小売業者やオンラインストアは、ハッカーの格好の標的です。 それには理由があります。 なぜなら、ペイメントカードシステムの侵害が成功すると、彼らに莫大な金銭的利益をもたらす可能性があるからです。 しかし、リスクがあるにもかかわらず、加盟店は依然としてペイメントカードセキュリティの要求を満たすのに苦労しており、 2020年のVerizon Payment Security Report によると、現在、 Payment Card Industry Data Security Standard(PCI DSS) への完全なコンプライアンスを維持できている組織はわずか 27.9% です。同時に、消費者の嗜好がプラスチック、モバイルウォレット、オンラインショッピングを好むように着実に変化しているため、カードや非接触型決済の数は増加し続けています。
それだけでなく、小売業界もデジタル革命の真っ只中にあり、静的なオンプレミスハードウェアから複雑でスケーラブルで弾力性のあるクラウドベースのインフラストラクチャにアプリケーションを移行しています。 これらの新しいダイナミックコンピューティング環境では、従来のサイバーセキュリティ手法から、個々の ワークロード保護、 APIセキュリティ 、 構成管理に焦点を移す必要があります。
この投稿では、PCI-DSSのコンプライアンス要件と、最新のハイブリッドクラウドおよびマルチクラウド環境でホストされているペイメントカードシステムへの影響について説明します。 それでは始めましょう。
PCI-DSSは、支払いカード取引とカード所有者の詳細を詐欺師から保護するためのフレームワークを提供する情報処理標準です。
これは、カード所有者データの漏洩のリスクを最小限に抑えるために実施する必要がある一連のベースライン対策を指定します。
この規格は、カード決済を受け付けたり処理したりするすべての企業または組織に適用されます。 そのため、主に小売業や、取引の処理に使用されるソフトウェアやハードウェアを提供する企業に影響を与えます。
これは、小売業や電子商取引業界にも影響を与える 一般データ保護規則(GDPR)などのデータプライバシー法とは大きく異なります。
たとえば、PCI-DSS はセキュリティ指向の標準です。 対照的に、セキュリティはデータ保護規制の一部に過ぎず、Webサイトでのプライバシー通知、メーリングリストへの顧客の詳細の追加への同意、消費者からのアクセス権要求など、プライバシーの側面もカバーしています。
PCI-DSSは、 商用 決済ネットワーク処理業者によって設立された管理組織であるPayment Card Industry Security Standards Council(PCI SSC)によっても開発されました。 ただし、データプライバシー法は、州、国、または国際レベルの 政府機関 によって管理されています。
PCI-DSS は、コンプライアンスへのさまざまな経路を設定しており、それぞれが 4 つの異なるコンプライアンス レベルのいずれかにマッピングされます。 年間に処理するトランザクションの数によって、独自のコンプライアンスレベルが決まります。
ペイメントカード会社は、その裁量により、PCI-DSSの違反に対して罰金を科す場合があります。 さらに、PCI-DSS の違反は、GDPR や カリフォルニア州消費者プライバシー法 (CCPA) などの適用されるプライバシー法の違反を構成する可能性もあります。 また、ミネソタ州の プラスチックカードセキュリティ法などの州法も導入される可能性があります。
そのため、違反した場合、さまざまな罰金や制裁の対象となる可能性があります。
PCI-DSSコンプライアンスは、以下の12の技術的および運用上の要件を規定しています。
ファイアウォールは防御の最前線であり、事前に設定された一連のルールに基づいて、潜在的に悪意のあるトラフィックがネットワークに侵入するのを防ぎます。
しかし、従来の境界ベースのファイアウォールでは、ユーザーと内部ネットワークの間に明確な境界がないため、クラウド資産を保護するにはもはや十分ではありません。
この問題を解決するには、 クラウドファイアウォールが必要です。 これは従来のファイアウォールとよく似ていますが、アプリケーションがネットワーク環境全体に分散した個別のコンポーネントに分割されるという、クラウドの分散性に特化しています。
ルーター、POSシステム、および関連コンポーネントのベンダーは、インストールとセットアップを可能な限り迅速かつ簡単にするために、機器にデフォルトのユーザー名、パスワード、および構成を提供します。
そのため、サイバー犯罪者の格好の標的となります。
これらの工場出荷時の設定は詐欺師がすぐに利用でき、詐欺師はそれらを悪用して内部ネットワークにアクセスし、カード会員データを盗みます。 したがって、ハッカーを締め出すために、独自のログイン資格情報と構成のみを使用してください。
また、アクセス許可など、他の既定の構成を使用することにも注意してください。 CloudSecOpsチームは、アプリケーションとクラウドワークロードが過度に寛容にならず、攻撃対象領域を減らすために機密性の高いリソースへのアクセスに必要なレベルのみを提供する必要があります。
カード会員情報を保護する最善の方法は、情報を完全に保存しないことです。 ただし、ビジネス上または法的な目的で必要な場合は、読み取れないようにするための措置を講じる必要があります。
これを実現する最も一般的で実用的な方法は、データを暗号化することです。 PCI-DSS に準拠するには、このような暗号化で業界標準の AES-256 アルゴリズムを使用する必要があります。
ただし、データの安全性は、暗号化に使用するキーと同程度にしかならないことを忘れないでください。 そのため、効果的な鍵管理システムを使用して暗号化 鍵 を保護する必要もあります。
また、データ ディスカバリー ツールやデータ資産の インベントリ を使用して、そもそもどのようなカード会員データを保存しているかを明確に把握することも重要です。
クラウド環境とオンプレミス環境のそれぞれを正しく構成して、 トランスポート層セキュリティ (TLS) を使用してカード会員データを暗号化し、インターネット経由でペイメント カード エコシステムのさまざまな部分間を移動するようにしてください。 パブリッククラウドとハイブリッドクラウド向けの包括的な クラウドネットワークセキュリティソリューション への投資を検討する
また、モバイルデバイスを介した支払いは特にリスクが高いことにも留意してください。 そのため、すべてのワイヤレスネットワークで強力なパスワードと利用可能な最新の Wi-Fiセキュリティプロトコルを使用していることを確認してください。
ウイルス対策 (AV) ソフトウェアは、ハイブリッド クラウドまたはマルチクラウド インフラストラクチャ全体で、ペイメント カード システムをホストするすべての環境を保護できる必要があります。
しかし、AVソフトウェアの限界を認識することも重要です。
より巧妙な新しいタイプの脅威は、クラウドベースのデプロイメントを標的にするように進化しています。 その結果、カード会員の詳細を保護するために、クラウドセキュリティ ポスチャー管理(CSPM) や クラウドワークロード保護など、より幅広いセキュリティアプローチが必要になりました。
要件 6 の目的は、アプリケーション開発およびライフサイクル プロセスにセキュリティを確実に組み込むことです。 これには、トレーニング、ガイドライン、チェックリストによる安全なコーディングプラクティスのサポート、および社内またはカスタムのアプリケーションコードの定期的なレビューが含まれます。
また、PCI-DSSの規定では、コンプライアンスを維持するために、リリースから1か月以内にサードパーティソフトウェアに重要なパッチをインストールする必要があると規定されているパッチ管理についても説明します。
カード所有者の詳細にアクセスできるユーザーの数を最小限に制限し、正当なビジネス上必要なユーザーのみに許可する必要があります。
これを行う最も実用的な方法は、 ロールベースのアクセス制御 (RBAC) システムを実装することであり、最小 特権の原則に基づいて、カード所有者データなどの機密性の高いリソースへのアクセスを許可する必要があります。
システムの各許可ユーザーには、一意のIDとパスワードが必要です。 これにより、カード会員データにアクセスする人の身元をいつでも把握できます。
また、PCI-DSSでは、管理者権限を持つユーザーのみが 2要素認証(2FA)を使用したリモートアクセスを許可されるようになったことにも注意してください。
パブリッククラウドでアプリケーションをホストする場合、サーバーの物理的なセキュリティの責任をクラウドサービスプロバイダーにオフロードします。 ただし、エンドポイントデバイスの物理的なセキュリティを確保する責任は依然としてあります。
そのため、ビデオ監視、セキュリティポリシーと手順、スタッフのトレーニング、時間ベースのロックアウト制御、画面を一般の人の視界から遠ざけるなどの対策を通じて、支払いデバイスやワークステーションへの不正アクセスを防ぐための措置を講じる必要があります。
ペイメントカードシステムへのアクセスをログに記録して監視することで、不審なアクティビティの兆候を早期に発見し、問題が発生した場合にアラートや洞察を得ることができます。
この分野のニーズは、単なる可視性からオブザーバビリティへと進化し、すべてのカード処理コンポーネントの可視性を維持するだけでなく、問題を迅速に特定して修正します。 これを実現するには、ハイブリッドクラウドとマルチクラウドのインフラストラクチャ全体を一元的に可視化する新世代の監視ツールを探す必要があるかもしれません。
AV スキャンやパッチ管理など、他のセキュリティ対策を補完するために、支払いカード システムが潜在的な脅威に耐えられるほど堅牢であることを定期的に確認する必要があります
これには、 脆弱性スキャン などの自動化ツールや、 ペネトレーションテストなどの手動アプローチが含まれます。 その他のテスト手順には、カードリーダーの定期的なチェックで、ソフトウェアをスキミングしたり、不正なワイヤレスアクセスポイントを特定するプロセスが含まれていたりします。必要に応じて、それに応じて是正措置を講じる必要があります。
十分に文書化され、十分に伝達された情報セキュリティポリシーは、カード会員データに対するリスクとそれを保護する責任についてスタッフの意識を高めるのに役立ちます。
関連するポリシーと手順は、従業員マニュアル、サードパーティベンダー契約、リスク評価、インシデント対応計画にも組み込む必要があります。
PCI-DSSコンプライアンスは、カード決済を受け入れるすべての組織にとって必要です。 ただし、カード会員データの処理に関する基本的な要件を満たしていることを示すものではありますが、必ずしも完全な保護を保証するものではありません。
さらに、デジタルトランスフォーメーションとクラウド移行により、セキュリティのゴールポストが変わりました。 そのため、ボックスチェックの演習や従来のセキュリティ手法の先を見据える必要があります。
これには、ハイブリッドクラウドとマルチ クラウド のデプロイメントの複雑で動的な性質に適応した新しいソリューションが必要です。
たとえば、個々のアプリケーションだけでなく、それらをサポートするプロセスやリソースも保護する クラウドワークロード保護プラットフォーム(CWPP)を検討する必要があります。 これをクラウドセキュリティ ポスチャー管理(CSPM) ソリューションで補完し、ベストプラクティスとコンプライアンス要件に照らして構成を継続的に監視およびベンチマークすることで、セキュリティリスクを特定できます。
また、 クラウドネットワークセキュリティ 機能を提供するソリューションにより、今日の新しくますます巧妙化する脅威からカード所有者を保護する必要があります。
何よりも、単に年に一度のコンプライアンスを達成するのではなく、継続的な保護を提供するツールを探す必要があります。