ユーザ側では、秘密鍵を使用するための本人確認としてデバイス上で生体認証等の手段が使われる。
FIDO認証の仕組みはユーザとサーバ間で認証情報を共有しないため、攻撃者により認証情報を取得されるリスクが低減される。
FIDO認証の仕組み
2024年6月11日に公開されたPCI DSSv4.0.1(2024年10月時点での最新バージョン)では、要件8.4.2について、「フィッシング耐性のある認証要素でのみ認証されるユーザアカウントにはMFA実装の要求が適用されない」ことが注記として追加された。FIDO認証が実装されていれば、PCI DSSの新バージョン対応において実装に時間がかかっている事業体が多い要件8.4.2の対応を不要とすることができる。
Andrew Jamieson氏は、「可能な限りフィッシング耐性のある認証要素に更新することを検討してください」と述べた。
なお、秘密鍵をクラウド上に保管して複数の端末間で同期ができる「同期パスキー」については、執筆時点において、PCI SSCは正式な意見を出していない。PCI SSCの公式サイトからダウンロードが可能な「MFAに関する認証ガイダンス(Multi-Factor-Authentication-Guidance)」も、その内容がPCI DSS v4.xの多要素認証の要件と一致していないという理由で2024年10月現在はアーカイブされており、2025年に利用可能となることが記載されている。
2024年4月22日に公表されたNIST SP 800-63の第三版への補足文書では、(同期)パスキーが一定条件下で認証手段として利用できるようになった。これを踏まえ、今後公開予定の認証ガイダンスでは、同期パスキー等の同期可能な認証情報に関する解説が含まれることを期待する。
※パスキーの導入におけるポイントや、NIST SP 800-63の第三版への補足文書におけるパスキーに関する解説は過去記事を参照いただきたい。
パスキーとは?|多くの企業が導入を進めるユーザ認証を最適化する仕組み
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63B-3」にパスキーが登場
4.DORAとPCI DSSの関係性
DORA(デジタルオペレーションレジリエンス法)とは、2023年1月に発効した欧州における規制であり、金融機関がICT関連のインシデントに対する耐性を強化することを目的としている。EU内に拠点を置く金融機関や、その金融機関にサービスを提供するサービスプロバイダが規制対象であり、2025年1月までに準拠が必要となる。
DORAでは、①ICTリスク管理、②ICT関連インシデント報告、③デジタル運用のレジリエンステスト、④ICTサードパーティのリスク管理、⑤情報共有の5つの要件が求められている。Christopher Kristes氏及びChristian Schwarts氏による講演では、この5つの要件のうち、②ICT関連インシデント報告及び③デジタル運用のレジリエンステストについて、以下の通りPCI DSS要件との比較を行った。
ICT関連インシデント報告におけるPCI DSSとDORAの比較
デジタル運用のレジリエンステストにおけるPCI DSSとDORAの比較
上記の通り、PCI DSSに比べDORAのスコープは広く、かつ方法や時間枠、閾値などより細かい指定がされているため、PCI DSS準拠をしていることでDORAの要件を完全に満たすことはできない。一方でPCI DSSとDORAのそれぞれで求められる要件を満たすことにより相乗効果を生む可能性がある。
例えば、DORAの「ICT関連インシデント報告」への対応をするにあたり、PCI DSSで整備をしたインシデント対応計画や関連文書をベースラインとして利用をすることができるため、一からDORA準拠に向けて対応をするよりも円滑に進めることができる。また、PCI DSSではインシデントの分類方法について特定の定義はないものの、「インシデントの種類に応じた対応手順を整備すること」は求められている。必要以上に細かい手順の策定は不要だが、DORAで求められるインシデント分類や閾値が、PCI DSSにおけるインシデント対応手順をより詳細な手順に更新する一つの参考となる。
PCI DSSはカード情報の保護(=機密性)に重点を置いている一方で、DORAは基本的にはサイバーレジリエンスや可用性に重点を置いているため、両者を同じように捉えることは難しい。但し、それぞれを全く別のものとして取り扱うのではなく、相違点を活用することで、相乗効果として企業のセキュリティ対策を高めていくことができると考える。
おわりに
今年の欧州CMでは、PCI各基準における変更やPCI基準体系の見直しにおける柔軟性の向上、PCI基準と他の基準・規制との関連性等、目の前の技術やセキュリティ基準のみに目を向けるのではなく、未来を見据えた取り組みを実施していくことや、様々な関係者、関連する基準や規制との関わりに焦点が当てられていたように感じた。
セキュリティ対策に現状維持はない。急速に発展する決済環境やそれに伴う脅威の出現に備えて、対策を変化・強化していくためにも、関係者との継続的なコミュニケーションは重要である。これは、審査機関である我々にとっては、各種PCI基準の準拠対象事業体とのコミュニケーションに限らず、PCI SSC、他社審査機関、その他決済業界における関係者等、多岐にわたる。
決済業界のコミュニティの一員として、脅威に対するベストプラクティスの共有や新たな技術に関する議論を継続的に行うことで、決済業界のセキュリティの底上げに貢献したい。
一方で、セキュリティ対策の重要性は増加しているものの、過度に重視しすぎると、各種基準の準拠対象事業体の負荷が増大したり、システム利用者にとっては利便性が損なわれたりする恐れがある。今回の欧州CMでも一部取り上げられていたようにセキュリティ基準自体の見直しにより準拠負荷が軽減される場合もあるが、各事業体としては、各要求事項の目的をしっかりと理解し、柔軟に対応策を検討していくことも重要である。
NRIセキュアではPCI SSCの定める各種PCI基準の審査機関として、コンサルティングから審査までワンストップのサービスを提供している。また、暗号鍵の設計・運用に関する評価支援サービスや電子決済セキュリティリスク評価サービス等、PCI基準に関わらず様々なセキュリティに関するコンサルティング支援を提供している。
決済セキュリティに関する不安や課題を感じていらっしゃる場合は、ぜひご相談いただきたい。
関連サービス:PCI準拠支援サービス一覧
[1]T-mobilitatは紙製のカード、プラスチック製のICカード、スマホのアプリの3種類で利用することができる上に、片道チケットや回数券、1日券や定期券などの種類もあり、利用目的や滞在期間に応じて選択できる。
[2]PCI DSSのバージョンアップにより変更・追加された要件のうち、準拠を行う事業体に対する負担が大きいため、2025年3月31日までの猶予期間を設けられた要件。主に新規追加要件が該当する。
[3]PCI MPoCソリューションに対する評価を行う事業体を指す。
[4]Cardholder Data Environmentの略。クレジットカード情報を保存、処理、伝送するシステム、コンポーネント、人、プロセスを指す。
[5] PCI DSS v3.2.1では、「CDEへのコンソール以外の管理アクセス」へのMFAの実装が求められていたが、v4.0からは「CDEへのコンソール以外の業務アクセス」にもMFAの実装が求められるようになった。