＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内

(1)

加盟店様向けセキュリティセミナー

PCIDSS要件に学ぶセキュリティ対策について

～非保持型サービスは安全か？来るべき非通過型

サービスへのパラダイムシフトに備えて～

2015/8/18

GMOペイメントゲートウェイ株式会社

ITサービス部セキュリティグループ

齊藤元彦

(2)

アジェンダ

1. 情報セキュリティを取り巻く環境

2. 決済サービスにおけるカード情報の流れ

(3)

• 自社のシステムにおけるカード情報の流れを把握していますか？

カード情報を保存していませんか？

• カード情報が通過する自社システムに対して、どんなセキュリティ

対策が必要でしょうか？

• システムの構築・運用をシステム会社任せにしていませんか？どん

なセキュリティ対策がとられているか把握していますか？

2 まず始めに

(4)

• 2014/4/9

WindowsXPサポート終了

• 2014/4/10 OpenSSLの脆弱性（Heartbleed）

• 2014/4/17 Apache Struts2の脆弱性

• 2014/4/27 Internet Explorer（IE）の脆弱性

• 2014/4/28 Apache Struts1の脆弱性

• 2014/5/22 IE8の脆弱性

• 2014/5/30 Adobe Flash Playerの脆弱性

• 2014/6/6

OpenSSLの脆弱性（CCS Injection）

3

(5)

• 2014/9/25

bashの脆弱性（ShellShock）

• 2014/10/16 SSL3.0脆弱性（POODLE）

• 2014/12/11 POODLE TLSにも影響

• 2015/1/28

GNUのCライブラリ「glibc」脆弱性（GHOST）

• 2015/3/6

Windows/Windows Server脆弱性（FREAK）

• 2015/5/21

TLS脆弱性（Logjam）

• 2015/6/1

年金情報流出問題標的型攻撃

4 1. 情報セキュリティを取り巻く環境

(6)

5 カード情報漏えい事案（2014年～）29件

No 発生/発覚時期事業者漏えい箇所攻撃・犯行手法再発防止策カード情報件数 1 2014年1月 ECサイト（通販サイト）S社 Webサーバパスワードリスト攻撃セキュリティ対策の強化 24,158 2 2014年1月 ECサイト（通販サイト）S社非公開不正アクセス PCIDSS準拠、非保持タイプサービスへの切替 94,359 3 2014年1月 ECサイト（通販サイト）N社非公開非公開非公開非公開 4 2014年2月金融機関 Y社 ATM 内部犯行（委託先）各種管理策の強化 52 5 2014年3月 ECサイト（食品）Y社 Webサーバ SQLインジェクションリンクタイプへ変更、PCIDSS準拠 269 6 2014年3月出版会社 K社 Webサーババックドア非公開 1,160 7 2014年4月金融機関 M社 Webサーバ OpenSSL セキュリティ対策の強化 894 8 2014年4月建物関連 L社人的ミス紛失捜索、報告と謝罪 479 9 2014年4月 ECサイト（ショッピングサイト）H社 Webサーババックドアリンクタイプへ変更、PCIDSS準拠 560 10 2014年5月 ECサイト（ショッピングサイト）T社サーババックドア PCIDSS準拠 923 2014年6月通信サービス B社データベース内部犯行（委託先）セキュリティ対策の強化、別会社の設置 48,580,000 ※カード情報無 11 2014年8月通販サービス A社非公開非公開非公開非公開 12 2014年10月クレジットカード会社 U社記憶メディア紛失カードの再発行、不正利用の監視強化 1,500 13 2014年10月 ECサイト（ショッピングサイト） L社サーバ SQLインジェクション攻撃によるWordPressのアカウント情報の不正取得セキュリティ対策の強化 243 14 2014年11月通販サービス N社 Webサーババックドア PCIDSS準拠 1,422 15 2014年12月 ECサイト（ショッピングサイト） N社非公開不正アクセス非公開 84,153 16 2015年1月 ECサイト（スポーツ） J社非公開非公開非公開非公開 17 2015年2月 ECサイト（ショッピングサイト） T社 Webサーバ不正アクセス（暗号化済）非公開 6,581 18 2015年3月 ECサイト（食品） O社非公開非公開非公開非公開 19 2015年4月 ECサイト（食品） M社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 1,959 20 2015年4月 ECサイト（スポーツ） O社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 72 21 2015年5月 ECサイト（医療） M社非公開非公開非公開非公開 22 2015年5月 ECサイト（健康食品） G社非公開非公開非公開非公開 23 2015年5月 ECサイト（アパレル） A社非公開非公開非公開非公開 24 2015年6月 ECサイト（ファッション） P社非公開非公開非公開非公開 25 2015年6月 ECサイト（食品） H社非公開非公開非公開非公開 26 2015年6月 ECサイト（旅行） C社非公開非公開非公開非公開 27 2015年6月 ECサイト（雑貨） I社サーババックドア PCIDSS準拠 28,212 28 2015年7月スポーツ団体 S社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 11,155 29 2015年7月 ECサイト（アパレル） N社 Webサーバ OpenSSL リンクタイプへ変更、PCIDSS準拠 3,701

(7)

自社システムにおけるカード情報の流れを把握していますか？

6 2. 決済サービスにおけるカード情報の流れについて

カード情報を自社内システムに

蓄積（保存）

していますか？

カード情報が自社内システムを

通過

（処理・送信）

していますか？

NO

YES

【保持型】

リスク：高×

PCIDSS準拠してく

ださい

【非保持型（プロトコル

・モジュール型）】

リスク：中△

通信ログにカード情報が

残っていないか要確認

【非保持型（画面遷移

型）】非通過型

リスク：低○

カード情報に触れない

よう維持してください

NO

(8)

違いはカード情報が加盟店システムを通過するか否かにあります

7 2. 決済サービスにおけるカード情報の流れについて

加盟店Webサイト

GMOペイメントゲートウェイ

カード会社

加盟店Webサイト

GMOペイメントゲートウェイ

カード会社

○Shop

カートに

入れる

○Shop

配送住所

・氏名等

入力

○Shop

カード番

号・有効

期限

入力

○Shop

カートに

入れる

○Shop

配送住所

・氏名等

入力

カード番

号・有効

期限

入力

決済処理

オーソリ

_処理

オーソリ

処理

画面遷移型（リンク型）：カード情報の保存・処理・送信のいずれもなし（非通過型）

モジュール・プロトコル型：カード情報の保存はないが、処理・送信はあり（通過型）

(9)

※QSA（Qualified Security Assessors）認定審査機関

PCIDSS要件は、カード情報を取り扱う各社にとって欠かせない要件とな

っています。関係者による

セキュリティ防衛網

を築くために、まずは最

低限の対策を実施しましょう！



GMO-PG



外部専門家（QSA（※）、コンサルタント、セキュリティ診断会社）



加盟店！！！

8 消費者

カード会社

事故発生

に備えて

決済代行

GMO-PG

外部専門家

PCIDSS認証をとりまく

関係者は役割に応じて

・QSA（認定調査機関）

・コンサルタント

・セキュリティ診断会社

加盟店

3. 加盟店様にてまずは取り組むべきこと

(10)

①カード情報保持の有無確認（有りの場合には保持形態・

場所等の管理徹底）

②ウイルス対策（アンチウイルスソフトの定義ファイルの

取得、スキャンの実施）

③

_{Webアプリケーション脆弱性対策}

（セキュリティ診断の

実施、セキュリティパッチの適用等）

※

開発会社・Web製作会社等との情報連携

による、自社シス

テム・データフローの把握が重要！

9 3. 加盟店様にてまずは取り組むべきこと

(11)

10 3. 加盟店様にてまずは取り組むべきこと

PCIDSSとは、Payment Card Industry Data Security Standardの略で、JCB・

American Express・Discover・MasterCard・VISAの国際クレジットカードブラン

ド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準

(12)

11 カード情報漏えい事案（2014年～）15件は防げたはず

No 発生/発覚時期事業者漏えい箇所攻撃・犯行手法再発防止策カード情報件数 1 2014年1月 ECサイト（通販サイト）S社 Webサーバパスワードリスト攻撃セキュリティ対策の強化 24,158 2 2014年1月 ECサイト（通販サイト）S社非公開不正アクセス PCIDSS準拠、非保持タイプサービスへの切替 94,359 3 2014年1月 ECサイト（通販サイト）N社非公開非公開非公開非公開 4 2014年2月金融機関 Y社 ATM 内部犯行（委託先）各種管理策の強化 52 5 2014年3月 ECサイト（食品）Y社 Webサーバ SQLインジェクションリンクタイプへ変更、PCIDSS準拠 269 6 2014年3月出版会社 K社 Webサーババックドア非公開 1,160 7 2014年4月金融機関 M社 Webサーバ OpenSSL セキュリティ対策の強化 894 8 2014年4月建物関連 L社人的ミス紛失捜索、報告と謝罪 479 9 2014年4月 ECサイト（ショッピングサイト）H社 Webサーババックドアリンクタイプへ変更、PCIDSS準拠 560 10 2014年5月 ECサイト（ショッピングサイト）T社サーババックドア PCIDSS準拠 923 2014年6月通信サービス B社データベース内部犯行（委託先）セキュリティ対策の強化、別会社の設置 48,580,000 ※カード情報無 11 2014年8月通販サービス A社非公開非公開非公開非公開 12 2014年10月クレジットカード会社 U社記憶メディア紛失カードの再発行、不正利用の監視強化 1,500 13 2014年10月 ECサイト（ショッピングサイト） L社サーバ SQLインジェクション攻撃によるWordPressのアカウント情報の不正取得セキュリティ対策の強化 243 14 2014年11月通販サービス N社 Webサーババックドア PCIDSS準拠 1,422 15 2014年12月 ECサイト（ショッピングサイト） N社非公開不正アクセス非公開 84,153 16 2015年1月 ECサイト（スポーツ） J社非公開非公開非公開非公開 17 2015年2月 ECサイト（ショッピングサイト） T社 Webサーバ不正アクセス（暗号化済）非公開 6,581 18 2015年3月 ECサイト（食品） O社非公開非公開非公開非公開 19 2015年4月 ECサイト（食品） M社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 1,959 20 2015年4月 ECサイト（スポーツ） O社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 72 21 2015年5月 ECサイト（医療） M社非公開非公開非公開非公開 22 2015年5月 ECサイト（健康食品） G社非公開非公開非公開非公開 23 2015年5月 ECサイト（アパレル） A社非公開非公開非公開非公開 24 2015年6月 ECサイト（ファッション） P社非公開非公開非公開非公開 25 2015年6月 ECサイト（食品） H社非公開非公開非公開非公開 26 2015年6月 ECサイト（旅行） C社非公開非公開非公開非公開 27 2015年6月 ECサイト（雑貨） I社サーババックドア PCIDSS準拠 28,212 28 2015年7月スポーツ団体 S社 Webサーバ不正アクセスリンクタイプへ変更、PCIDSS準拠 11,155 29 2015年7月 ECサイト（アパレル） N社 Webサーバ OpenSSL リンクタイプへ変更、PCIDSS準拠 3,701

(13)

GMO-PGでは、PCIDSS要件に沿った脆弱性対策・セキュリテ

ィ診断を実施しています。

・脆弱性確認会議月次

・脆弱性スキャン四半期に1回

・ペネトレーションテスト年1回

重要度の高い脆弱性については即時検討のうえ、対応を行っ

ています。

12 参考までに

Internet

【外部公開セグメント】

【内部セグメント】

(14)

13 参考までにトークン決済のご案内

xxxx-1234-5678-9012

kf430943ggiog8543wjv4jij

・加盟店サイトの書き換え

_{・フィッシング}

・（会員ID決済の場合）

なりすまし防止

の対応は必要。

GMO-PGが提供するトークン決済であれば、カード情報が平

文のまま加盟店様システムを通過することはありません。

(15)

• 自社のシステムにおけるカード情報の流れを把握していますか？

カード情報を保存していませんか？

• カード情報が通過する自社システムに対して、どんなセキュリティ

対策が必要でしょうか？

• システムの構築・運用をシステム会社任せにしていませんか？どん

なセキュリティ対策がとられているか把握していますか？

終わりに

14

(16)

15 最後までご静聴いただき、

ありがとうございました。

ITサービス部セキュリティグループ

齊藤元彦

m-saito@gmo-pg.com

03-3464-2342

http://www.gmo-pg.com/seminar_report/140708

＝ SaaS型総合決済サービス ＝ 「PGマルチペイメントサービス」のご案内

加盟店様向けセキュリティセミナー

PCIDSS要件に学ぶセキュリティ対策について

～非保持型サービスは安全か？ 来るべき非通過型

サービスへのパラダイムシフトに備えて～

2015/8/18

GMOペイメントゲートウェイ株式会社

ITサービス部 セキュリティグループ

齊藤 元彦

アジェンダ

1.

情報セキュリティを取り巻く環境

2.

決済サービスにおけるカード情報の流れ

• 自社のシステムにおけるカード情報の流れを把握していますか？

カード情報を保存していませんか？

• カード情報が通過する自社システムに対して、どんなセキュリティ

対策が必要でしょうか？

• システムの構築・運用をシステム会社任せにしていませんか？どん

なセキュリティ対策がとられているか把握していますか？

2

まず始めに

• 2014/4/9

WindowsXPサポート終了

• 2014/4/10 OpenSSLの脆弱性（Heartbleed）

• 2014/4/17 Apache Struts2の脆弱性

• 2014/4/27 Internet Explorer（IE）の脆弱性

• 2014/4/28 Apache Struts1の脆弱性

• 2014/5/22 IE8の脆弱性

• 2014/5/30 Adobe Flash Playerの脆弱性

• 2014/6/6

OpenSSLの脆弱性（CCS Injection）

3

• 2014/9/25

bashの脆弱性（ShellShock）

• 2014/10/16 SSL3.0脆弱性（POODLE）

• 2014/12/11 POODLE TLSにも影響

• 2015/1/28

GNUのCライブラリ「glibc」脆弱性（GHOST）

• 2015/3/6

Windows/Windows Server脆弱性（FREAK）

• 2015/5/21

TLS脆弱性（Logjam）

• 2015/6/1

年金情報流出問題 標的型攻撃

4

1. 情報セキュリティを取り巻く環境

5

カード情報漏えい事案（2014年～）29件

自社システムにおけるカード情報の流れを把握していますか？

6

2. 決済サービスにおけるカード情報の流れについて

カード情報を自社内システムに

蓄積（保存）

していますか？

カード情報が自社内システムを

通過

（処理・送信）

していますか？

NO

YES

YES

【保持型】

リスク：高×

PCIDSS準拠してく

ださい

【非保持型（プロトコル

・モジュール型）】

リスク：中△

通信ログにカード情報が

残っていないか要確認

【非保持型（画面遷移

型）】非通過型

リスク：低○

カード情報に触れない

よう維持してください

NO

違いはカード情報が加盟店システムを通過するか否かにあります

7

2. 決済サービスにおけるカード情報の流れについて

＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内

～非保持型サービスは安全か？来るべき非通過型

ITサービス部セキュリティグループ

齊藤元彦

年金情報流出問題標的型攻撃

_処理

_{Webアプリケーション脆弱性対策}