決済代行のクレジットカード情報非保持化サービスは安心か? | PCI DSS Ready Cloud

2014.01.20

決済代行のクレジットカード情報非保持化サービスは安心か?

  • このエントリーをはてなブックマークに追加
最新のPCI DSS準拠に関するお問い合わせや、当社のサービス資料ご希望の方は、下記フォームより承ります。

btn_top_info_on

増え続けるクレジットカード会員データの漏えい事件

今やインターネット加盟店のクレジットカード決済では、決済代行のカード情報非保持サービスの利用が常識となっている。カード情報非保持サービスとは、クレジットカード会員データ(カード会員番号、有効期限、カード会員名)を加盟店側のサーバには一切保存しない仕組みである。加盟店にはカード会員データが保存されていないということなので、情報漏えい事件が起きにくいということになる。割賦販売法に定められる認定割賦販売協会の位置付けである一般社団法人日本クレジット協会(JCA)もPCI DSS準拠推進の実行計画の中で、加盟店にカード情報非保持について推奨している。

果たして本当に安全なのだろうか?2013年は非常にクレジットカード会員データの漏えい事件が多い年であった。そのうちの漏えい件数が大規模な事件に、まだまだSQLインジェクション攻撃によるものが含まれる。この手口は、Webアプリケーションの脆弱性がある場合に、WebのURLからデータベースサーバに対して、不正なコマンドを発行し、保存されているデータを抜き盗るという手法である。古くから警鐘がなされている攻撃手法になるが、未だに被害はなくならない。カード会員データが非保持の場合、この攻撃手法では漏えい事件になる可能性は少なく、仮に起きたとしても過去のカード会員データを保存していないので大規模なカード情報漏えい事件にはなりにくいと考える。

クレジットカード情報の非保持化 サービスの2つの形態

非保持にも2つの形があるのをご存知であろうか。

1)リンク型(通称)
加盟店側で買い物方法としてカード決済を選択すると、カード会員データの入力画面に切り替わる。この画面は既に決済代行事業者のサーバに遷移しており、カード会員データは加盟店側のサーバで伝送も処理も保存もされない。

2)モジュール型(通称)
加盟店側で買い物方法としてカード決済を選択すると、そのサイト内の画面遷移でカード会員データの入力画面に切り替わる。加盟店のWebサーバやアプリケーションサーバにインストールされたモジュールを通じて決済代行事業者にオーソリ情報を伝送、処理する。決済処理後にカード会員データは加盟店側には保存されない。

クレジットカード情報の非保持化 サービス利用のメリット、デメリット

1)リンク型は、加盟店側のサーバでは、カード会員データを一切取り扱わないので比較して漏えい事件の発生は低いと言われている。(ただし、実際に漏えい事件は発生している。)よって情報漏えいリスクの対策の観点だけを言えばリンク型が間違いなく推奨される。一方で決済時に切り替わる画面のイメージや実際のURL上のドメインが今まで買い物していたサイトと異なるものになる。一見すると動きはフィッシングサイトに飛ばされたと誤解する買い物客もいるかも知れない。よって、せっかく加盟店で商品を選択し、購入の意思のある消費者が、この誤解によりドロップ(=買い物しない)してしまう可能性があると言われている。加盟店にとっては売上機会の損失となると懸念があることから、たとえ安全な方式であるとわかっていても積極的に選択しないという傾向が強い。

従って一定の売上規模を持つECサイト(インターネット加盟店)のほとんどは、モジュール型を選択していると言われている。この方式は購入時のユーザインターフェースは、自社でカード情報を保有している形態と全く同じにすることができる。決済時のURLのドメイン名も決済代行事業者のものは表示されず、買い物していたサイトと同じものとなる。従ってリンク型のような加盟店側の売上機会の損失の懸念はなくなる。

一方でセキュリティ面ではどうであろうか。モジュール型は、前述の通り加盟店側のWebサーバやアプリケーションサーバをカード会員データが通過することになるため、リンク型と比較してカード会員データの漏えいリスクが高い。例えばそれらのサーバにバックドア(裏口)を仕掛けられて、決済代行事業者に投げる正規のオーソリ(承認)の通信と同時に不正なサーバにカード会員データを送られてしまうという手口が考えられる。SQLインジェクション攻撃と違い、1回で大量にデータを抜かれることはないが、長い期間にわたって少ない件数のデータが漏えいし続ける事件が多い。

非保持化サービスを利用しての運用もPCI DSS が免責されるわけではない

決済代行事業者から非保持サービスを受けていれば安心、もしくはPCI DSSが免責されるという誤解をしている加盟店が多い。上記の状況を勘案すると安全だとは言えないはずである。実際のカード情報漏えい事件のいくつかは、この非保持サービスを選択している加盟店からも起きている。またPCI DSSを発行しているPCI SSCからは、インターネット加盟店が非保持サービスを利用している場合向けの特別な自己問診プログラムも用意されているので、PCI DSS自体が免責というのは明らかな誤解である。

非保持サービスの導入については、積極的に進めていくべきである。非保持サービスが進めば、漏えい件数が大規模な事件は、減少していくはずである。しかし、非保持サービスを導入するだけで安心というインターネット加盟店の誤解は同時に解いていかなければならない。非保持サービスを選択しても、前述の通りリンク型なのかモジュール型なのかでリスクが変わる。特にモジュール型を選択した場合は、PCI DSSの自己問診票のタイプCにあるとおり約80項目のセキュリティ管理策が最低限必要であるという認識を持つ必要がある。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加