昨今、キャッシュレス決済及びEC取引の普及でクレジットカード決済市場が拡大する一方、サイバー攻撃などによるクレジットカードの不正利用被害額の勢いが止まりません。そんな中、経済産業省が1月20日(金)に公開した、ECサイト上での非対面取引における「クレジットカード決済システムのセキュリティ対策強化検討会」(第6回)」にECサイト事業者に脆弱性セキュリティ対策に関する内容が記載されていす。
 |
|---|
| <出典>クレジットカード不正利用被害額の発生状況(2022 年3月 日本クレジット協会)クレジットカード決済システムのセキュリティ対策強化検討会報告書(案) |
日本クレジット協会によると、2021年度の不正利用被害額は過去最高の約 330 億円、その内「クレジットカード番号等の盗用」の割合が 94% にまで及んだと発表しています。
この不正利用の大半が「非対面取引」で、非対面取引でのクレジットカード番号等のなりすましによる不正利用が主な要因で、ECサイトのクレジットカード決済処理の仕組みを悪用しクレジットマスター、電子メールやSMS等を通じて番号等を騙しとるフィッシングなどで詐取されていると想定されています。
第6回報告書の大きなトピックスは以下の2つです。
2025年3月末までに、
- (1)全ECサイトが脆弱性対策、ウイルス対策を必須化
- (2)本人認証の導入を義務化
具体的な内容は、(1)は基本のセキュリティ対策でもある、EC事業者のシステム、ECサイト自体の脆弱性対策システム上の設定不備改善や脆弱性診断、ウイルス対策が必須化しEC事業者のクレジットカード番号等の適切管理義務の水準の引き上げを実施すること。(2)は全てのEC事業者に対して2024年度末(2025年3月)までに「利用者であることの適切な確認」としてイシュアーによる本人認証(EMV3DS14)※1 をワンタイムパスワードや生体認証で入力することが義務付けられました。(詳しい報告書概要は<こちら>)
今回は、全ECサイトの脆弱性対策の必須化と、これからのセキュリティ対策へのEC事業者へ我々がお手伝いできることをお話します。
不正利用の原因はOSS利用だけではない
そもそも、不正利用されるサイトはどんなサイトなのでしょうか?
不正利用事案の多くはOSS利用によるソフトウェアアップデートや既知の脆弱性対策を実施していないなどセキュリティ対策を講じていないECサイトを狙った不正アクセスなどによる漏えいですが、OSSの利用をしていないECサイトでも漏えい事案は多く存在しています。従前からのクレジットカード情報を保持しない「非保持化」によるセキュリティ対策だけでは不十分であるのが現状です。また実際はセキュリティ対策を外部事業者へ委託し、対策の実施や管理を行っていないためセキュリティリテラシーが低いEC事業者も多く、不正アクセスの手段は変化に対応できず攻撃を受けるなどの事例も起きています。
このように、OSSを利用していない場合や情報の非保持化か否かなどは関係はなく、脆弱性対策を実施していない、または対策の必要性を認知していないサイトが狙われています。
不正利用の被害拡大が止まらぬ中で、被害を抑える為には全ECサイトでセキュリティ対策を必須化することが効果的で重要であると第6回報告書でも記載があるように、「ECサイトの脆弱性対策の義務化」が進み出しています。
脆弱性診断ツール「Syhunt」とは?
今、国を挙げてセキュリティ対策を進めている中、注目を浴びているのが「脆弱性診断ツール」です。
脆弱性診断ツールは、従来までの第三者機関を利用した「脆弱性診断」とは異なり、多くのテストを短い期間で自動診断することができることが特長です。これまでの脆弱性診断テストに要していた、時間や費用を圧倒的に抑えて、スピーディに改善へ取り組めるため、セキュリティ改善を我慢しなくても良い点が利点でもあります。
その中でも、弊社が提供しているWebアプリケーション脆弱性診断ツール「Syhunt」ではこれらの脆弱性診断ツールのメリット以外にもこのようなメリットがあります。
 |
|---|
- 高い信頼性と安全性
- 圧倒的な検出精度で他に無い深さのデータベースを保持
- 国際標準機構に準拠した高度なレポーティング力
- 開発環境へシームレスに統合
1. 高い信頼性と安全性
 |
|---|
Syhuntの脆弱性診断ツールは、米国国防総省、ドイツ政府、インドの原子力研究機関といった世界中の様々な企業や団体で採用されており、製品の高い信頼性と安全性を誇っています。
2. 圧倒的な検出精度で他に無い深さのデータベースを保持
SQLインジェクションやXSSの100%の検出率、100%に近いクローリングカバレッジで、最近のベンチマークチャートのトップを誇っています。また、「XSS」「ファイルインクルージョン」「SQLインジェクション」「コマンド実行や推論」「インバウンド」「アウトバウンド」攻撃を含む様々な脆弱性も検知し、一般的なリモート診断にソースコード解析と動的解析を組み合わせたハイブリッド型診断ができる点も特長です。
なお、既に検知されている脆弱性を悪用したサイバー攻撃に対しては、未然防止が可能なため的確に対処すれば問題はありませんが、近年はサイバー攻撃がボーダーレス化し攻撃の手法も巧妙化・多様化ています。国内だけでなく、グローバルなサイバー攻撃の蓋然性も踏まえた対策を打つために、セキュリティ対策レベルを更に引き上げなければいけません。Syhuntは日本以外にも米国、ドイツ、インド、スペインなどグローバルで豊富な実績を持ち様々な企業ネットワークを築いています。海外で起こった最新の攻撃情報を常に収集し、幅広い高度なサイバー攻撃から組織を守っています。
3. 国際標準機構に準拠した高度なレポーティング力
 |
|---|
また、Syhuntのレポーティングでは国際セキュリティ標準機構に準拠し、様々な角度から分析したデータをもとに作成されています。ハッキングの恐れや、データ漏洩や同様の問題につながる脆弱性をも洗い出すことが可能です。 このように、Syhuntはサイバー攻撃などの脅威よりも一歩先を行くためのセキュリティ診断サポートツールとしてご活用いただけます。
4. 開発環境へシームレスに統合
 |
|---|
なおSyhuntではGitLabやJenkins、JIRAやGitHub、Imperva SecureSphere、F5 BIG-IP Application Security Manager(ASM)などへシームレスに連携・統合ができ、開発初期段階からセキュリティを組み込み、安全に開発できる DevSecOps の実現も可能となります。
結果として生産性の向上(時間とコストの節約)、セキュリティリスク抑制、ビジネス需要変化への柔軟な対応につながります。
Syhuntを活用することで、こういった初期段階からセキュリティチェックを行えるため既知の脆弱性への先手を打つことができ、将来起こりうる攻撃や事故を未然に防ぐことができる点も大きなメリットです。
脆弱性診断ツールと第三者機関による脆弱性診断の違い
ここまでは脆弱性診断ツールのメリットを紹介してきました。
脆弱性診断ツールは自動化による「コスト面」や「運用面」などメリットが多くあります。ですが、あくまでも診断ツールということを忘れないでください。実際に改善や改修を行うのはプログラミングです。診断ツールで診断したから安心ではなく、診断ツールで指摘されたものを改善し続けること。そのサイクルを作ることが重要と考えます。
ただ、セキュリティ事項・脆弱性情報等の関連知識を持った人材でないと対応が難しく、昨今業界的にもセキュリティに特化した人材が不足しているという課題も浮き彫りになっています。
こういった背景もあり、脆弱性診断ツールでは一定のクオリティ、セキュリティ情報を保有した形で、診断ができるPDCAサイクルにおける「C(チェック)」の工程となり、「定期的な運用チェック」「内部監査※」として機能しています。そのお手伝いを「Syhunt」はさせていただきます。
セキュリティ診断では第三者機関による脆弱性診断もありますが、これらは「外部監査」であることに対し、
Syhuntは「内部監査」と意味合いが大きくことなっています。
そして、Syhuntでは 直感的なUIを採用 し、 誰でも使いやすい操作性 でサイトの「定期的な運用チェック」や「内部監査」に役立つ診断ツールです。
また導入サポートはもちろん、導入後のツールの活用方法や操作説明など、手厚いサポートサービスの提供も行なっています。詳しくはお問い合わせまでご連絡ください。
まとめ
これから2025年3月までに「セキュリティ対策の必須化」や「本人確認の義務化」が迫る中、担当者は今後セキュリティ対策が急務となり、脆弱性診断ツールは今後多くのEC事業者が導入を検討されていくかと思われます。その為にもまずは担当者ベースでセキュリティ知識を高めていくことが最優先事項です。内部監査及び外部監査をどう使い分けるのか、そこからツールの導入や、セキュリティ改善と対策レベルを上げていくことはもちろん、日々更新されていく巧妙なサイバー攻撃情報にはアンテナを張ることや、万一インシデントが発生した際には広報周知などの情報提供がスムーズにされるなど、利用者が安心して買い物ができる組織・人材育成・サイト運営体制も必要です。
脆弱性から問題が発生してからではもう手遅れです。セキュリティシステム強化や改善などやらなければならないことは多くありますが、情報を守る為にも、重要なセキュリティ対策の一手段として、Syhuntのような自動診断ツールを活用することでご担当者様・内部監査の負担軽減、その結果からご利用者様が安心して利用できるセキュアなECサイトの運用の作りのサイクルを生み出していきましょう。
【用語一覧】 ※1 EMV 3DS:VISA、MasterCardを始め他のペイメントスキームになっている手法。
