資料ダウンロード

加盟店様向けセキュリティセミナー
PCIDSS要件に学ぶセキュリティ対策について
～非保持型サービスは安全か？来るべき非通過型
サービスへのパラダイムシフトに備えて～
2015/8/18
GMOペイメントゲートウェイ株式会社
ITサービス部セキュリティグループ
齊藤元彦
アジェンダ
1. 情報セキュリティを取り巻く環境
2. 決済サービスにおけるカード情報の流れ
3. 加盟店様にてまずは取り組むべきこと
1
まず始めに
• 自社のシステムにおけるカード情報の流れを把握していますか？
カード情報を保存していませんか？
• カード情報が通過する自社システムに対して、どんなセキュリティ
対策が必要でしょうか？
• システムの構築・運用をシステム会社任せにしていませんか？どん
なセキュリティ対策がとられているか把握していますか？
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
2
1.
情報セキュリティを取り巻く環境
• 2014/4/9
WindowsXPサポート終了
• 2014/4/10
OpenSSLの脆弱性（Heartbleed）
• 2014/4/17
Apache Struts2の脆弱性
• 2014/4/27
Internet Explorer（IE）の脆弱性
• 2014/4/28
Apache Struts1の脆弱性
• 2014/5/22
IE8の脆弱性
• 2014/5/30
Adobe Flash Playerの脆弱性
• 2014/6/6
OpenSSLの脆弱性（CCS Injection）
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
3
1.
情報セキュリティを取り巻く環境
• 2014/9/25
bashの脆弱性（ShellShock）
• 2014/10/16 SSL3.0脆弱性（POODLE）
• 2014/12/11 POODLE TLSにも影響
• 2015/1/28
GNUのCライブラリ「glibc」脆弱性（GHOST）
• 2015/3/6
Windows/Windows Server脆弱性（FREAK）
• 2015/5/21
TLS脆弱性（Logjam）
• 2015/6/1
年金情報流出問題標的型攻撃
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
4
カード情報漏えい事案（2014年～）29件
No
1
2
3
4
5
6
7
8
9
10
発生/発覚時期
事業者
2014年1月 ECサイト（通販サイト）S社
2014年1月 ECサイト（通販サイト）S社
2014年1月 ECサイト（通販サイト）N社
2014年2月金融機関 Y社
2014年3月 ECサイト（食品）Y社
2014年3月出版会社 K社
2014年4月金融機関 M社
2014年4月建物関連 L社
2014年4月 ECサイト（ショッピングサイト）H社
2014年5月 ECサイト（ショッピングサイト）T社
2014年6月通信サービス B社
漏えい箇所
Webサーバ
非公開
非公開
ATM
Webサーバ
Webサーバ
Webサーバ
人的ミス
Webサーバ
サーバ
攻撃・犯行手法
パスワードリスト攻撃
不正アクセス
非公開
内部犯行（委託先）
SQLインジェクション
バックドア
OpenSSL
紛失
バックドア
バックドア
再発防止策
セキュリティ対策の強化
PCIDSS準拠、非保持タイプサービスへの切替
非公開
各種管理策の強化
リンクタイプへ変更、PCIDSS準拠
非公開
セキュリティ対策の強化
捜索、報告と謝罪
リンクタイプへ変更、PCIDSS準拠
PCIDSS準拠
データベース内部犯行（委託先）
セキュリティ対策の強化、別会社の設置
カード情報件数
24,158
94,359
非公開
52
269
1,160
894
479
560
923
48,580,000
※カード情報無
非公開
1,500
11
12
2014年8月通販サービス A社
2014年10月クレジットカード会社 U社
非公開
記憶メディア
非公開
紛失
非公開
カードの再発行、不正利用の監視強化
13
2014年10月 ECサイト（ショッピングサイト） L社
サーバ
SQLインジェクション攻撃によるWordPressの
アカウント情報の不正取得
セキュリティ対策の強化
14
15
16
17
18
19
2014年11月通販サービス N社
2014年12月 ECサイト（ショッピングサイト） N社
2015年1月 ECサイト（スポーツ） J社
2015年2月 ECサイト（ショッピングサイト） T社
2015年3月 ECサイト（食品） O社
2015年4月 ECサイト（食品） M社
Webサーバ
非公開
非公開
Webサーバ
非公開
Webサーバ
バックドア
不正アクセス
非公開
不正アクセス（暗号化済）
非公開
不正アクセス
PCIDSS準拠
非公開
非公開
非公開
非公開
リンクタイプへ変更、PCIDSS準拠
1,422
84,153
非公開
6,581
非公開
1,959
243
20
21
22
23
24
25
26
27
28
2015年4月 ECサイト（スポーツ） O社
2015年5月 ECサイト（医療） M社
2015年5月 ECサイト（健康食品） G社
2015年5月 ECサイト（アパレル） A社
2015年6月 ECサイト（ファッション） P社
2015年6月 ECサイト（食品） H社
2015年6月 ECサイト（旅行） C社
2015年6月 ECサイト（雑貨） I社
2015年7月スポーツ団体 S社
Webサーバ
非公開
非公開
非公開
非公開
非公開
非公開
サーバ
Webサーバ
不正アクセス
非公開
非公開
非公開
非公開
非公開
非公開
バックドア
不正アクセス
リンクタイプへ変更、PCIDSS準拠
非公開
非公開
非公開
非公開
非公開
非公開
PCIDSS準拠
リンクタイプへ変更、PCIDSS準拠
72
非公開
非公開
非公開
非公開
非公開
非公開
28,212
11,155
29
2015年7月 ECサイト（アパレル） N社
Webサーバ
OpenSSL
リンクタイプへ変更、PCIDSS準拠
3,701
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
5
2.
決済サービスにおけるカード情報の流れについて
自社システムにおけるカード情報の流れを把握していますか？
カード情報を自社内システムに
蓄積（保存）していますか？
NO
YES
カード情報が自社内システムを通過
（処理・送信）していますか？
YES
【保持型】
リスク：高×
PCIDSS準拠してく
ださい
【非保持型（プロトコル
・モジュール型）】
リスク：中△
通信ログにカード情報が
残っていないか要確認
NO
【非保持型（画面遷移
型）】非通過型
リスク：低○
カード情報に触れない
よう維持してください
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
6
2.
決済サービスにおけるカード情報の流れについて
違いはカード情報が加盟店システムを通過するか否かにあります
画面遷移型（リンク型）：カード情報の保存・処理・送信のいずれもなし（非通過型）
加盟店Webサイト
○Shop
○Shop
配送住所
・氏名等
入力
カートに
入れる
GMOペイメントゲートウェイ
カード番
号・有効
期限
入力
決済処理
カード会社
オーソリ
処理
モジュール・プロトコル型：カード情報の保存はないが、処理・送信はあり（通過型）
加盟店Webサイト
○Shop
カートに
入れる
○Shop
配送住所
・氏名等
入力
GMOペイメントゲートウェイ
カード会社
決済処理
オーソリ
処理
○Shop
カード番
号・有効
期限
入力
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
7
3.
加盟店様にてまずは取り組むべきこと
PCIDSS要件は、カード情報を取り扱う各社にとって欠かせない要件とな
っています。関係者によるセキュリティ防衛網を築くために、まずは最
低限の対策を実施しましょう！



GMO-PG
外部専門家（QSA（※）、コンサルタント、セキュリティ診断会社）
加盟店！！！
消費者
加盟店
事故発生
に備えて
決済代行
GMO-PG
カード会社
PCIDSS認証をとりまく
関係者は役割に応じて
外部専門家
・QSA（認定調査機関）
・コンサルタント
・セキュリティ診断会社
※QSA（Qualified Security Assessors）認定審査機関
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
8
3.
加盟店様にてまずは取り組むべきこと
①カード情報保持の有無確認（有りの場合には保持形態・
場所等の管理徹底）
②ウイルス対策（アンチウイルスソフトの定義ファイルの
取得、スキャンの実施）
③Webアプリケーション脆弱性対策（セキュリティ診断の
実施、セキュリティパッチの適用等）
※開発会社・Web製作会社等との情報連携による、自社シス
テム・データフローの把握が重要！
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
9
3.
加盟店様にてまずは取り組むべきこと
PCIDSSとは、Payment Card Industry Data Security Standardの略で、JCB・
American Express・Discover・MasterCard・VISAの国際クレジットカードブラン
ド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
10
カード情報漏えい事案（2014年～）15件は防げたはず
No
1
2
3
4
5
6
7
8
9
10
発生/発覚時期
事業者
2014年1月 ECサイト（通販サイト）S社
2014年1月 ECサイト（通販サイト）S社
2014年1月 ECサイト（通販サイト）N社
2014年2月金融機関 Y社
2014年3月 ECサイト（食品）Y社
2014年3月出版会社 K社
2014年4月金融機関 M社
2014年4月建物関連 L社
2014年4月 ECサイト（ショッピングサイト）H社
2014年5月 ECサイト（ショッピングサイト）T社
2014年6月通信サービス B社
漏えい箇所
Webサーバ
非公開
非公開
ATM
Webサーバ
Webサーバ
Webサーバ
人的ミス
Webサーバ
サーバ
攻撃・犯行手法
パスワードリスト攻撃
不正アクセス
非公開
内部犯行（委託先）
SQLインジェクション
バックドア
OpenSSL
紛失
バックドア
バックドア
再発防止策
セキュリティ対策の強化
PCIDSS準拠、非保持タイプサービスへの切替
非公開
各種管理策の強化
リンクタイプへ変更、PCIDSS準拠
非公開
セキュリティ対策の強化
捜索、報告と謝罪
リンクタイプへ変更、PCIDSS準拠
PCIDSS準拠
データベース内部犯行（委託先）
セキュリティ対策の強化、別会社の設置
カード情報件数
24,158
94,359
非公開
52
269
1,160
894
479
560
923
48,580,000
※カード情報無
非公開
1,500
11
12
2014年8月通販サービス A社
2014年10月クレジットカード会社 U社
非公開
記憶メディア
非公開
紛失
非公開
カードの再発行、不正利用の監視強化
13
2014年10月 ECサイト（ショッピングサイト） L社
サーバ
SQLインジェクション攻撃によるWordPressの
アカウント情報の不正取得
セキュリティ対策の強化
14
15
16
17
18
19
2014年11月通販サービス N社
2014年12月 ECサイト（ショッピングサイト） N社
2015年1月 ECサイト（スポーツ） J社
2015年2月 ECサイト（ショッピングサイト） T社
2015年3月 ECサイト（食品） O社
2015年4月 ECサイト（食品） M社
Webサーバ
非公開
非公開
Webサーバ
非公開
Webサーバ
バックドア
不正アクセス
非公開
不正アクセス（暗号化済）
非公開
不正アクセス
PCIDSS準拠
非公開
非公開
非公開
非公開
リンクタイプへ変更、PCIDSS準拠
1,422
84,153
非公開
6,581
非公開
1,959
243
20
21
22
23
24
25
26
27
28
2015年4月 ECサイト（スポーツ） O社
2015年5月 ECサイト（医療） M社
2015年5月 ECサイト（健康食品） G社
2015年5月 ECサイト（アパレル） A社
2015年6月 ECサイト（ファッション） P社
2015年6月 ECサイト（食品） H社
2015年6月 ECサイト（旅行） C社
2015年6月 ECサイト（雑貨） I社
2015年7月スポーツ団体 S社
Webサーバ
非公開
非公開
非公開
非公開
非公開
非公開
サーバ
Webサーバ
不正アクセス
非公開
非公開
非公開
非公開
非公開
非公開
バックドア
不正アクセス
リンクタイプへ変更、PCIDSS準拠
非公開
非公開
非公開
非公開
非公開
非公開
PCIDSS準拠
リンクタイプへ変更、PCIDSS準拠
72
非公開
非公開
非公開
非公開
非公開
非公開
28,212
11,155
29
2015年7月 ECサイト（アパレル） N社
Webサーバ
OpenSSL
リンクタイプへ変更、PCIDSS準拠
3,701
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
11
参考までに
GMO-PGでは、PCIDSS要件に沿った脆弱性対策・セキュリテ
ィ診断を実施しています。
・脆弱性確認会議
月次
【外部公開セグメント】
・脆弱性スキャン四半期に1回
・ペネトレーションテスト
年1回
【内部セグメント】
Internet
重要度の高い脆弱性については即時検討のうえ、対応を行っ
ています。
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
12
参考までに
トークン決済のご案内
GMO-PGが提供するトークン決済であれば、カード情報が平
文のまま加盟店様システムを通過することはありません。
kf430943ggiog8543wjv4jij
・加盟店サイトの書き換え
・フィッシング
・（会員ID決済の場合）
なりすまし防止
の対応は必要。
xxxx-1234-5678-9012
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
13
終わりに
• 自社のシステムにおけるカード情報の流れを把握していますか？
カード情報を保存していませんか？
• カード情報が通過する自社システムに対して、どんなセキュリティ
対策が必要でしょうか？
• システムの構築・運用をシステム会社任せにしていませんか？どん
なセキュリティ対策がとられているか把握していますか？
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
14
最後までご静聴いただき、
ありがとうございました。
ITサービス部セキュリティグループ
齊藤元彦
[email protected]
03-3464-2342
http://www.gmo-pg.com/seminar_report/140708
Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved.
15

Download Report