カード会員データ環境 (CDE) とは、カード保有者の情報を、特定の企業内で処理、送信、保存するためのメカニズムのことです。これには、カード保有者のデータの処理に直接関係する、ソフトウェア、ハードウェア、あるいは、クレジットカード取引およびデータのセキュリティに影響する、その他の手順またはポリシーなど、あらゆるシステム要素が含まれます。
こちらの記事では、CDE について知っておくべきこと、CDE が決済において果たす役割とその仕組み、どうすれば堅牢で安全、かつ信頼性の高い支払い環境を構築できるか、などについて解説します。
この記事の内容
- 支払いカード業界で CDE が果たす役割
- CDE の構成要素、要件、データの種類
- CDE に対する PCI DSS の要件
- 安全な CDE を構築し維持するには
- CDE の侵害への対応
支払いカード業界で CDE が果たす役割
CDE は、支払いカードの情報を企業内で処理、保存、送信する際に使用されるインフラストラクチャーです。この環境には、支払いカードのデータを取り扱うすべての技術および運用システムが含まれます。CDE が広範な決済業界のエコシステム内で提供している、重要機能の概要についてご紹介します。
カード保有者のデータの保護: CDE は、利用者の決済情報を不正アクセスやデータ漏洩から守るために使用されます。2021 年に発生したこのようなデータ漏洩は、4,100 件以上 (Flashpoint と Risk Based Security の報告による) に上ります。企業は、専用の環境を用意することで、最も必要とされるセキュリティ対策に、重点的に取り組めるようになります。
基準への準拠: カード保有者のデータを取り扱う企業は、PCI データセキュリティ基準 (PCI DSS) に準拠する必要があります。CDE は、こうした取り組みを行う対象となる場所です。
リスクの軽減: CDE があることで、企業は支払いカードのデータに対するリスクを特定し、軽減することができます。データ漏洩が及ぼす影響を考えると、こうしたデータの保護は非常に重要です。たとえば、2013 年に起きた、アメリカの小売り大手 Target を標的とする大規模なクレジットカード情報漏洩事件では、合計 2 億 9,000 万ドルの費用が発生し、同社の株価は下落しました。
顧客の信頼獲得: 安全な CDE を構築し、支払い情報が安全に保存されていることを証明できれば、顧客の信頼につながります。
取引の一貫性の維持: CDE があれば、取引を確実に、安全かつ正確に実行でき、決済プロセスの一貫性を維持できます。
訴訟や財政的な影響を回避: データ漏洩は、訴訟や多額の財政損失を引き起こします。CDE を導入することで、企業はそのような事態から会社を守ることができます。
支払いカードのデータを、効果的な CDE 戦略を立てることなく取り扱っている企業は、自社の財務健全性や評価を危険にさらしているといえます。次は、リスクを最小限に抑え、優れた価値を最大限に活かすための周到な計画の立て方についてご紹介します。
CDE の構成要素、要件、データの種類
CDE の内部では、支払いカードの機密情報を管理するために、複数の要素が相互にやりとりしています。それらの要素と、要素を保護するための要件、そこで処理されるデータの種類は、以下のとおりです。
構成要素
- コンピューティングハードウェア: 決済処理ソフトウェアを実行している、サーバーやワークステーションなどがこれに含まれます。また、ネットワーク内を移動するデータに方向を指示したりこれを保護したりする、ネットワークの構成要素 (ルーター、スイッチ、ファイアウォールなど) もこれに含まれます。
- 決済用端末: 購入者の支払いカードの読み取り操作 (スワイプ、挿入、タップ) を行う POS の物理デバイスです。
- ストレージシステム: デジタルファイル、データベース、バックアップなど、支払いカードのデータを保存する場所です。USB ドライブやバックアップテープなど、取り外し可能なメディアはこのカテゴリに含まれます。
- アプリケーション: 決済を処理するソフトウェアです。POS システムとオンラインのペイメントゲートウェイがあります。
- アクセス制御: 安全なエリアへの物理的アクセスやデータシステムへのデジタルアクセスにより、CDE にアクセスしようとしているユーザーの ID を認証するシステムです。
要件
- データを暗号化する: 支払いカードのデータは、公開あるいは公共のネットワークを介して送信する場合は特に、強力な暗号標準を使って暗号化する必要があります。
- アクセスを管理する: CDE にアクセスできるのは承認済みの個人のみとし、それらのユーザーの活動は記録および監視する必要があります。
- 物理的なセキュリティ対策を講じる: CDE への物理的アクセスは、不正アクセスから保護されているエントリーポイントで制御し、監視します。
- 定期的に検査する: 脆弱性を特定して修正するための定期的な検査と侵入テストが必要です。
- データの保持および破棄に関する方針を決める: 企業は、カード保有者のデータを保持する期間、および、不要になったデータを安全に破棄する手順について、明確な方針を定める必要があります。
- ベンダーを管理する: サードパーティーが CDE にアクセスする場合は、同じように上記のセキュリティ要件に従う必要があります。
データの種類
- カード保有者に関する情報: カード保有者の氏名、カード番号、カードの有効期限、サービスコード (通常は支払いカードの表面に記載) などです。
- 機密の認証データ: カードのセキュリティコード (Card Verification Value [CVV] または CVV2)、個人識別番号 (PIN)、磁気ストライプまたはチップデータなど、カード保有者の認証、および取引の承認に使用されるデータがこれに該当します。
購入者の支払いを処理する企業は、業界、取引金額、その他のリスク要因に関係なく、CDE のことを常に最優先して考える必要があります。CDE の構成要素を理解し、必要なセキュリティ要件に従うことで、企業は、カード保有者の情報をデータ漏洩や悪用から効果的に保護することができます。
CDE に対する PCI DSS の要件
PCI DSS は、CDE 内にある、支払いカードのデータを保護するための指針を定めています。これらの総合的かつ詳細な基準は、カード保有者のデータを、カードの使用開始時点から取引完了時点、およびそれ以降も含めて、保護することを目的としています。その主要な要件を詳しくみてみましょう。
ファイアウォールを設置、設定、保守する: ファイアウォールは、CDE の門番として機能します。不正アクセスを確実に遮断できるように、適用されたルールセットに基づいてネットワークトラフィックの送受信を制御し、適切に設定され管理されている必要があります。
パスワードやセキュリティパラメータなどの、ベンダー設定の初期値を変更する: システムのパスワードなどの初期値が設定されていることがありますが、これらは簡単に悪用されます。初期設定は、システムを接続する前に一意の複雑なパスワードや設定に変更する必要があります。
保存されているカード保有者のデータを保護する: 企業がカード保有者のデータを保存する場合、一般的に認められている方法でそれらを暗号化する必要があります。データへのアクセスは、それを知る必要がある人にのみ許可し、データの保存期間と明確な削除手順とを示した、厳格なデータ保持方針を定めます。
公共のネットワークを介して送信されるカード保有者のデータを暗号化する: インターネットなど、誰でも簡単にアクセス可能なネットワークを介してデータを送信するときは、データが傍受される可能性があるため、必ず強力な暗号化手段を使ってデータを暗号化します。
ウイルス対策ソフトを使用し定期的に更新する: ウイルス対策ソフトウェアは、悪意のあるプログラムがシステムに侵入することを防ぎます。このソフトウェアは、マルウェアの標的になりやすいすべてのシステムにインストールする必要があります。また、定期的に更新することが重要です。
セキュリティ保護されたシステムとアプリケーションを開発、維持する: 企業は、セキュリティパッチをインストールすることで、システムのあらゆる構成要素を脆弱性から守る必要があります。アプリケーションを開発するときは、セキュリティを最優先事項とします。
カード保有者のデータへのアクセスは、それを知る必要がある人にのみ許可する: 企業は、最小特権の原則を適用し、ユーザーには各自の業務の遂行に必要な特定のデータ、リソース、機能へのアクセスのみを許可するようにします。
コンピューターへのアクセス権を持つ一人一人に一意の ID を割り当てる: こうすることで、特定のデータやシステムでの活動が誰のものであるかを追跡でき、説明責任を維持することができます。
カード保有者のデータへの物理的アクセスを制限する: 物理的な保護を使って、権限のない人がシステムやデータストレージにアクセスすることを防ぎます。この方法には、ロック、アクセスコントロール、メカニズムの監視などが含まれます。
ネットワークリソースやカード保有者のデータへのアクセスをすべて追跡、監視する: ログ記録のメカニズムや、ユーザー活動の追跡は、データ漏洩を発見、防止、対処する際に重要になります。
セキュリティのシステムとプロセスを定期的に検査する: セキュリティのシステムとプロセスには定期的にストレステストを実施し、適切に設定され、カード保有者のデータ保護に有効であることを確認します。
情報セキュリティに対応した方針を維持する: 企業は、テクノロジーや、セキュリティ意識向上プログラム、情報セキュリティなどに対応するための正式な方針と明確な管理構造を策定・維持し、これを全従業員と請負業者に周知する必要があります。
以上の要件に従うことで、企業は、カード保有者のデータを処理するための安全な環境を構築し、信頼と整合性とを維持しながら、自社および顧客をデータ漏洩から守ることができます。PCI DSS に常に準拠することで、企業はセキュリティへの取り組みを行動で示し、安全な決済環境を構築するという、より大きな目標を実現することができます。
安全な CDE を構築し維持するには
堅牢な CDE を構築し維持するにはどうすればよいのでしょうか。次は、そのプロセスについて説明します。
CDE の範囲を定める: カード保有者のデータを保存、処理、送信するすべてのシステム、スタッフ、プロセスを特定します。データフローの位置関係を確認し、環境内に見落としている部分がないか確認します。
ネットワークを分割する: アクセスを制限するため、CDE を他のネットワークリソースから分離させます。それにより、CDE とやり取りできるシステムが減り、潜在的な攻撃ベクトルを減らすことができます。
データを暗号化して保護する: カード保有者のデータを保存および送信するときは、強力な暗号化を使用します。暗号化は錠として機能し、正しい鍵を持たない、権限のない人物にデータが読み取られることを防ぎます。
アクセスを制御する: 権限を持つ担当者だけが CDE にアクセスできるようにします。これは、一意の ID と強力な認証方法を用いた適切な本人確認により、実行できます。
物理的なセキュリティ対策を講じる: CDE の物理的な場所を、鍵のかかった部屋、監視カメラ、入退室管理システムなどを使って保護し、不正な侵入を防ぎます。
セキュリティシステムを保守する: ファイアウォール、ウイルス対策ソフト、侵入検知システムなどのセキュリティアプリケーションを常に最新状態に保ち、新たな脅威による攻撃を阻止します。
セキュリティ方針を策定し実施する: セキュリティ対策に期待されることを定めた、明確な方針を作成し、それに応じた従業員訓練を行います。この方針には、セキュリティインシデントへの対応方法や定期監査の方法を詳細に記した、日常業務の手順を含めます。
すべてのアクティビティを監視し記録する: ログ記録のメカニズムを実装し、CDE にアクセスした人、そのときのアクティビティ、それを行った日時を記録します。ログを定期的に検証し、不審なアクティビティがないか確認します。
セキュリティ対策を検査する: 脆弱性検査や侵入テストを定期的に行い、セキュリティ上の弱点を特定し修正します。
データ漏洩に対処する: セキュリティ侵害への対処方法を記した、インシデント対応計画を作成します。これには、攻撃の封じ込め戦略、コミュニケーション計画、さらなるインシデントの発生を防ぐ手順を含めます。
見直しと改善を定期的に行う: セキュリティは継続的なプロセスです。新たな脅威に対応するには、セキュリティの管理策、方針、手順を定期的に見直し、更新する必要があります。
ベンダーのデューデリジェンス: サードパーティーが CDE にアクセスできる場合は、そのサードパーティーを入念に検査し、セキュリティ要件を満たしていることを確認します。
安全な CDE を実現するには、継続的な監視、防衛手段の定期的な更新、会社全体でのセキュリティ意識の向上が欠かせません。
CDE の侵害への対応
細心の注意を払って計画し、保守していても、データ漏洩の発生は完全には避けられるものではありません。この不正利用は、手法が絶えず変化する点に特徴があり、最善の CDE であっても脆弱性から逃れることは不可能です。CDE は、データ漏洩が発生したときにそれに対処するための、しっかりとした計画を用意することで、初めて完成します。
すみやかに対処し封じ込める: データ漏洩を発見したら、ただちに封じ込めを行います。具体的には、さらなるデータ損失を食い止めるため、侵害されたシステムを隔離します。たとえば、データ漏洩が特定のサーバーで発生した場合は、そのサーバーをネットワークから切断するといったようにです。
データ漏洩を調査、分析する: 徹底的な調査を実施して、漏洩範囲を特定します。これには、不正アクセスを受けたのはどのデータか、どのような経緯で漏洩したか、漏洩時間はどの程度か、といったことの確認が含まれます。分析には、フォレンジックツールやテクニックが役立ちます。
関係者に連絡する: CDE の漏洩管理においては、情報の透明性を確保することがきわめて重要です。データ漏洩が発生したら、関係するすべての顧客に連絡し、漏洩の内容、漏洩した情報、今後どのような是正措置を講じる予定か、といったことを伝えます。また、法令によって、データ漏洩が発生した場合は規制機関に通知することが義務付けられている場合もあります。
法令遵守の専門家に連絡する: 会社の法律顧問は、データ漏洩の影響を評価し、関連するすべての法令の遵守を実施する必要があります。データ漏洩は、地域や業界ごとに関連する法律が変わってくるため、専門家と連携することがとりわけ重要です。
セキュリティ対策を強化する: 調査結果に基づいて、データ漏洩を防ぐべく改善したセキュリティ対策を実施します。これには、ソフトウェアの更新や、ファイアウォールおよび暗号化方法の強化などが含まれます。
従業員トレーニングと意識向上プログラムの実施: データ漏洩は、ヒューマンエラーが原因となることがよくあります。データセキュリティのベストプラクティスや、顧客情報を保護することの重要性を、従業員にしっかりと理解させることが大切です。
広報活動: 企業は、データ漏洩に対処し、さらなるインシデントを防ぐために講じた対策について、率直に伝える必要があります。
継続的な監視: データ漏洩の直接的影響に対処したら、その後はシステムを継続的に監視し、異常な活動があればただちに特定しなくてはなりません。
インシデント対応計画を見直し、改定する: データ漏洩への対応が完了したら、漏洩から得た知見に基づいて、インシデント対応計画を見直し、改定します。これで、新たなインシデントが発生してもすぐに対応できるようになります。
カスタマーサポートと支援: データ漏洩の影響を受けた利用者にサポートを提供します。これには、クレジットの監視サービスや問い合わせへの電話対応などが含まれます。
以上のプロセスの間、企業は一貫して情報の正確性と説明責任に尽力し、先を見越した対策を講じて、信頼回復と、利用者の情報の安全確保に努めるようにします。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。