NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:小田島 潤、以下「NRIセキュア」)は、さまざまな電子決済サービスを提供する企業を対象に、サービスのフローや機能、運用体制における情報セキュリティリスクを評価し、対策の立案を支援する「電子決済セキュリティリスク評価サービス」(以下「本サービス」)を、本日より提供します。
-
決済サービスを取り巻くセキュリティリスクと求められる対策
キャッシュレス決済の普及が進むなか、現金やクレジットカードなど従来の支払い手段に加え、スマートフォンなどの通信機器を利用した決済サービスが、あらゆる業種の企業から登場しています。加えて、現金での入金やクレジットカード支払い、または銀行口座からの自動引き落とし等、各種決済手段の紐づけ方法も多様化しており、自社のポイントプログラムなどと連携する取り組みもますます増えています(図を参照)。
一方で、システムやサービス仕様の不備を突いた不正利用など、サイバー攻撃とそれによる被害の事例が数多く報告されています。セキュリティリスクが増加・複雑化していることから、その攻撃手法や攻撃を防ぐために必要なセキュリティ対策も一様ではなくなっています。
サービスの利用者を不正利用の被害から守るためには、サービスに内在するセキュリティリスクを事前に把握し、対策を十分に施しておくことが重要です。
図:決済手段の多様化
*1 NFC: Near Field Communication の略称。非接触型ICカードリーダにICチップを内蔵したカードや端末をかざすことで決済を行う。
*2 CPM: Consumer-Presented Mode(利用者提示型)の略称。消費者側が専用アプリ上に表示させたQRコードやバーコードを、店舗側が読み取ることで決済を行う。
*3 MPM: Merchant-Presented Mode(店舗提示型)の略称。店舗側が提示するQRコードを消費者側が専用アプリで読み取ることで決済を行う。
-
本サービスの概要と特長
NRIセキュアは、クレジットカードやQRコード決済をはじめとした各種キャッシュレス決済、その他の金融システム全般に関するセキュリティコンサルティングや監査等で、数多くの実績を有しています。そこで培ったノウハウを活かして、キャッシュレス決済アプリケーションをはじめ、銀行ATMを介した取引や現金チャージ等も含めた、あらゆる決済サービスを対象にリスクを評価し、安全性向上に向けた具体策を提案します。
本サービスの特長は、次の2点です。
1.電子決済サービス全体の流れを考慮したリスクシナリオの作成
対象となる電子決済サービスの仕様と機能を洗い出し、全体の流れやサービスの特性を把握したうえで、リスクとなるポイントを机上で分析します。「アカウント登録」や「決済手段の紐づけ」など、サービスを構成する要素ごとに、不正操作やなりすましなど、どんな不正利用や攻撃を受ける可能性があるのか、生じうるリスクを想定し、シナリオを作成します。
2.リスクに対する評価および対策案の提示
作成したリスクシナリオをもとに、サービスを構成するスマートフォンアプリをはじめ、アカウントの登録から決済に至るまでの各機能および関連するシステム全体を対象に、現在の対策状況を踏まえてセキュリティリスクを評価します。また、システムの監視やコールセンターなどの運用状況や体制からみたリスクについても評価し、実施すべきセキュリティ対策を提示します。
そのほか、過去に発生した不正利用の事例を踏まえたサイバー攻撃の傾向や、被害発生の原因分析に基づく対策案を提示することも可能です。
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。
ご参考
-
「電子決済セキュリティリスク評価サービス」の流れ
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp