デジタルセキュリティに新たなルールが導入され、カードデータを処理する企業は適応を迫られています。PCIセキュリティスタンダードカウンシル(PCI SSC)が策定したPCIデータセキュリティスタンダード(PCI DSS)バージョン4.0の登場により、顧客データの保護、そして決済データの保存、処理、伝送方法に直接的な影響を与える重大な変更が行われました。しかし、実際には何が変わるのでしょうか?
主な変化は、より高度なデジタルセキュリティの必要性です。企業は、堅牢な暗号化や多要素認証といった高度な技術への投資を迫られるでしょう。多要素認証では、システム、アプリケーション、または取引へのアクセスを許可する前に、少なくとも2つの検証要素によるユーザーの本人確認が必要となるため、たとえ犯罪者がパスワードや個人データにアクセスできたとしても、ハッキングはより困難になります。
使用される認証要素には次のようなものがあります。
- ユーザーが知っているもの: パスワード、PIN、またはセキュリティの質問への回答。
- ユーザーが持っているもの: 物理トークン、確認コード付きの SMS、認証アプリ (Google Authenticator など)、デジタル証明書。
- ユーザーに関するもの:デジタル、顔、音声、または虹彩認識生体認証。
「これらの保護層により、不正アクセスがはるかに困難になり、機密データのセキュリティが強化されます」と彼は説明します。
「要するに、不正アクセスを防ぐための追加対策を実施することで、顧客データの保護を強化する必要があるのです」と、アプリケーションセキュリティソリューション開発会社ConvisoのCEO、ワグナー・エリアス氏は説明する。「もはや『必要に応じて適応する』のではなく、予防的に行動することが重要なのです」と、エリアス氏は強調する。
新しい規則では、実施は2段階で行われます。第1段階では13の新しい要件が盛り込まれ、期限は2024年3月でした。第2段階はより厳しいもので、51の追加要件が含まれており、2025年3月31日までに満たさなければなりません。つまり、準備を怠った場合、厳しい罰則が科せられる可能性があります。
新しい要件に適応するための主なアクションとしては、ファイアウォールと堅牢な保護システムの実装、データの転送と保存における暗号化の使用、疑わしいアクセスとアクティビティの継続的な監視と追跡、脆弱性を特定するためのプロセスとシステムの継続的なテスト、厳格な情報セキュリティ ポリシーの作成と維持などが挙げられます。
ワグナー氏は、実際には、カード決済を扱うあらゆる企業がデジタルセキュリティ体制全体を見直す必要があると強調する。これには、システムの更新、社内ポリシーの強化、そしてリスクを最小限に抑えるためのチームトレーニングが含まれる。「例えば、eコマース企業は、顧客データがエンドツーエンドで暗号化され、許可されたユーザーのみが機密情報にアクセスできるようにする必要がある。一方、小売チェーンは、詐欺行為やデータ漏洩の可能性を継続的に監視するメカニズムを導入する必要がある」とワグナー氏は説明する。
銀行やフィンテック企業は、生体認証や多要素認証といった技術の活用を拡大し、認証メカニズムを強化する必要がある。「目標は、顧客体験を損なうことなく、取引の安全性を高めることです。そのためには、保護と使いやすさのバランスが重要であり、金融業界は近年この点を改善しつつあります」と彼は強調する。
しかし、なぜこの変化がそれほど重要なのでしょうか?デジタル詐欺がますます巧妙化していると言っても過言ではありません。データ漏洩は数百万ドルの損失と、顧客の信頼に取り返しのつかないダメージを与える可能性があります。
ワグナー・エリアス氏は次のように警告する。「多くの企業は依然として事後対応型のアプローチを採用しており、攻撃が発生してから初めてセキュリティについて懸念する。セキュリティ侵害は甚大な経済的損失や組織の評判への取り返しのつかないダメージにつながる可能性があり、予防策を講じれば回避できる可能性があるため、このような行動は憂慮すべき事態だ。」
さらに彼は、こうしたリスクを回避する鍵は、新規アプリケーションの開発初期段階からアプリケーションセキュリティ対策を導入し、ソフトウェア開発サイクルの各フェーズに保護対策が確実に導入されていることだ、と強調しています。これにより、ソフトウェアライフサイクルのあらゆる段階で保護対策が確実に実装され、インシデント発生後の復旧作業よりもはるかに費用対効果の高いものとなります。
これは世界中で成長傾向にあることは注目に値します。Mordor Intelligenceによると、2024年に116億2000万ドルと評価されたアプリケーションセキュリティ市場は、2029年には259億2000万ドルに達すると予想されています。
ワグナー氏は、DevOpsのようなソリューションによって、侵入テストや脆弱性軽減といったサービスに加え、すべてのコード行を安全な方法で開発できるようになると説明する。「継続的なセキュリティ分析とテストの自動化を実施することで、企業は効率性を損なうことなく規制を遵守できます」と彼は強調する。
さらに、このプロセスにおいては、企業が新しいPCI DSS 4.0要件に適応できるよう支援する専門的なコンサルティングサービスが重要です。「最も求められているサービスは、侵入テスト、レッドチーム、そして第三者によるセキュリティ評価です。これらは、犯罪者に悪用される前に脆弱性を特定し、修正するのに役立ちます」と彼は説明します。
デジタル詐欺がますます巧妙化する中、データセキュリティを無視することはもはや許されません。「予防策に投資する企業は、顧客保護を確実にし、市場での地位を強化します。新しいガイドラインの導入は、何よりも、より安全で信頼性の高い決済環境を構築するための不可欠なステップです」と彼は結論付けています。
