サービスとしてのバンキング (BaaS)

サインイン 

決済のセキュリティ: ビジネス向けの実践的な詳細ガイド

  1. はじめに
  2. 決済のセキュリティとは?
  3. 決済のセキュリティの種類
    1. 暗号化
    2. トークン化
    3. 認証
    4. 不正利用の検出と防止
    5. PCI データセキュリティ基準への準拠
    6. 安全なペイメントゲートウェイ
    7. ファイアウォールとネットワークセキュリティ
    8. セキュリティアップデートとパッチ
  4. 決済のセキュリティに注意すべき業種
  5. 決済のセキュリティ戦略を策定する方法
  6. Stripe の使用を開始する 

どのビジネスも決済のセキュリティには関心を持つべきです。2021 年、71% のビジネスが決済の不正利用のターゲットになったと報告されています。また、決済の不正利用は驚くほど高くつく可能性があり、アメリカにおけるデータ漏洩の平均的な被害額は 944 万ドルに上ります。企業は顧客の機密情報を保護し、顧客からの信頼を維持し、高額な経済的損失を回避するためにも、決済のセキュリティを優先しなければなりません。

この記事は、堅牢な決済のセキュリティ戦略を策定および実施するための実践可能な手順をまとめたガイドです。EC ストアの小売業者、実店舗、SaaS プロバイダー、どのようなビジネスでも、成功させるには強力な決済のセキュリティ戦略が重要です。

この記事の内容

  • 決済のセキュリティとは?
  • 決済のセキュリティの種類
  • 決済のセキュリティに注意すべき業種
  • 決済のセキュリティ戦略を策定する方法

決済のセキュリティとは?

決済のセキュリティとは、金融取引を不正アクセス、データ漏洩、詐欺から保護するために使用されるシステム、プロセス、対策のことを言います。決済のセキュリティを確保することは、オンラインビジネスにとってもオフラインビジネスにとっても、顧客からの信頼を維持し、経済的損失を最小限に抑え、関連する規制や業界標準に準拠するうえで重要です。

決済のセキュリティの種類

金融取引と顧客データを保護するためにビジネスに導入できる決済のセキュリティ対策とテクノロジーの種類は複数あります。ここでは一般的なものをいくつかご紹介します。

暗号化

暗号化は、機密性の高い顧客データや金融取引を不正アクセス、改ざん、盗難から守ります。暗号化は主に 2 種類あります。一つは対称暗号化、もう一つは非対称暗号化です。対称暗号化では、データのロックとロック解除に同じキーが使用されますが、非対称暗号化は「公開キー暗号化」とも呼ばれ、2 つのキー、つまりデータをロックするときは公開キー、ロックを解除するときはプライベートキーが使用されます。一般的に、プライベートキーが共有されない非対称暗号化の方がより安全であると考えられています。

ビジネスで広く採用されているのが Secure Sockets Layer (SSL) や トランスポート層セキュリティ (TLS) などの暗号化プロトコルで、これは顧客のブラウザーと企業のウェブサイトや決済プラットフォーム間のデータ転送を保護するものです。SSL / TLS 暗号化では、対称暗号化と非対称暗号化を組み合わせて使用することで安全な接続が確立され、送信中のデータが保護されます。

企業は強力な暗号化アルゴリズムや最新のプロトコルを使用する必要があります。また、キーローテーションを定期的に実施する、安全にキーを保管する、といった適切なキー管理も求められます。新たな脅威に対処し、顧客データを最高レベルで保護するには、暗号化システムを定期的に評価し、更新する必要があります。

トークン化

トークン化は、機密性の高い支払い情報を、漏洩しても実質価値のない一意のトークンに置き換えることで保護します。支払い情報を、仮に盗まれたとしても役に立たない形式に変換することで、その情報が不正利用者の手に渡らないようにします。このプロセスにより、不正アクセスやデータ漏洩のリスクが大幅に減り、業界標準や規制への準拠が確保されます。

支払いのトークン化では、クレジットカード番号などの機密データが、安全なシステムによって生成された一意のトークンに置き換えられます。これらのトークンは、一元管理されたトークンボールトに保管されている元の支払い情報を参照するときに使用されます。トークン自体を不正取引に使用することはできず、またリバースエンジニアリングを行って元の支払いデータを表示することもできません。

認証

認証は、取引にアクセスしようとしている、または取引を完了しようとするユーザーの本人確認を行う基本的な決済のセキュリティ対策です。

次のように、認証の種類は複数あります。

  • 単一要素認証 (SFA): 1 種類の本人確認 (通常はパスワードまたは PIN) が求められます
  • 2 段階認証 (2FA): 2 種類の本人確認 (パスワードと、登録デバイスに送信される 1 回限りのコードなど) が求められます
  • 多要素認証 (MFA): 3 種類以上の本人確認 (生体認証データ、セキュリティの質問、物理的トークンなど) が求められます

2FA や MFA により未承認の取引に対する予防策を強化することで、ビジネスにおける決済のセキュリティを大幅に向上させることができます。決済処理で使用される標準的な認証方法をいくつか次に示します。

  • Card Verification Value (CVV): クレジットカードやデビットカードに印刷されている 3 桁または 4 桁のコードで、顧客がオンライン取引や電話取引の際に、カードの現物を所持していることを証明するために提示する必要があります
  • ワンタイムパスワード (OTP): 顧客の登録デバイスに (SMS や認証アプリなどを使って) 送信される、時間制約のある一意のコード。顧客はこのコードを入力して取引を完了する必要があります
  • 生体認証: 顔認識、指紋、虹彩スキャンなど、固有の身体的特徴を使用して顧客の本人確認を行います

不正利用の検出と防止

これらのシステムは、取引パターン、顧客行動、その他のリスク要因を監視することで、企業が不正取引を特定し、防止できるようにします。機械学習アルゴリズム、行動分析、リスクスコアリングなどの技術により、異常を検出し、不正利用を防ぐことができます。

PCI データセキュリティ基準への準拠

PCI データセキュリティ基準 (PCI DSS) は、クレジットカード情報を処理、保管、送信するすべての企業が安全な環境を維持できるように設計された一連のセキュリティ基準です。企業は PCI DSS に準拠することで、顧客データを保護し、データ漏洩のリスクを最小限に抑え、罰金や罰則の可能性を回避することができます。

PCI DSS に準拠し、その状態を維持することは、顧客の機密性の高い支払い情報を保護し、セキュリティへの取り組みを示すうえで重要です。PCI DSS に確実に準拠するには、企業は次の手順を実行する必要があります。

  • 詳細なリスク評価を実施して、決済処理インフラストラクチャーの潜在的な脆弱性を特定します。
  • 特定したリスクに対処するために、暗号化、トークン化、強力なアクセス制御など、必要なセキュリティ対策を実施します。
  • システム、ネットワーク、アプリケーションを定期的に監視、テスト、更新して、安全な環境を維持し、新たな脅威に対して先手を打ちます。
  • PCI DSS 要件およびカード保有者のデータを安全に取り扱うためのベストプラクティスについて従業員を教育します。
  • Stripe などの PCI DSS 準拠の決済処理プロバイダーと連携して、法令遵守への取り組みの負担を軽減し、顧客データの最高レベルのセキュリティを確保します。

安全なペイメントゲートウェイ

安全なペイメントゲートウェイは、顧客の決済データを不正アクセスや不正利用から保護しながら、クレジットカード取引の処理を容易に行えるようにします。ペイメントゲートウェイは、顧客、企業、決済代行業者、またはアクワイアリング銀行の間で決済情報を送信するための安全なチャネルを提供しており、安全性の高い決済環境の重要な要素となっています。

安全なペイメントゲートウェイの主な特徴を次に示します。

  • 暗号化
    安全なペイメントゲートウェイは、SSL や TLS などの暗号化プロトコルを使用して、送信中の機密性の高い決済データを暗号化します。このようなプロトコルは、顧客のブラウザーとペイメントゲートウェイ間の通信の安全性を確保し、データを傍受や改ざんから保護します。

  • トークン化
    多くの安全なペイメントゲートウェイが、決済の安全性をさらに強化するためにトークン化サービスを提供しています。トークン化は、機密性の高い決済データを、漏洩しても役に立たない一意のトークンに置き換えるもので、顧客データの保護、データ漏洩のリスクの低減、ビジネスの PCI DSS 準拠の簡素化に役立ちます。

  • 認証と不正防止
    安全なペイメントゲートウェイは、CVV / CVC チェック、3D セキュア、生体認証など、さまざまな認証方法を実施して顧客の本人確認を行い、未承認の取引を防止します。また、機械学習、行動分析、リスクスコアリングを使って不正使用取引をリアルタイムで特定してブロックする、高度な不正利用の検出と防止システムを採用しています。

  • 業界標準への準拠
    安全なペイメントゲートウェイは PCI DSS やその他の関連する業界標準に準拠することで、カード保有者のデータを処理、保存、送信するための安全な環境を確保します。業界標準に準拠したペイメントゲートウェイを使用すれば、企業がこのような要件に独自に対応する負担が軽減されます。

  • 稼働時間と信頼性
    安全なペイメントゲートウェイは、顧客が取引を中断することなく完了できるように、稼働時間と信頼性を高い水準で維持する必要があります。定期的な監視、冗長性対策、堅牢なインフラストラクチャーにより、ゲートウェイが一貫して安全かつ効率的に取引を処理することができます。

ペイメントゲートウェイを選ぶときは、セキュリティ機能、PCI DSS 準拠、既存システムとの統合のしやすさ、取引手数料、顧客サポートなどを考慮してください。信頼できる安全なペイメントゲートウェイと提携するか、ペイメントゲートウェイ機能を提供する Stripe などの決済代行業者を選ぶことで、潜在的な財務リスクや風評リスクからビジネスを守りながら、シンプルかつ安全な決済体験を顧客に提供することができます。

ファイアウォールとネットワークセキュリティ

ファイアウォールとネットワークセキュリティは、ハッカー、マルウェア、その他悪意ある人物などの外部脅威から、決済インフラストラクチャーと顧客の機密データを守るのに役立ちます。

ファイアウォールは、コンピューターネットワークの警備員のような役割を果たすセキュリティシステムの一種で、特定のルールに基づいて情報の出入りを制御します。ファイアウォールは、決済システムなどの企業内の信頼できるネットワークと、インターネットなどの信頼できない外部との間に防護壁を形成し、ネットワークへの不正アクセスを防止できるようにします。ファイアウォールには、ハードウェアベース、ソフトウェアベース、また、その両方を組み合わせたものがあります。

ビジネスにおけるファイアウォールとネットワークセキュリティの重要な側面をいくつか次に示します。

  • ネットワークのセグメント化
    ネットワークを小さなセグメントに分割して切り離すと、セキュリティ侵害による潜在的なダメージを抑えるのに役立ちます。企業は機密性の高い決済データとシステムを別々のネットワークセグメントで管理することで、このような資産を、不正アクセスからより適切に保護し、PCI DSS 準拠の負担を最小限に抑えることができます。

  • 侵入検知防御システム (IDPS)
    IDPS ソリューションでは、ネットワークトラフィックに不審な動きがないか監視し、潜在的な脅威を検出して、その脅威を防止または軽減するための対策を講じます。また、既知の脅威のチェックや通信ルールの分析など、さまざまな方法を組み合わせて使用し、多くの種類の攻撃を、それがまったく新しいタイプの攻撃であっても特定し、ブロックすることができます。

  • 強力なアクセス制御
    多要素認証 (MFA)、役割ベースのアクセス制御 (RBAC)、「最小特権の原則」(決済処理に関連する特定のタスクまたは機能の実行に必要な最小限のレベルのアクセスを個人またはエンティティに付与する慣行) などのアクセス制御は、許可されたユーザーのみが、ネットワークリソースや機密性の高い決済システムにアクセスできるようにするうえで役立ちます。

  • セキュリティモニタリングとインシデント対応
    ネットワークアクティビティーを継続的に監視しながら、明確に定義されたインシデント対応計画を利用することで、企業はセキュリティの脅威を迅速に特定して対応し、潜在的なダメージとダウンタイムを最小限に抑えることができます。

特定のビジネスニーズとリスクプロファイルに沿ったファイアウォールとネットワークセキュリティソリューションに投資してください。こうしたセキュリティ対策を実施することで、決済インフラストラクチャーを外部の脅威から守り、顧客データを保護し、ビジネスの評判を維持することができます。

セキュリティアップデートとパッチ

ソフトウェアベンダー、ハードウェアメーカー、オペレーティングシステムプロバイダーは、セキュリティアップデートやパッチをリリースすることで、自社製品の既知の脆弱性、バグ、その他のセキュリティ問題に対処しています。定期的なセキュリティアップデートとパッチは、ビジネス環境の安全性の維持において重要な位置を占めており、決済インフラストラクチャー、顧客データ、その他重要なシステムを、脆弱性、サイバー攻撃、不正アクセスから守るうえで役に立ちます。

このようなアップデートやパッチを定期的に適用することで、ビジネスにおいて以下を実現できます。

  • 脆弱性の修正
    アップデートやパッチは、ハッカーがシステムに不正にアクセスしたり機密データを窃取したりするときに悪用できるセキュリティ上の欠陥や弱点を解決します。セキュリティパッチを常に最新の状態に保つことで、データ漏洩やサイバー攻撃のリスクを減らすことができます。

  • パフォーマンスの向上
    アップデートにはパフォーマンスの向上、バグ修正、新機能が含まれることが多く、システムやソフトウェア全体の安定性、効率性、機能性を向上させることができます。

  • 法令遵守の維持
    法令遵守を維持するために、セキュリティアップデートやパッチをタイムリーに適用することを規制要件で企業に義務付けていることはよくあります。システムを定期的に更新することで、法令遵守違反に伴う罰金や罰則を回避できます。

  • 新たな脅威からの保護
    サイバー脅威は、ハッカーによる新たな脆弱性の発見および新たな攻撃手法の開発に伴って進化し続けます。アップデートとパッチを適用することで、こうした新たな脅威に対して先手を打ち、安全な環境を維持することができます。

すべてのビジネスには、決済のセキュリティを管理するため、よく考えられたプレイブックが必要です。セキュリティアップデートとパッチが確実かつ定期的に適用されるようにするには、企業は次の手順を実行する必要があります。

  1. パッチ管理ポリシーを定める: 責任、優先順位、スケジュール、アップデートとパッチの適用手順など、パッチ管理に対する組織のアプローチをまとめた明確なポリシーを策定します。
  2. アップデートを監視する: ソフトウェアベンダー、ハードウェアメーカー、オペレーティングシステムプロバイダーのセキュリティ勧告やニュースレターを購読し、新しいアップデートやパッチに関する最新情報を入手します。さらに、不足しているパッチや古いソフトウェアの特定に役立つ自動化ツールを使用することも検討します。
  3. アップデートの優先順位を設定しスケジュールする: 特定された脆弱性の重大度を評価し、リスクに基づいてアップデートの優先順位を設定します。システムの使用率が低い時間帯にアップデートとパッチが適用されるようにスケジュールを設定し、業務の中断を最小限に抑えます。
  4. アップデートをテストしデプロイする: アップデートとパッチを導入する前に、管理された環境でテストして互換性を確認し、潜在的な問題を特定します。テストが完了したら、本番環境にアップデートとパッチをデプロイします。
  5. レビューと監査を実施する: パッチ管理プロセスを定期的にレビューして、そのプロセスが効果的で、組織のポリシーや業界標準に準拠していることを確認します。監査を定期的に実施して、すべてのシステムが最新かつ安全であることを確認します。

決済のセキュリティに注意すべき業種

クレジットカードのデータなど、支払い情報を処理、保存、または送信するあらゆるビジネスが、決済のセキュリティに関心を持つ必要があります。機密性の高い顧客データを保護し、顧客の信頼を確保し、業界標準や規制に準拠するには、ビジネスの規模、業種、形態にかかわらず、安全な決済プロセスを維持することが重要です。

決済のセキュリティに配慮が必要な一般的なビジネスには、次のようなものがあります。

  • EC ストア企業
    モバイルアプリケーションやウェブサイトを通じて決済を受け付けるオンライン小売業者やサービスプロバイダーは、取引中の顧客データを保護するために、安全なペイメントゲートウェイ、暗号化などのセキュリティ対策を導入する必要があります。

  • 実店舗
    カード提示取引などの POS システムを使用して決済を処理する実店舗は、決済端末、ネットワークインフラストラクチャー、保存されている顧客データのセキュリティを確保する必要があります。

  • ホスピタリティ企業
    利用客からの支払いを処理するホテル、レストラン、その他ホスピタリティ企業は、顧客データを保護するために、安全な POS システム、トークン化、アクセス制御など、強力な決済のセキュリティ対策を導入する必要があります。

  • 継続支払いを受け付けるビジネス
    公共料金、電気通信、サブスクリプションなどのサービスを提供し、顧客からの継続支払いを処理するビジネスは、決済プロセスと保存されている顧客データのセキュリティを確保する必要があります。

  • 非営利組織
    寄付を受け付けている、またはイベント、会費、商品の決済を処理する慈善団体や非営利組織は、寄付者や会員の機密情報を保護するために、安全な支払い方法を導入する必要があります。

  • B2B ビジネス
    サプライヤー、ベンダー、パートナーなど、他の企業からの決済を処理する企業は、信頼を維持し、機密性の高い財務データを保護するために、決済のセキュリティを優先する必要があります。

決済のセキュリティ戦略を策定する方法

決済のセキュリティは、多様かつ柔軟なソリューションを必要とする複雑な課題です。しかし適切な手順に従えば、顧客からの信頼を育み、効率的な法令遵守の実践をサポートする安全な環境を構築することができます。

次の手順は、企業が充実した決済のセキュリティ戦略を策定する方法を示しています。

1. リスク評価を実施する
まずは現在の決済インフラストラクチャー、プロセス、およびシステムを確認して、潜在的な脆弱性と改善すべき領域を特定します。ビジネスで扱う機密データの種類と、そのデータを保存、処理、送信する場所を特定します。

2. 法令遵守の要件を把握する
PCI DSS など、業界を管理する標準および規制をよく理解し、ビジネスを展開する市場に基づいて、自社のビジネスに固有の法令遵守要件を特定します。このような標準で義務付けられているセキュリティ管理と実践を理解していることを確認してください。

3. セキュリティポリシーと手順を策定する
機密データの取り扱いに関するガイドライン、アクセス制御、インシデント対応、従業員トレーニングなど、決済のセキュリティに対応する明確なポリシーと手順を確立します。このようなポリシーと手順が業界標準や規制に沿っていることを確認します。

4. セキュリティ対策を実施する
リスク評価と法令遵守の要件に基づいて、暗号化、トークン化、強力な認証、ファイアウォール設定など、適切なセキュリティ対策を実施します。安全なペイメントゲートウェイを選択し、PCI DSS 準拠のベンダーと協力して法令遵守への取り組みを効率化します。

5. システムを監視し、ストレステストを実施する
決済システム、ネットワーク、アプリケーションを定期的に監視して、潜在的な脅威や脆弱性がないかどうかを確認します。脆弱性スキャン、侵入テスト、システム監査などの施策では、セキュリティ対策の有効性を評価し、改善すべき領域を特定することができます。

6. 指示に従ってアプローチを調整する
どれほど慎重に練られたセキュリティ戦略でも、時間が経てば調整や適応が必要になってきます。決済のセキュリティ戦略の有効性を継続的に評価し、ビジネス、業界規制、脅威の状況の変化に対応するために必要に応じて調整してください。定期的なレビューは、顧客データを保護するための戦略が適切かつ効果的であり続けることを保証するうえで役に立ちます。

7. インシデント対応計画を立てる
セキュリティ侵害やその他のインシデントが発生した場合の組織の対応が明確に定義されたインシデント対応計画を策定します。この計画には、役割と責任、通信プロトコルのほか、インシデントを封じ込め、軽減するための手順の概要が示されている必要があります。

Stripe の高度な決済のセキュリティと不正防止がどのようにビジネスをサポートするか、また、シンプルかつ安全な決済体験を顧客に提供するツールやリソースについては、こちらをご覧ください。

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。