すべての企業は、決済セキュリティに関心を持つ必要があります。2024年には、79%の組織 は決済不正利用の標的になったことがあると報告しました。また、決済不正利用が起こると信じられないほどの費用がかかる可能性があり、世界の平均のデータ侵害の費用は 440 万ドル とされています。企業は、顧客の機密情報を保護し、顧客の信頼を維持し、費用のかかる経済的損失を回避するため、決済セキュリティを優先する必要があります。
このガイドには、屈強な決済セキュリティ戦略を開発・実装するための実行可能な手順が示されています。EC 小売業者、実店舗、SaaSプロバイダーのいずれであっても、ビジネスの成功は屈強な決済セキュリティ戦略にかかっています。
この記事の内容は?
- 決済セキュリティとは?
- 決済セキュリティの原則
- 決済代行業者に求められるセキュリティ機能
- 企業向けセキュリティのベストプラクティス
- Stripe Radar でできること
決済セキュリティとは?
決済セキュリティとは、金融取引を不正アクセス、データ侵害、不正利用から保護する、システム、プロセス、および対策を指します。オンラインと対面どちらのビジネスにおいても、顧客の信頼を維持し、経済的損失を最小限に抑え、関連する規制や業界基準に準拠するためには、決済セキュリティを確実に行うことが重要です。
決済セキュリティの原則
金融取引と顧客データを保護するために連携する決済セキュリティにはいくつかの原則があります。知っておくべき主なものは次のとおりです。
暗号化
暗号化は、機密性の高い顧客データや金融取引を不正アクセス、改ざん、盗難から守ります。暗号化は主に 2 種類あります。一つは対称暗号化、もう一つは非対称暗号化です。対称暗号化では、データのロックとロック解除に同じキーが使用されますが、非対称暗号化は「公開キー暗号化」とも呼ばれ、2 つのキー、つまりデータをロックするときは公開キー、ロックを解除するときはプライベートキーが使用されます。一般的に、プライベートキーが共有されない非対称暗号化の方がより安全であると考えられています。
企業は、Secure Sockets Layer (SSL) や Transport Layer Security (TLS) などの暗号化プロトコルを使用して、顧客のブラウザとビジネス Web サイトまたは決済プラットフォーム間のデータ送信を保護します。SSL/TLS 暗号化では、対称暗号化と非対称暗号化を組み合わせて、安全な接続を確立し、送信中にデータを保護します。
トークン化
トークン化 は、機密情報を侵害された場合に本質的な価値を持たない一意のトークンに置き換えることで、機密性の高い決済情報を保護します。このプロセスにより、不正アクセスやデータ侵害のリスクが大幅に軽減され、業界基準や規制への法令遵守が維持されます。
決済トークン化では、クレジットカード番号などの機密データが、安全なシステムによって生成された一意のトークンに置き換えられます。これらのトークンは、一元管理されたトークンボールトに保管されている元の決済情報を参照するときに使用されます。トークン自体を不正取引に使用することはできず、またリバースエンジニアリングを行って元の決済データを表示することもできません。
認証
認証は、取引にアクセスしようとしている、または取引を完了しようとするユーザーの本人確認を行う基本的な決済セキュリティ対策です。
次のように、認証の種類は複数あります。
- 単一要素認証 (SFA): 1 種類の本人確認 (通常はパスワードまたは PIN) が求められます
- 2 段階認証 (2FA): 2 種類の本人確認 (パスワードと、登録デバイスに送信される 1 回限りのコードなど) が求められます
- 多要素認証 (MFA): 3 種類以上の本人確認 (生体認証データ、セキュリティの質問、物理的トークンなど) が求められます
不正利用の検知と防止
これらのシステムは、取引パターン、顧客行動、その他のリスク要因をモニターすることで、企業が不正取引を特定し防止するのに役立ちます。 機械学習アルゴリズム 、行動分析、リスクスコアリングなどのテクニックにより、異常を検出し、不正利用を防ぐことができます。詳細については、不正利用検知ガイド をご覧ください。
PCI データセキュリティ基準への準拠
Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカード情報を処理、保管、または送信するすべての企業が安全な環境を維持できるように設計された一連のセキュリティ標準です。PCI DSS 準拠 は機密顧客データを保護し、データ侵害のリスクを最小限に抑えます。
PCI DSS 準拠を達成および維持することは、顧客の機密性の高い決済情報を保護し、セキュリティへの取り組みを示すために重要です。
ペイメントゲートウェイ
ペイメントゲートウェイ は、顧客決済データを不正アクセスや不正利用から保護しながら、クレジットカード取引の処理を容易にします。顧客、ビジネス、決済代行業者 または アクワイアリング銀行 に、顧客、ビジネス、および決済代行業者間で決済情報を送信するための、安全なチャネルを提供することにより、ペイメントゲートウェイは、非常に安全な決済環境の重要な要素となります。
ファイアウォールとネットワークセキュリティ
ファイアウォールとネットワークセキュリティは、ハッカー、マルウェア、その他悪意のある攻撃者などの外部脅威から、決済インフラと顧客の機密データを守るのに役立ちます。
ファイアウォールは、コンピューターネットワークの警備員のような役割を果たすセキュリティシステムの一種で、特定のルールに基づいて情報の出入りを制御します。ファイアウォールは、決済システムなどの企業内の信頼できるネットワークと、インターネットなどの信頼できない外部との間に防護壁を形成し、ネットワークへの不正アクセスを防止できるようにします。ファイアウォールには、ハードウェアベース、ソフトウェアベース、また、その両方を組み合わせたものがあります。
ファイアウォールとネットワークセキュリティの重要な側面には次のようなものがあります。
ネットワークのセグメント化
ネットワークを小さなセグメントに分割して切り離すと、セキュリティ侵害による潜在的なダメージを抑えるのに役立ちます。企業は機密性の高い決済データとシステムを別々のネットワークセグメントで管理することで、このような資産を、不正アクセスからより適切に保護し、PCI DSS 準拠の負担を最小限に抑えることができます。侵入検知防御システム (IDPS)
IDPS ソリューションでは、ネットワークトラフィックに不審な動きがないかモニターし、潜在的な脅威を検出して、その脅威を防止または軽減するための対策を講じます。また、既知の脅威のチェックや通信ルールの分析など、さまざまな方法を組み合わせて使用し、多くの種類の攻撃を、それがまったく新しいタイプの攻撃であっても特定し、ブロックすることができます。強力なアクセス制御
多要素認証 (MFA)、役割ベースのアクセス制御 (RBAC)、「最小特権の原則」(決済処理に関連する特定のタスクまたは機能の実行に必要な最小限のレベルのアクセスを個人またはエンティティに付与する慣行) などのアクセス制御は、許可されたユーザーのみが、ネットワークリソースや機密性の高い決済システムにアクセスできるようにする上で役立ちます。セキュリティモニタリングとインシデント対応
ネットワークアクティビティーを継続的に監視しながら、明確に定義されたインシデント対応プランを利用することで、企業はセキュリティの脅威を迅速に特定して対応し、潜在的なダメージとダウンタイムを最小限に抑えることができます。
セキュリティアップデートとパッチ
ソフトウェアベンダー、ハードウェアメーカー、オペレーティングシステムプロバイダーは、自社製品の既知の脆弱性、バグ、その他のセキュリティ問題に対処するために、セキュリティアップデートとパッチをリリースします。定期的なセキュリティアップデートとパッチは、決済インフラ、顧客データ、その他の主要システムを脆弱性、サイバー攻撃、不正アクセスから保護するのに役立ちます。
これらの更新プログラムとパッチを定期的に適用すると、次のことに役立ちます。
脆弱性の修正
アップデートやパッチは、ハッカーがシステムに不正にアクセスしたり機密データを窃取したりするときに悪用できるセキュリティ上の欠陥や弱点を解決します。セキュリティパッチを常に最新の状態に保つことで、データ漏洩やサイバー攻撃のリスクを減らすことができます。パフォーマンスの向上
アップデートにはパフォーマンスの向上、バグ修正、新機能が含まれることが多く、システムやソフトウェア全体の安定性、効率性、機能性を向上させることができます。法令遵守の維持
規制要件により、企業は法令遵守を維持するためにセキュリティ更新プログラムやパッチをタイムリーに適用することが求められることがよくあります。システムを定期的に更新することで、違反に伴う罰金や罰則を回避できます。新たな脅威からの保護
サイバー脅威は、ハッカーによる新たな脆弱性の発見および新たな攻撃手法の開発に伴って進化し続けます。アップデートとパッチを適用することで、こうした新たな脅威に対して先手を打ち、安全な環境を維持することができます。

決済代行業者に求められるセキュリティ機能
決済代行業者を選択する際には、セキュリティ機能から法令遵守、稼働時間や信頼性まで、考慮すべきことが多くあります。
決済代行業者に求められる主な特徴は次のとおりです。
暗号化
安全な決済代行業者は、機密決済データを暗号化するために暗号化プロトコルを採用する必要があります。これらのプロトコルにより、顧客の決済詳細は送信の間安全に保たれ、データの傍受や改ざんから保護されます。トークン化
カード詳細などの決済データは、顧客データを保護し、データ侵害のリスクを軽減し、PCI DSS への準拠を維持するためにトークン化する必要があります。認証と不正防止
CVV/セキュリティコードチェック、3D セキュア、生体認証などの認証方法を組み込み、顧客の身元を確認し、不正な取引を防止します。さらに、機械学習、行動分析、リスクスコアを使用して不正取引をリアルタイムで特定しブロックする、アドバンス不正利用の検出と防止ができるシステムを採用していることを確認してください。業界基準への準拠
プロバイダーは、カード保有者データを処理、保存、送信するための安全な環境を維持するために、PCI DSS およびその他の関連する業界標準を遵守する必要があります。稼働時間と信頼性
高い稼働時間と信頼性を維持することで、顧客は中断することなくトランザクションを完了できます。定期的なモニター、冗長性対策、屈強なインフラにより、プロバイダーは取引を安全かつ効率的に一貫して処理できます。
企業向けセキュリティのベストプラクティス
クレジットカードデータを含む決済情報を処理、保存、または送信するすべての企業は、決済セキュリティに注意を払う必要があります。安全な決済プロセスを維持することは、あらゆる規模の全ての業界の企業にとって、機密性の高い顧客データの保護、顧客の信頼確保、業界基準と規制への準拠をする上で重要です。
決済セキュリティを管理するため考慮されたプレイブックを確実にするには、企業は次の手順を行う必要があります。
1. リスク評価を実施する
まずは現在の決済インフラ、プロセス、システムを確認し、潜在的な脆弱性と改善すべき領域を特定します。ビジネスで扱う機密データの種類と、データの保管、処理、送信をする場所を特定します。
2. 法令遵守の要件を理解する
PCI DSS を含む業界を管理する標準と規制をよく理解し、事業を展開する市場に基づいてビジネス特有の法令遵守要件を決定します。これらの標準で義務付けられているセキュリティ制御と慣行を必ず理解してください。カード保有者データのセキュリティを守るため、PCI DSSの要件とベストベストプラクティスについて従業員にトレーニングを行います。
3. セキュリティポリシーと手順を策定する
機密データの取り扱いに関するガイドライン、アクセス制御、インシデント対応、パッチ管理、従業員トレーニングなど、決済セキュリティに対処する明確なポリシーと手順を確立します。これらのポリシーと手順が業界基準および規制と一致していることを確認してください。
4. セキュリティ対策を実施する
リスク評価と法令遵守要件に基づいて、暗号化、トークン化、強力な認証、ファイアウォール構成などの適切なセキュリティ対策を実施します。安全な決済代行業者を選択し、PCI DSS準拠のベンダーと協力して法令遵守の取り組みを合理化します。
5. システムをモニターし、ストレステストを実施する
決済システム、ネットワーク、アプリケーションに潜在的な脅威や脆弱性がないか定期的にモニターします。脆弱性スキャン、侵入テスト、システム監査などの戦略により、セキュリティ対策の有効性を評価し、改善の余地がある領域を特定できます。また、不足しているパッチや古いソフトウェアの特定に役立つ自動化ツールの使用を検討してください。
6. 指示に従って取り組みを調整する
どれほど慎重に練られたセキュリティ戦略でも、時間が経てば調整や適応が必要になってきます。決済セキュリティ戦略の有効性を継続的に評価し、ビジネス、業界規制や脅威の状況の変化に対応するため、必要に応じて調整してください。定期的なレビューは、顧客データを保護するための戦略を適切かつ効果的に保つ上で役に立ちます。
7. インシデント対応計画を立てる
セキュリティ侵害やその他のインシデントが発生した場合の組織の対応を明記した、インシデント対応プランを策定します。このプランには、役割と責任、通信プロトコルの他、インシデントを抑え、軽減するための手順の概要が示されている必要があります。
Stripe Radar でできること
Stripe Radar は、グローバル Stripe ネットワークからのデータを使用し、不正利用を検出し防止するよう AI モデルをトレーニングしています。これらのモデルは、最新の不正利用のトレンドに基づいて継続的に更新され、不正利用の進化に合わせてビジネスを保護します。
Stripe はこのほか、Radar for Fraud Teams も提供しています。ユーザーは自社ビジネス特有の不正シナリオに対応するカスタムルールを追加することができ、アドバンス不正利用インサイトにアクセスできます。
Radar は、以下の場面でお客様をサポートします。
- 不正利用による損失防止: Stripe は年間 1 兆ドル以上の決済額を処理しています。この規模でも、Radar は不正利用を正確に検知・防止し、お客様の損失を防止します。
- 収益の向上: Radar の AI モデルは、実際の不審請求データ、顧客情報、閲覧データなどに基づいて訓練されています。そのため Radar は、リスクの高い取引を特定し、誤検知を減らし、収益を増加させることに貢献します。
- 時間の節約: Radar は Stripe に組み込まれており、設定にコードは一切必要ありません。また、単一のプラットフォームで不正利用の動きをモニターしたり、ルールを作成することができるため、業務効率も向上します。
Stripe Radar について詳しくはこちらをご覧ください。あるいは、今すぐ始める場合はこちら。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。