＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内

Size: px

Start display at page:

Download "＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内"

かずひろえんの
5 years ago
Views:

1 加盟店様向けセキュリティセミナー PCIDSS 要件に学ぶセキュリティ対策について ~ 非保持型サービスは安全か? 来るべき非通過型サービスへのパラダイムシフトに備えて~ 2015/8/18 GMOペイメントゲートウェイ株式会社 ITサービス部セキュリティグループ齊藤元彦

2 アジェンダ 1. 情報セキュリティを取り巻く環境 2. 決済サービスにおけるカード情報の流れ 3. 加盟店様にてまずは取り組むべきこと 1

3 まず始めに自社のシステムにおけるカード情報の流れを把握していますか? カード情報を保存していませんか? カード情報が通過する自社システムに対してどんなセキュリティ対策が必要でしょうか? システムの構築運用をシステム会社任せにしていませんか? どんなセキュリティ対策がとられているか把握していますか? Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 2

4 1. 情報セキュリティを取り巻く環境 2014/4/9 WindowsXPサポート終了 2014/4/10 OpenSSLの脆弱性 (Heartbleed) 2014/4/17 Apache Struts2の脆弱性 2014/4/27 Internet Explorer(IE) の脆弱性 2014/4/28 Apache Struts1の脆弱性 2014/5/22 IE8の脆弱性 2014/5/30 Adobe Flash Playerの脆弱性 2014/6/6 OpenSSLの脆弱性 (CCS Injection) Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 3

5 1. 情報セキュリティを取り巻く環境 2014/9/25 bashの脆弱性 (ShellShock) 2014/10/16 SSL3.0 脆弱性 (POODLE) 2014/12/11 POODLE TLSにも影響 2015/1/28 GNUのCライブラリ glibc 脆弱性(GHOST) 2015/3/6 Windows/Windows Server 脆弱性 (FREAK) 2015/5/21 TLS 脆弱性 (Logjam) 2015/6/1 年金情報流出問題標的型攻撃 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 4

6 カード情報漏えい事案 (2014 年 ~)29 件 No 発生 / 発覚時期事業者漏えい箇所攻撃犯行手法再発防止策カード情報件数年 1 月 ECサイト ( 通販サイト )S 社 Webサーバパスワードリスト攻撃セキュリティ対策の強化 24, 年 1 月 ECサイト ( 通販サイト )S 社非公開不正アクセス PCIDSS 準拠非保持タイプサービスへの切替 94, 年 1 月 ECサイト ( 通販サイト )N 社非公開非公開非公開非公開年 2 月金融機関 Y 社 ATM 内部犯行 ( 委託先 ) 各種管理策の強化年 3 月 ECサイト ( 食品 )Y 社 Webサーバ SQLインジェクションリンクタイプへ変更 PCIDSS 準拠年 3 月出版会社 K 社 Webサーババックドア非公開 1, 年 4 月金融機関 M 社 Webサーバ OpenSSL セキュリティ対策の強化年 4 月建物関連 L 社人的ミス紛失捜索報告と謝罪年 4 月 ECサイト ( ショッピングサイト )H 社 Webサーババックドアリンクタイプへ変更 PCIDSS 準拠年 5 月 ECサイト ( ショッピングサイト )T 社サーババックドア PCIDSS 準拠年 6 月通信サービス B 社データベース内部犯行 ( 委託先 ) セキュリティ対策の強化別会社の設置 48,580,000 カード情報無年 8 月通販サービス A 社非公開非公開非公開非公開年 10 月クレジットカード会社 U 社記憶メディア紛失カードの再発行不正利用の監視強化 1, 年 10 月 EC サイト ( ショッピングサイト ) L 社サーバ SQL インジェクション攻撃による WordPress のアカウント情報の不正取得セキュリティ対策の強化年 11 月通販サービス N 社 Webサーババックドア PCIDSS 準拠 1, 年 12 月 ECサイト ( ショッピングサイト ) N 社非公開不正アクセス非公開 84, 年 1 月 ECサイト ( スポーツ ) J 社非公開非公開非公開非公開年 2 月 ECサイト ( ショッピングサイト ) T 社 Webサーバ不正アクセス ( 暗号化済 ) 非公開 6, 年 3 月 ECサイト ( 食品 ) O 社非公開非公開非公開非公開年 4 月 ECサイト ( 食品 ) M 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠 1, 年 4 月 ECサイト ( スポーツ ) O 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠年 5 月 ECサイト ( 医療 ) M 社非公開非公開非公開非公開年 5 月 ECサイト ( 健康食品 ) G 社非公開非公開非公開非公開年 5 月 ECサイト ( アパレル ) A 社非公開非公開非公開非公開年 6 月 ECサイト ( ファッション ) P 社非公開非公開非公開非公開年 6 月 ECサイト ( 食品 ) H 社非公開非公開非公開非公開年 6 月 ECサイト ( 旅行 ) C 社非公開非公開非公開非公開年 6 月 ECサイト ( 雑貨 ) I 社サーババックドア PCIDSS 準拠 28, 年 7 月スポーツ団体 S 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠 11, 年 7 月 EC サイト ( アパレル ) N 社 Web サーバ OpenSSL リンクタイプへ変更 PCIDSS 準拠 3,701 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 5

7 2. 決済サービスにおけるカード情報の流れについて自社システムにおけるカード情報の流れを把握していますか? カード情報を自社内システムに蓄積 ( 保存 ) していますか? NO YES カード情報が自社内システムを通過 ( 処理送信 ) していますか? YES NO 保持型リスク : 高 PCIDSS 準拠してください非保持型 ( プロトコルモジュール型 ) リスク : 中通信ログにカード情報が残っていないか要確認非保持型 ( 画面遷移型 ) 非通過型リスク : 低カード情報に触れないよう維持してください Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 6

8 2. 決済サービスにおけるカード情報の流れについて違いはカード情報が加盟店システムを通過するか否かにあります画面遷移型 ( リンク型 ): カード情報の保存処理送信のいずれもなし ( 非通過型 ) 加盟店 Web サイト GMO ペイメントゲートウェイカード会社 Shop カートに入れる Shop 配送住所氏名等入力カード番号有効期限入力決済処理オーソリ処理モジュールプロトコル型 : カード情報の保存はないが処理送信はあり ( 通過型 ) 加盟店 Web サイト GMO ペイメントゲートウェイカード会社 Shop カートに入れる Shop 配送住所氏名等入力 Shop カード番号有効期限入力決済処理オーソリ処理 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 7

9 3. 加盟店様にてまずは取り組むべきこと PCIDSS 要件はカード情報を取り扱う各社にとって欠かせない要件となっています関係者によるセキュリティ防衛網を築くためにまずは最低限の対策を実施しましょう! GMO-PG 外部専門家 (QSA( ) コンサルタントセキュリティ診断会社 ) 加盟店!!! 消費者加盟店決済代行 GMO-PG カード会社事故発生に備えて外部専門家 PCIDSS 認証をとりまく関係者は役割に応じて QSA( 認定調査機関 ) コンサルタントセキュリティ診断会社 QSA(Qualified Security Assessors) 認定審査機関 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 8

10 3. 加盟店様にてまずは取り組むべきこと 1 カード情報保持の有無確認 ( 有りの場合には保持形態場所等の管理徹底 ) 2 ウイルス対策 ( アンチウイルスソフトの定義ファイルの取得スキャンの実施 ) 3Web アプリケーション脆弱性対策 ( セキュリティ診断の実施セキュリティパッチの適用等 ) 開発会社 Web 製作会社等との情報連携による自社システムデータフローの把握が重要! Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 9

11 3. 加盟店様にてまずは取り組むべきこと PCIDSS とは Payment Card Industry Data Security Standard の略で JCB American Express Discover MasterCard VISA の国際クレジットカードブランド 5 社が共同で策定したクレジット業界におけるグローバルセキュリティ基準 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 10

12 カード情報漏えい事案 (2014 年 ~)15 件は防げたはず No 発生 / 発覚時期事業者漏えい箇所攻撃犯行手法再発防止策カード情報件数年 1 月 ECサイト ( 通販サイト )S 社 Webサーバパスワードリスト攻撃セキュリティ対策の強化 24, 年 1 月 ECサイト ( 通販サイト )S 社非公開不正アクセス PCIDSS 準拠非保持タイプサービスへの切替 94, 年 1 月 ECサイト ( 通販サイト )N 社非公開非公開非公開非公開年 2 月金融機関 Y 社 ATM 内部犯行 ( 委託先 ) 各種管理策の強化年 3 月 ECサイト ( 食品 )Y 社 Webサーバ SQLインジェクションリンクタイプへ変更 PCIDSS 準拠年 3 月出版会社 K 社 Webサーババックドア非公開 1, 年 4 月金融機関 M 社 Webサーバ OpenSSL セキュリティ対策の強化年 4 月建物関連 L 社人的ミス紛失捜索報告と謝罪年 4 月 ECサイト ( ショッピングサイト )H 社 Webサーババックドアリンクタイプへ変更 PCIDSS 準拠年 5 月 ECサイト ( ショッピングサイト )T 社サーババックドア PCIDSS 準拠年 6 月通信サービス B 社データベース内部犯行 ( 委託先 ) セキュリティ対策の強化別会社の設置 48,580,000 カード情報無年 8 月通販サービス A 社非公開非公開非公開非公開年 10 月クレジットカード会社 U 社記憶メディア紛失カードの再発行不正利用の監視強化 1, 年 10 月 EC サイト ( ショッピングサイト ) L 社サーバ SQL インジェクション攻撃による WordPress のアカウント情報の不正取得セキュリティ対策の強化年 11 月通販サービス N 社 Webサーババックドア PCIDSS 準拠 1, 年 12 月 ECサイト ( ショッピングサイト ) N 社非公開不正アクセス非公開 84, 年 1 月 ECサイト ( スポーツ ) J 社非公開非公開非公開非公開年 2 月 ECサイト ( ショッピングサイト ) T 社 Webサーバ不正アクセス ( 暗号化済 ) 非公開 6, 年 3 月 ECサイト ( 食品 ) O 社非公開非公開非公開非公開年 4 月 ECサイト ( 食品 ) M 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠 1, 年 4 月 ECサイト ( スポーツ ) O 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠年 5 月 ECサイト ( 医療 ) M 社非公開非公開非公開非公開年 5 月 ECサイト ( 健康食品 ) G 社非公開非公開非公開非公開年 5 月 ECサイト ( アパレル ) A 社非公開非公開非公開非公開年 6 月 ECサイト ( ファッション ) P 社非公開非公開非公開非公開年 6 月 ECサイト ( 食品 ) H 社非公開非公開非公開非公開年 6 月 ECサイト ( 旅行 ) C 社非公開非公開非公開非公開年 6 月 ECサイト ( 雑貨 ) I 社サーババックドア PCIDSS 準拠 28, 年 7 月スポーツ団体 S 社 Webサーバ不正アクセスリンクタイプへ変更 PCIDSS 準拠 11, 年 7 月 EC サイト ( アパレル ) N 社 Web サーバ OpenSSL リンクタイプへ変更 PCIDSS 準拠 3,701 Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 11

ペネトレーションテスト年 1 回 Internet 重要度の高い脆弱性については即時検討のうえ

13 参考までに GMO-PG では PCIDSS 要件に沿った脆弱性対策セキュリティ診断を実施しています脆弱性確認会議月次外部公開セグメント脆弱性スキャン四半期に 1 回内部セグメントペネトレーションテスト年 1 回 Internet 重要度の高い脆弱性については即時検討のうえ対応を行っています Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 12

14 参考までにトークン決済のご案内 GMO-PG が提供するトークン決済であればカード情報が平文のまま加盟店様システムを通過することはありません kf430943ggiog8543wjv4jij 加盟店サイトの書き換えフィッシング ( 会員 ID 決済の場合 ) なりすまし防止の対応は必要 xxxx Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 13

15 終わりに自社のシステムにおけるカード情報の流れを把握していますか? カード情報を保存していませんか? カード情報が通過する自社システムに対してどんなセキュリティ対策が必要でしょうか? システムの構築運用をシステム会社任せにしていませんか? どんなセキュリティ対策がとられているか把握していますか? Copyright (C) 1995 GMO Payment Gateway, Inc. All Rights Reserved. 14

PowerPoint プレゼンテーション

PowerPoint プレゼンテーションクレジット取引セキュリティ対策協議会実行計画 -2017- の概要について 1. 割賦販売法の改正割賦販売法はクレジット取引に関するルールについて取りまとめた法律です平成 28 年 12 月に割賦販売法が改正されクレジットカードを取り扱うお店 ( 加盟店 ) は不正利用防止等のセキュリティ対策をとることが義務付けられました改正の趣旨近年クレジットカードを取り扱う加盟店からクレジットカード番号等の漏えいや不正利用被害が増加していることなどから

＝ SaaS型総合決済サービス ＝ 「PGマルチペイメントサービス」のご案内

＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内