セキュリティ対策コラム　－ソーシャルガバナンス確立に向けて－クレジットカードのセキュリティ基準【PCI DSS】（第4弾）

2005年4月大量のクレジットカード不正取引がカードシステムズ・ソリューションを経由して発生していることがわかりました。

ードシステムズ・ソリューションはクレジットカードの情報処理サービスに15年の実績を有し、Visa,Master,Amex,Diners等の主要クレジットブランドと契約し、11万店舗との取引があったそうです。

その後カードシステムズ・ソリューションの独自調査で情報漏洩の事実が判明し、フォレンジック専門会社がその原因調査に入ったということです。

2004年8月から2005年5月の間に米国でクレジッットカードを使ったり、インターネット経由でクレジット支払いをしたもののうち、カードシステムズ・ソリューションで処理されたものの一部が該当し、漏洩により20万件以上にも及ぶ詐欺事件に発展してしまったようです。漏洩の原因は2004年に顧客向けに公開したWebアプリケーションの脆弱性を突いて、トロイの木馬を仕掛けられ、特定のファイルから氏名、カード番号、有効期限等を不正に送信していたと伝えられています。その特定ファイルとは「調査目的」のために保存されていた、取引が正常終了しなかったデータで、本来なら破棄すべき情報を持ち続けたということです。

今回のカードシステムズ・ソリューションと同様のクレジットカードのデータを処理する某米国会社を訪問したことがありますが、物理セキュリティを始めとして人的、システム的セキュリティ等、かなり高度なセキュリティを実装していたように思われました。恐らく今回漏洩事件を起こしたカードシステムズ・ソリューションでも国際クレジットブランドのセキュリティ基準に準拠し監査を受けていたと思われます。それにも拘らず漏洩事件を起こしてしまいました。日本においてもセキュリティに力を入れていると思われる優良企業でさえ、個人情報の漏洩は未だに止まらない状況を呈しています。

そうした中、企業におけるガバナンスが米国SOX法をトリガとして進展し、同時にセキュリティガバナンスの進展が期待されているところです。但し、ガバナンス（内部統制）には限界があり、今後はガバナンスとともに、筆者が提案しているHTS(ハザード・トレラント・システム）といった、事件・事故・災害発生後の迅速・適切な処置が検討されるべき方向と考えています。

事件・事故の全てを完全に予防したり、防御できませんので、HTSでは事件・事故が発生した場合、いかに柔軟に対応し、被害を回避もしくは最小限にできるかという考え方ですが、別の機会に紹介したいと思います。