高値で取引?日本のクレジットカード情報とそのセキュリティ
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月14日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・クレジットカードのセキュリティ基準「PCIDSS」
・クレジットカード所有者側で出来るセキュリティ対策とは?
今回の解説ニュース
ダークウェブで販売されているクレジットカード情報について調査されており、日本のクレジットカードが世界で最も高価であったと発表されています。事業者がクレジットカード情報を取り扱う際のセキュリティ基準や、個人がクレジットカード情報を漏洩させないために、セキュリティで気を付けるべきポイントについて説明します。
今回の調査によると、ダークウェブで販売されている日本のクレジットカード価格は114.25円から8,568.64円まで幅があり、全体の平均価格は4,905.89円であったということです。世界平均価格は1102.09円ということで、日本のクレジットカードは世界で最も高価であったことがわかります。
また、ダークウェブ上にある4,481,379件の売買カード情報のうち1,561,739件がアメリカ人の所有するもので、次いでオーストラリアが419,806件、日本は7,049件であったということです。
クレジットカードのセキュリティ基準「PCIDSS」
クレジットカード情報を取り扱う日本や世界の事業者は、その取引量に応じてクレジットカード業界の統一されたセキュリティ基準であるPCIDSSに準拠する必要があります。よって、世界のクレジットカード情報は本来一定のセキュリティレベルで守られているはずですが、実体としてはレベル差があるようです。
PCIDSSとは、Payment Card Industry Data Security Standardの略で、クレジットカード業界のセキュリティ基準です。元々は各ブランドごとのセキュリティ要件を満たす必要がありましたが、現在はPCIDSSによって世界的に統一されています。PCIDSSの認定取得は「訪問審査」「サイトスキャン」「自己問診」の3つの方法で行われます。これら3つの方法は、どれか1つだけ行えばいいというわけではなく、クレジットカード情報の取り扱い規模や事業形態によって、複数実施する必要があります。
訪問審査は、認定された審査機関の訪問によって、問題がないことの確認を受けます。クレジットカード情報の取扱い規模が大きい事業者に求められる方法です。サイトスキャンは、認定された審査機関のスキャンツールによって、四半期に1回以上の診断で脆弱性がないことの確認を受けます。クレジットカード情報の取り扱うシステムをインターネットに接続している事業者には必須の方法です。自己問診は、アンケート形式によるチェック項目に回答して、すべて「Yes」であることを確認します。クレジットカード情報の取扱い件数が少ない事業者向けの方法です。
このような状況で、事業者によってセキュリティレベルのバラつきが生じてしまうのは、自己問診などで内容を正しく理解できておらず、誤った認識でクレジットカード情報を取り扱っていることも考えられます。
その他のトピック
クレジットカード所有者側で出来るセキュリティ対策とは?(全文はこちら)