NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その7－
～安全な商取引の展開～

■■　安全安心な電子社会の構築【カテゴリ2】　■■

第2の潮流「安全な商取引の展開」

1. 電子商取引の拡大

(1) 電子商取引の拡大

インターネット利用者は、総務省の通信利用動向調査によると年々増加しており、利便性の享受とともにネットワーク上での一般消費者の電子商取引も着実に増大しています。また、近年の消費者を取り巻く新しい環境としては、インターネットの普及に伴って消費者自ら海外から直接購入する現象も挙げられます。一方で、代金を支払ったものの製品が到着しないといった金銭的被害など、様々なトラブルも発生しています。

(2)インシデントの状況

平成20年中に報告された不正アクセス行為の発生状況によると、不正アクセスの件数は毎年増加しています。不正アクセス行為の認知件数は2,289件（前年1,818件）、この中でインターネット・オークションで他人になりすまして出品する等が1,559件（前年1,347件）であり、次いでオンライゲームの不正操作457件(前年246件)、ホームページの改ざん・消去152件（前年25件）でありました。　不正アクセス禁止法違反事件の検挙件数は1,737件（1,438件）で、そのほとんどが、他人の識別符号を入力する"識別符号窃用型"で1,736件（前年1,438）、その手口について、利用権者のパスワードの設定・管理の甘さにつけ込んだものが1,368件（139件）、フィッシングサイトにより入手したものも88件（1,157件）で上位を占めています。
フィッシングとは、正当な電子メールを装って、パスワードやPIN（暗証番号）などの個人情報やセキュリティ情報を取得しようとする手口のことです。

<参考>
消費者向け電子商取引の市場規模の推移(内閣府 平成20年度国民生活白書)
http://www5.cao.go.jp/seikatsu/whitepaper/h20/10_pdf/01_honpen/pdf/08sh_0101_04.pdf

2. アクセスの認証がキー

（1）求められる効果的な認証

非対面取引である電子取引では、なりすましが発生し易くID・パスワードの詐取によるインシデントが増加しています。このため、金融関連サービスを中心として厳密な本人確認が求められ、法的にも金融機関等による顧客等の本人確認等に関する法律（本人確認法、平成14年）が制定されました。
多くのケースではID・パスワードのアイデンティティ情報を使って認証を行いますが、簡易なパスワードのために他人に知られたり、フィッシングなどの手口によりアイデンティティ情報が詐取されることが多くなっています。このため公開鍵暗号による電子証明書の利用や、ワンタイムパスワードやICカードなど複数の認証手段を使う2要素認証やバイオ認証なども広く使われるようになってきました。しかし、一般のネットショッピングなどでは、ビジネス使用とは異なり、運用コストの観点から、依然としてID・パスワードの使用が大勢を占めているのが現状です。

（2）重要性が増すアイデンティティ基盤の形成

今日多くのサービスがインターネットを通じて行われているため、認証用に個人が所有するアイデンティティ情報（ID・パスワードなど）の数は増え続けています。この結果、アイデンティティ情報の扱いが煩雑で管理負担が増える結果、盗難や漏洩に繋がり、なりすまし詐取のリスクが増える一方です。これに対して、1つのID・パスワードで複数のWebサイトにアクセスできるようになるシングルサインオン（SSO）機能の広がりが期待されています。特にアイデンティティ・フェデレーション（アイデンティティ連携）と呼ばれる、異なるWebサイト間でシングルサインオンを実現する技術も急速に進展し注目されているところです。この新たなアイデンティティ基盤の形成により複数のサイトが容易に連携され、旅行の交通手段から宿泊、イベント参加など異なるサイトの複数サービスをワンストップで利用することが可能になってきます。アイデンティティ連携に関わるデファクトスタンダードの動きについては、マイクロソフトのWindows CardSpaceや、SUNを中心としたリバティアライアンス。マイクロソフト、ベリサインや野村総研等が参加するOPEN IDの動きが注目されています。

<参考> セキュリティ対策コラム　注目されるアイデンティティ管理＜第3回＞
http://security.intellilink.co.jp/article/security/081210.html

3. 電子商取引と決済

(1) 決済手段

インターネットによる電子商取引が進む中で、深刻なユーザの問題として最も懸念されている一つが、電子的決済の安全性問題です。
インターネットショッピングの際の決済方法としてユーザに最も人気が高いのは、クレジットカードによる支払いと言われ、次いで、後払いの銀行・郵便振込の人気が高いようです。一方ショップ側で現在導入している決済方法は代金引換が最も多く、次いでクレジットカードによる決済手段が続くようですが利便性から今後はクレジット支払いの利用が進むと思われます。

(2) クレジットカードの不正

わが国のクレジットカード不正使用被害額は、社団法人日本クレジット産業協会によると 2006年（平成18年）で約105億円と、対前年比でも45億円減少し、平成12年の309億円をピークとして大幅な減少傾向を示しています。 これは、リアル取引における不正使用について、2001年（平成13年）の刑法改正による偽造カード犯に対する取り締まり強化、カード会社が導入する不正検知システムによる防止対策が功奏しているものと考えられます。しかし、インターネット上でカード情報等を詐取するフィッシング等の新たな形態の犯罪も発生し、「なりすまし」による不正使用被害が増加しています。カード情報の詐取は、カード会員本人より入手するフィッシングやスパイウェア等インターネットを利用するもの、紛失盗難カードを利用するものなどがあり、また、加盟店(カード支払いできる店)やカード会社、情報処理委託会社等のカード取引関係事業者よりハッキングやWinny、スパイウェア等インターネットの利用による入手、加盟店からの売上伝票の盗難や関係事業者の社員による漏洩等さまざまな原因があります。

(3) Webセキュリティ（クレジットカード）

NRIの調査では、クレジットカードを扱うWebサイトでは特段のセキュア性がもとめられるにも拘わらず、他Webサイトと同様の割合で不正アクセスや情報漏洩の危険があるとしています。クレジットカード情報を扱うWebサイトは、その情報の重要性から、その他のWebサイトよりも高いセキュリティレベルが要求されるため、今後は向上していくことが強く求められるとしています。

<参考>Webサイトのセキュリティ診断：傾向分析レポート2009（ NRIセキュア）
http://www.nri-secure.co.jp/news/2009/0727_report.htmll

4. クレジットカードセキュリティ基準(PCI　DSS)

(1) セキュリティ基準(PCI　DSS)の制定

前述したようにクレジットカードの不正使用や偽造、フィッシングをはじめとしたID詐取等クレジットカードに対する脅威が増加しています。米国でも4,000万人分ものクレジットカード情報が漏洩するという嘗てない大規模な個人情報漏洩事件が発生しています。こうした状況を背景に2004年に、業界で統一されたセキュリティ基準であるPCI DSS（Payment Card Industry Data Security Standard）が策定され、関連する全事業体を対象としたセキュリティ基準として現在注目されているところです。
PCI DSSは業界の統一基準を国際カード会社5社（American Express、Discover、JCB、MasterCard、VISA）が2004年12月に共同で策定し、現在世界的に広がり始めています。

(2) セキュリティ基準の内容

PCI DSSはクレジットカード情報保護に関する国際基準で、ネットワークの設定やパスワードの管理、ウイルス感染の防止、データ暗号化等、以下に示しますようなチェック項目を挙げ、カード加盟店や決済代行事業者等が遵守すべき最低限の基準を定めています。

• 安全なネットワークの構築・維持
• カード会員情報の保護
• 脆弱性を管理するプログラムの整備
• 強固なアクセス制御手法の導入
• 定期的なネットワークの監視およびテスト
• 情報セキュリティ・ポリシーの整備

<参考>クレジットカードのセキュリティ基準 PCI DSS
http://security.intellilink.co.jp/article/security/061101.html

5. ソーシャルガバナンス

電子商取引はユーザが直接接する店舗や配送等の関連サイト、また決済システムなど複数の事業者によって実現しています。そのいずれにおいてもアイデンティティ情報などの個人情報を安全に扱うことが必要で、事業者に対して情報漏洩の防止、不正アクセスの回避、コンプライアンス遵守に関連する内部統制が構築されたガバナンスが求められます。これを筆者はソーシャルガバナンスと呼んでおります （図1）。
コーポレートガバナンス、内部統制、ITガバナンス、セキュリティガバナンスは、いずれも単独企業や関連企業グループ内に閉じて求められるガバナンスです。ソーシャルガバナンスは、社会的基盤となっているサービスについて、その社会的責任を果たすために、関連する企業群、行政等全ての関連事業体に統括的に求められるガバナンスとして筆者が新たに呼んだものです。もちろんサービスは、複数の関連企業によって提供されますので、各企業においては個々のガバナンスが構築され有効に運用されていることが、ソーシャルガバナンス確立の前提となります。
クレジットカードのセキュリティ基準(PCI DSS)については、クレジット業界のソーシャルガバナンスの一環としてとらえることができます。また電子取引の拡大に従って今後ますます有効なソーシャルガバナンスの構築とその運営を図る必要があるでしょう。

SOX法等をトリガとして、広くガバナンスが注目されていが、企業のガバナンスのみならず一連のサービスを担う関連事業者間全体のガバナンスが求められる時代になってきている。