クレジット業界のセキュリティ基準「PCI DSS」は安全なのか（後編）

前編でも解説したが、2017年3月にApache Struts2の重大な脆弱性をついた大規模な不正アクセスがあり、東京都税サイト、住宅金融支援機構サイトから、合計約40万件のクレジットカード情報が流出した。両サイトは、いずれも国内最大の決済代行事業者であるGMOペイメントゲートウェイ社（以下GMO-PG）が受託運営しているものだった。

手間も時間もかかるPCI DSS準拠

関係者に衝撃を与えたのは、流出したカード情報の件数の多さもさることながら、いずれのサイトもPCI DSSに完全準拠をしていたということである。PCI DSSの要件は大まかには以下の6つであるが、これらがさらに細かく分かれ、約400項目の技術的かつ具体的な要求事項により構成されている。

・安全なネットワークの構築
・カード会員情報の保護
・脆弱性管理プログラムの整備
・アクセス制御方法の導入
・ネットワークの定期的な検査
・セキュリティポリシーの制定

GMO-PGのようなPSP（ペイメントサービスプロバイダ）といわれている業態では、国際ブランドや行政の指針により外部の認定セキュリティ評価機関（QSA）の年次監査が義務付けられている。

PSP以外にも日本政府は2020年の東京五輪開催を控え、クレジット取引のセキュリティを国際標準に近づけるための施策の一つとして、このPCI DSS準拠を推し進めている。2018年3月までにECサイトなど非対面加盟店が、2020年3月までにはPOS取引など対面加盟店が、カード情報非保持またはPCI DSSに準拠することを要請されている。

カード情報非保持が選択できず、PCI DSS準拠をする場合は、ECサイトやPOS加盟店にとって簡単なことではない。手間も時間もお金もかかる。

「一般に、 PCI DSSに準拠する場合は、どんなに早くても半年、通常は約1年程度の期間を要します」（ｆｊコンサルティング、瀬田陽介CEO）。そこまで手間暇をかけてPCI DSSに準拠をすれば、もうカード情報保護は問題なし、と考えたとしても不思議ではない。ところが、今回、完全準拠のサイトから大規模なカード情報流出事件が起きてしまった。莫大な費用をかけて準拠するPCI DSSそのものに意味がないのではないか？　と考えてしまう加盟店が出てきてもおかしくない。

PCI DSSに準拠すれば安全なのか？

「PCI DSSが絶対に安全であるという考える方は、改めるべきです」（瀬田氏）。最もPCI DSSが普及する米国では、完全準拠しながらカード情報が流出する事件が多数起きているという。「米国では、2010年ごろからPCI DSSはカード情報保護のための最低限の基準であり、準拠した上に、進化するサイバー攻撃に備え、PCI DSS以上のセキュリティを講じなければならないという考え方が一般化しています」。

GMO-PGの再発防止委員会が公表した「不正アクセスによる情報流出に関する調査報告書 （2017年4月30日）」に記載されている再発防止策には、PCI DSS以上のセキュリティを実現するヒントが載っている。まずは「データ隠蔽対策（重要情報のマスク化等による非保持化）」である。PCI DSSでは、その要求事項を満たせば、16桁のカード番号（PAN）をデータベースに保存することが認められている。

しかし正規のPANが保存されているから大規模な流出事件を招くという側面がある。PANの一定桁数以上を判読不能措置とするトランケーションや、別の番号に置き換えるトークナイゼイションなどの処理により、事件発生の際もその規模を小さくすることができる。EC加盟店では、現在では大半がカード情報をデータベースに保存していない形態をとっている。しかし大型の対面加盟店やPSP（決済代行事業者）／プロセッサなどのカード情報の処理事業者では大半が保存している。この期に正規のPANが本当にそこにないと業務が回らないかを見直すきっかけとなることを期待する。

また「データ持ち出し抑止（出口対策）の改善対策」という点も有効である。攻撃者は、まずはソフトウェア脆弱性をつき、外部に通信が可能なサーバにマルウェアを設置する。そしてそれらをコントロール配下に置き、機密性の高い情報を外部に送信するという手口が多い。その際の出口対策が有効であれば、外部へのデータ持ち出しが防げるかもしれない。例えばWebサーバがインターネットに対して必要な宛先IPアドレスに、必要なポート番号だけファイアウォールで空けている状態にすれば、外部の知らないサーバに対して通信し、コントロール配下に置かれる可能性は低い。また仮にそれらの通信が発生した場合にサンドボックス型のセキュリティ機器が設置されていれば、不正に外部に送信された段階で検知や遮断できる可能性がある。

「とはいえ、このような追加のセキュリティ措置を施すことは、さらに費用や人手が必要になります。例えば、サンドボックス型のセキュリティ機器の導入はPCI DSSでは要件になっていないため、かえって導入の決断がしづらいという側面があるかも知れません」（瀬田氏）。PCI DSSという基準があるために、追加のセキュリティ措置に対する投資判断がかえって抑制されてしまっているという現実があるのではないかと瀬田氏は指摘する。

足りないセキュリティエンジニア

もうひとつは、現場の人材不足の問題も大きいという。どの企業でも、セキュリティ関連の要員が潤沢に配置されているとは言えない。昨今セキュリティ人材が極端に不足しているうえに、売上の向上に直接結びつかないセキュリティの体制強化にコストをかけるのをためらう経営者は多い。そのためセキュリティ要員は、日々のチェック作業などルーチン業務をこなすだけでいっぱいいっぱいになっている状況がある。 セキュリティエンジニアとしては、インシデント発生は何としても回避したいという思いもあるが、セキュリティ投資について経営者に定量的に説明することは難しい。投資の判断がなされなければ、多くの場合、そこで顕在化した追加のリスクに対して人的な運用によってカバーするということになる。

「エンジニアとしては、必要だと思ってセキュリティの追加措置を提案しても、結局限られた体制の中で自分たちの負荷が増えてしまいます。多くの企業で、人員不足の中で自らの超過労働とのトレードオフにより、顕在化したリスクに対して、提案すら躊躇する深刻な現実があります」（瀬田氏）。

絶対安全な基準はない

「2010年前後に米国でPCI DSS準拠の義務化が州法で定められ始めたことがあります。その際は複数の州で次々と採用され始め、のちには連邦法になると思われていました。しかし、PCI DSS準拠企業で度々カード情報を含む個人情報が流出する事件が起き、PCI SSCはこの法制化による推進が必ずしも正しくないと考えました。その後追随する州はありませんでした」（瀬田氏）。法律により義務化をしたため、準拠さえすれば義務は果たせた、という考え方が広がってしまい、かえって追加のセキュリティ施策の判断が鈍ってしまった。

「航空や医療など人の命に関わる安全に対しては、法定または業界が規制する最低基準をクリアした上で、各自がさらに安全度を高める工夫をしています。その新たな安全対策は、必ずしも顧客の増加や売上単価の向上は生みません。しかし、それらを投資対効果だけで判断し対策を見送れば、ひと度インシデントが発生した時、顧客からの信頼を大きく失います。そして、それらの企業は批判と存続の危機に晒されます」（瀬田氏）。

カード情報の保護も顧客との信頼関係という側面では同じである。政府指針にもあるようにPCI DSS準拠を含むカード情報保護は、法律遵守の観点から最低限やるべきことである。その上で変化する情勢に対応する追加の施策を自ら考え講じていくという事を決して忘れてはいけない。（牧野 武文氏：2017/6/8）

この記事をオリジナルサイトで読む



記事提供元：THE ZERO/ONE　https://the01.jp/ 『THE ZERO/ONE（ザ・ゼロワン）』は、ハッカーとジャーナリストが創るサイバーセキュリティ情報に特化したオンライン・メディアです。頻発するサイバー空間のインシデントに関する独自分析、自社調査による0day情報をタイムリーにお届けします。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス