pci dssサービス紹介サイト ペイメントワールド

[ 2012年05月18日 - PAYMENT WORLD ]ペイメントナビで「JAPAN IT WEEK 2012春」の模様を紹介、「PayPal Here」などスマートフォン決済ソリューションが登場

2012年5月18日18:53

カード情報ポータルサイト「ペイメントナビ（payment navi）」では、2012年5月9日～15日までリードエグジビションが開催した、「JAPAN IT WEEK 2012春」の模様を紹介しています。同展示会では、スマートフォンを活用した決済ソリューションを複数の企業が展示しました。数多くの企業では、PCI PTSの関連規格である「DUKPT」によるキーマネジメントシステムの採用など、セキュリティを意識してシステムの構築を行っていました。

■スマートフォン決済ソリューションに熱視線（JAPAN IT WEEK 2012 春）
http://www.paymentnavi.com/paymentnews/23309.html

PCI DSS資料請求はこちら

[ 2012年05月17日 - PAYMENT WORLD ]CTC、オリコから「途上与信」および「マーケティング施策実行支援機能」のアウトソーシングを受注

2012年5月17日19:01

伊藤忠テクノソリューションズ（CTC）は、オリエントコーポレーション（オリコ）から「途上与信」および「マーケティング施策実行支援機能」のアウトソーシングを受注したと発表した。オリコは、2011年11月から、同サービスの利用を開始している。

途上与信とは、クレジットカードやローンカードを利用している顧客の利用状況、利用傾向を判断し再度与信判断を行うものである。オリコは、途上与信を行うにあたり、顧客データをもとにした利用傾向のシミュレーションの精緻化や法改正への柔軟な対応を行う必要があったという。また、従来、顧客データをもとにし「個客」マーケティング施策を実施してきたが、分析を高度化させマーケティング施策を緻密化、施策数の拡大を行うためにはマーケティングのPDCAサイクルを支援していく環境が求められていたそうだ。

CTCは、これらの課題を解決するため、従来のメインフレームを利用した途上与信システムから、オープンアーキテクチャを利用したシステムを構築した。また、途上与信だけでなくマーケティング施策実行支援機能を含めアウトソーシングを受託し、サービス提供を開始している。

サービスを提供する基盤として、顧客分析からキャンペーン対象の定義、ビジネスルール設計、効果検証等の一連の業務の効率化を実現するSAS Institute Japanのマーケティング・キャンペーン管理ソリューション「SAS Marketing Automation」と、大量データの高速処理を可能にするオラクルのデータベース・マシン「Oracle Exadata」を採用している。

オリコは、今回のCTCのサービスの利用を開始することにより、従来の業務の高度化、範囲拡大を実現するとともに、運用コストの大幅な削減も実現したという。

CTCは、オリコのコンタクトセンターやWeb等フロントチャネル系のシステムの開発、構築、運用を手がけたこれまでの実績に加え、SAS製品群のシステム構築の実績やOracle Exadataをはじめとした高速データベースなどのオラクル製品群の実績を認められ、今回の受注に至った。

PCI DSS資料請求はこちら

[ 2012年05月16日 - PAYMENT WORLD ]「ペイメントナビ」において、カード決済、ICカード、ポイントカード、カードセキュリティなどに関連した求人情報の掲載ができる「求人情報ナビゲーション」の掲載をスタート

2012年5月16日23:16

TIプランニングは、カード情報ポータルサイト「ペイメントナビ（payment navi）」において、カード決済、ICカード、ポイントカード、カードセキュリティなどに関連した求人情報の掲載ができる「求人情報ナビゲーション」の掲載をスタートしました。

ペイメントナビは、カード決済、ICカード、ポイントカード、カードセキュリティに関連した企業の実務担当者が多く閲覧しているサイトとなっています。今回、専門性の高い業界メディアを活用して、有効な求人活動を行っていただく目的で「求人情報ナビゲーション」の掲載をスタートしました。掲載は一カ月から可能となっており、リーズナブルな価格で募集活動が実現できます。

■求人情報ナビゲーション
http://www.paymentnavi.com/category/recruit_navi

■求人情報ナビゲーション詳細
http://www.paymentnavi.com/paymentnews/20434.html

PCI DSS資料請求はこちら

[ 2012年05月14日 - PAYMENT WORLD ]三井住友カードとベリトランス、「銀聯ネット決済」において新たな認証スキームを導入

2012年5月14日20:30

三井住友カードと、決済代行事業者のベリトランスは、2009年より提携し提供を行っている中国本土向けのインターネット通販に向けた銀聯カード決済に、新たな認証スキーム「UnionPay Online Payment（UPOP）」を導入したと発表した。その第一弾として、2012年5月14日にベリトランスが企画・運営する中国人消費者向けインターネットショッピングモール「佰宜杰.com（バイジェイドットコム）」内で、UPOPの利用を開始する。

UPOPは、中国銀聯が開発したオンライン決済のプラットフォームで、「eBank-Pay」「Veri-Pay」「Express-Pay」「Pre-Pay」の4つの中から銀聯カード会員がいずれかを選択できるのが特徴だ。

eBank-Payは、銀聯カード発行銀行のインターネットバンキングシステムへ接続して決済を行う方式となり、従来の銀聯ネット決済プラットフォーム「CUPSecure」と同様の機能を提供するという。

また、Veri-Payは、カード情報（カード番号、有効期限等）に加え、携帯電話番号とワンタイムパスワードを活用した決済方式となる。Express-Payは、UPOPにカード番号を含めた銀聯カード登録を行い、UPOPから発行されたIDとパスワードを用いて決済を行う仕組みである。最後に、Pre-Payは銀聯プリペイドカードによる決済方式となっている。

今回のUPOPの導入により、ネットバンキング方式（従来のCUPSecure）に加えて新たに3方式での決済が可能となり、銀聯カード会員の利便性が格段に向上することが見込まれると両社では期待している。

なお、バイジェイドットコムは、ベリトランスが企画・運営を行う中国人消費者向けインターネットショッピングモールである。銀聯カードを使った決済を搭載しており、物流や翻訳、ユーザ対応までをベリトランスがトータルサポートしている。そのため、中国展開を考える日本企業は、商品と商品データさえ準備すれば中国向けに商品を販売することができる。また、中国人消費者はモール内で銀聯カードを使ったネット決済が可能となり、さらに商品が日本の正規店から直送されるという。

PCI DSS資料請求はこちら

[ 2012年05月11日 - PAYMENT WORLD ]書籍「PCI DSSのすべて」が、イード運営の「ScanNetSecurity」で紹介されました

2012年5月11日18:40

PCI DSSポータル＆サービス紹介サイトの「PAYMENT WORLD（ペイメントワールド）」、カード情報ポータルサイト「payment navi（ペイメントナビ）」を運営するTIプランニングが発行した書籍「PCI DSSのすべて」が、イード運営の「ScanNetSecurity」で紹介されました。ペイメントワールドでは今後もPCI DSSの普及・啓発を継続してまいります。

■自著を語る「PCI DSSのすべて」池谷貴（ブックレビュー）
http://scan.netsecurity.ne.jp/article/2012/05/10/28991.html

PCI DSS資料請求はこちら

[ 2012年05月10日 - PAYMENT WORLD ]安全・安心なWebサイトを実現する総合的セキュリティ対策支援サービス「セキュアWebパートナーシッププログラム」を提供（ラック）

2012年5月10日0:42

ラックは、Webサイトを運営する企業とWebサイト開発者を対象に、安心・安全なWeb環境の実現を支援するための各種セキュリティサービスを総合的に安価で提供する「セキュアWebパートナーシッププログラム」を、2012年5月9日から提供すると発表した。ラックでは、今年度20社の契約を目指す。

同プログラムは、安全なWebサイト運営に必要なセキュリティ対策を、開発上流工程の設計段階から運用開始後まで、総合的に支援するセキュリティ対策支援サービスである。標準提供サービスとして、ネットワークやサーバを検査する「プラットフォーム診断」、Webサーバで稼動するプログラムを検査する「Webアプリケーション診断」、開発されたプログラムのミスを検査する「ソースコード診断」を用意し、年間契約で一定量のチケットを購入してもらい、低価格で都度ごとの契約なくスピーディに利用できるという。同プログラムは、20チケット/年、240万円から利用可能だ。

PCI DSS資料請求はこちら

[ 2012年05月08日 - PAYMENT WORLD ]据え置き型の銀聯、クレジットカード決済端末「JPT-E530」の予約受付を開始（日本ポステック）

2012年5月8日6:11

日本ポステックは、2012 年5月7日、据え置き型の銀聯、クレジットカード決済端末「JPT-E530」の予約受付を開始すると発表した。定価は2万9,800円（税別）、月額費用300/月（税別）となる。

据え置き型の銀聯、クレジットカード決済端末「JPT-E530」（出典：日本ポステックのプレスリリース）

同社では、「機能も価格もスマートに」を掲げており、同端末は2 万円台と従来の端末と比べ低価格となっている。現在、銀聯端末の需要は都市圏を中心に拡大しているが、導入コストが高額に上るために導入を見合わせている店舗が多数存在していたという。JPT-E530 ではそういった加盟店の要望を受け、シンプルなクレジット決済、銀聯決済機能に特化し、耐久性、操作性を重視して開発され、従来製品の半額以下の低価格での提供を可能とした。

同社では、今後ますます需要が増大する、主要都市、国際空港を有する各地域、観光業、飲食業、家電量販店など、中国からの観光客が見込まれる地域を中心に製品の提供を行う。また、現在、カード会社と銀聯契約がない事業者や、旧型端末からの乗り換えなどに対応する。

なお、JPT-E530 はクレジットカード決済、銀聯決済機能が基本機能となっているが、端末アプリケーションのカスタマイズにより、ポイント端末やその他汎用端末機としての提供も可能だ。

日本ポステックでは、JPT-E530や先行して販売するJPT-S90のほか、顧客の利用環境に合わせてさまざまな決済端末、スマートフォン用カードデバイス、アプリの開発を予定しており、順次製品発表を行うという。

PCI DSS資料請求はこちら

[ 2012年05月01日 - PAYMENT WORLD ]PCI DSSポータル＆資料請求サイト「ペイメントワールド（PAYMENT WORLD）」がオープン1周年

2012年5月1日19:15

2011年5月1日オープンしたPCI DSSポータル＆資料請求サイト「ペイメントワールド（PAYMENT WORLD）」は、オープン1周年を迎えました。1年間記事を閲覧していただいた読者の皆様、情報を提供していただいたPCI DSS関連企業の方々、資料請求ページに参加していただいている企業の皆様など、1年間当サイトを支えていただいたすべての方々に陳謝します。今後も加盟店やサービスプロバイダのセキュリティに対する意識の向上、PCI DSSの普及・啓発につながる情報を提供していきたいと考えておりますので、引き続き「ペイメントワールド（PAYMENT WORLD）」をよろしくお願いします。

PCI DSS資料請求はこちら

[ 2012年04月26日 - PAYMENT WORLD ]PCI DSSの普及・啓発に向け取り組む日本カード情報セキュリティ協議会が定時会員総会を開催

2012年4月26日17:08

ベンダーや審査機関、SIerなどが中心となり、ペイメントカード情報の国際セキュリティ基準「PCI DSS」の普及・啓蒙活動に取り組む「日本カード情報セキュリティ協議会（JCDSC）」は、2012年4月24日、TKP東京駅日本橋ビジネスセンターホールで定時会員総会を開催した。同協議会は3月7日現在、112社が加盟している。

総会では、年間活動の報告、運営委員および事務局の信任、会計報告、ゲストスピーカーの講演が行われた。

講演する運営委員長のBSIグルーブジャパン 武藤敏弘氏

2011年度は、関連団体との連携の模索をはじめ、PCI DSS要件の解釈の緩やかな統一を図る「QSA部会」、PCI DSSの各要件に対しての対応製品・ソリューションを紹介する「ベンダー部会」が定期的に活動を行った。

2012年6月には、シンガポールにおいて、アジア・太平洋地域で初めてPCI SSCのイベント「アジア・パシフィック・ミーティング」が開催される。総会では、PCI SSC ゼネラルマネージャー ボブ・ロッソ氏からのメッセージも届けられた。

「毎年、今年はPCI DSSの勝負の年」とコメントしてきた運営委員長のBSIグルーブジャパン 武藤敏弘氏は、「カード会社や国際ブランドの動きは前向きになっている」と、国内でもPCI DSSが普及の兆しを見せていることを強調した。

2012年度の運営委員長はBSIグルーブジャパンの武藤敏弘氏、運営副委員長はアクセンチュアの西 誉氏、運営委員は三和コムテックの岡山 大氏、NANAROQの佐々木　慈和氏、ブロードバンドセキュリティの早貸勤氏が務める。また、事務局長はNTTデータ先端技術（NTTデータ・セキュリティ）の鍋島聡臣氏、事務局は日本オフィス・システムの森 大吾氏が再任した。

PCI DSS資料請求はこちら

[ 2012年04月26日 - PAYMENT WORLD ]外部調査機関2社によるフォレンジック調査を行い、PCI DSS準拠などの対策を予定（ベクター）

2012年4月26日17:05

ベクターは、2012年3月22日に公表した不正アクセスによる顧客情報流出の可能性に関して、4月25日に最新状況の報告を行った。

2012年3月21日2時30分頃、同社一部サーバに異常が発生し、システム担当者が対応したところ、3月19日20時55分頃～3月21日0時頃までにかけて、4回の不正アクセスと思われる痕跡があることを発見し、調査を開始した。

その結果、不正アクセスが検知されたサーバのネットワークから切り離し、クレジットカード会社の要請に基づきクレジットカード決済を停止、ラックとベライゾンジャパンの外部調査機関2社への調査依頼を実施した。

不正アクセスされた個人情報を保持するサーバには、 2008年2月以降に、同社でソフトウェアを購入された人、同社PC向けオンラインゲームで、課金サービスを利用した人のうち、個人情報の一部（最大で26万1,161件）が保存されており、その一部にはクレジットカードの情報も含まれていた。

同社では、3月21日以降、調査対策委員会を設置。外部調査機関2社と連携し、原因究明および被害実態の継続的な調査、調査結果に基づく対策を行っている。

同社は、セキュリティ強化に関して専門会社のアドバイスを受けながら対策を実施。これまでに、ファイアウォールの設定強化ならびに業務別ネットワークセグメント間のアクセス制限強化により、不正アクセスの排除を行った。また、社内業務用として保持すべき個人情報を大幅に削減するとともに、保持する重要情報に関しては暗号化を実施。さらに、通信を監視・制限する専用機器を設置し、社内外からの通信を専門会社による常時監視体制下に置くことで、異常アクセスの検知・遮断を可能にした。

また、今後は、ネットワーク構成全体の見直しによる堅牢なセキュリティの実現、さらなるアクセス権限の厳格化による社内セキュリティレベルの向上、ペイメントカード業界の国際セキュリティ基準である「PCI DSS」の取得とクレジットカード決済サービスの再開を予定している。

これまでに実施した各種セキュリティ強化対策により、現時点の調査結果では、個人情報を保持しているサーバに対しては、3月23日12時10分以降、不正アクセスならびに痕跡を検知していない。これらの結果より、同社としては、個人情報に関する一定の安全性確保ができたと公表している。

同社では現在、専門会社2社との協力のもと、不正アクセスの経路・手段ならびに実際の被害の調査を継続している。当該専門会社からの調査完了は6月中となる見込みで、この結果を受けて最終結果を報告する予定だ。

PCI DSS資料請求はこちら

[ 2012年04月25日 - PAYMENT WORLD ]データ伝送業務のセキュリティ強化や効率化を支援する暗号化ファイル伝送ツール「Confidential Postingを販売開始（富士通FIP）

2012年4月25日20:00

富士通エフ・アイ・ピー（富士通FIP）は、2012年4月25日から、暗号化ファイル伝送ツール「Confidential Posting（コンフィデンシャルポスティング）」を販売開始すると発表した。価格は、パッケージ本体が 52万5,000円から、保守 10万5,000円/年からとなり、同社では、販売開始から3年で6億円の売上を目指す。

ラッピング技術を活用した「Confidential Posting」のファイル伝送イメージ（出典：富士通FIPのプレスリリース）

同商品は、「大容量」のデータを、インターネット経由で安心・安全に、かつ簡単に伝送可能にするパッケージであるという。金融機関を中心に約1,000社に対し、マルチプラットフォーム対応の暗号化ツール「COMPLOCKシリーズ」を提供してきた同社独自の「ラッピング技術（特許出願済）」により、受信者側でID登録やセットアップをすることなく、高セキュリティのデータ送受信・返信を実現する。また、データ送信時の端末からのAESによる暗号化や、データ送信後の復号化取り消しなどの機能も実現する。

さらに、「承認ワークフロー」や各種認証・制限などの豊富な機能を実装し、顧客の既存業務システムとの連携など、柔軟なカスタマイズも可能だ。

なお、ラッピング技術には、「データの『圧縮』『暗号化』『復号化』などの機能を、データとともにアーカイブ 」、「復号時のサーバ認証」、「送信元を記憶し、返信先を自動でセット」といた特徴がある。

PCI DSS資料請求はこちら

[ 2012年04月24日 - PAYMENT WORLD ]EMV、VISA認証サービス、PCI DSSなどカード決済のセキュリティ対策に力を入れ、グローバルでの不正比率は20年間で約3分の2まで減少（Visa）

2012年4月24日10:00

ペイメントカードの国際ブランドであるビザ・ワールドワイド（Visa）は、2012年4月19日、同社のセキュリティ戦略に関するカンファレンスを開催した。

グローバルな不正比率は20年間で約3分の2まで減少

Visaでは、グローバルにサービスを提供しているが、利便性、信頼性と共に「セキュリティ」を重要視している。同社では、不正を防止するための技術開発に力を注いでおり、1992年から2011年の約20年にかけて、グローバルな売り上げに対しての不正比率は、約3分の2まで低下したという。マスコミの報道などでは、国内外で大規模なデータ侵害のニュースを目にすることも少なくないが、「ここ10年間は、安定的なレベルに落ち着いており、特に直近の2～3年は不正利用の比率が下がってきています」とVisa Inc.チーフ・エンタープライズ・リスク・オフィサー エレン・リッチー氏は説明する。

不正を防止する手法としては、ペイメントシステム内の不正を最小限に留める「予防」、脆弱なカードデータを保護する「保護」、不正を監視・管理する「対策」といったように、階層的なアプローチを行っている。

まず予防としては、世界標準「EMV」に則ったICカードを発行。現在、世界では13億枚、そのうちアジア・太平洋地域で3億3,600万枚のカードを発行している。カード大国の米国では、EMV対応が遅れていたが、2012年10月1日から、Visa取引の75％以上をICカード決済端末で処理している加盟店においては、その年度についてペイメントカードの国際セキュリティ基準である「PCI DSS（Payment Card Industry Data Security Standard）」の審査が不要となる「テクノロジー・イノベーション・プログラム（TIP）」を米国内に展開することを発表している（海外では2011年2月から適用済み）。このような背景もあり、米国でも徐々にICカードに対する意識は高まっており、すでに100万枚のEMVカードが発行されている。また、米国で一番の大型加盟店であるウォルマートにおいて、EMV端末の設置がスタートした。

一方で、ICチップを導入済の市場では、非対面取引（CNP）における不正が増加傾向にある。その対策としては、インターネットショッピングにおいて、独自のパスワード認証を取り入れることにより本人確認を行う「VISA認証サービス（Verified by VISA）」を展開している。

「例えばインドでは、VISA認証サービスをほぼ全土で導入したことにより、非対面での取引は3年間で80％減少しました。これにより、eコマースに対する信頼性が向上し、同期間で売り上げが80％増加しました」（リッチー氏）

国内では、VISA認証サービスの認知度は決して高くはないが、従来の携帯電話での公式運用を3月23日から開始するなど、Visaでは普及に努めている。今回のサービススタートは、従来の携帯電話が普及している国内のみの「ガラパゴス対応」（ビザ・ワールドワイド・ジャパン 新技術推進部 e-コマース イニシアティブ ディレクター 鈴木章五氏）となる。

他にもリアルタイムで取得するリスクスコアを用いてカードからネットワークまでの不正をいち早く検知する「Visa Advanced Authorization（ビザ ・アドバンスド・オーソリゼーション）」、200を超えるグローバルバリデーションテストとサービスを行うサイバーソース（CyberSource）を2010年に傘下に入れたことにより、不正を瀬戸際で防止する体制を整えている。

保護の部分では、犯罪者がハッキングを行っても特定のデータにアクセスできないような形で格納、暗号する「トークナイゼーションと暗号化」の推進を実施。また、加盟店がデータを持たず、保管しない「データ非保持」を提案している。

データを保持しなければならない事業者の保護施策としては、ペイメントカード業界の国際セキュリティ基準である「PCI DSS」の策定を進めてきた。これまでに大手加盟店の8割以上が基準に遵守しており、特に米国では97％が対応を果たしている。

ビザ・ワールドワイド・ジャパン リスクマネジメント/カントリーリスクダイレクター 井原亮二氏は、「日本においても加盟店、カード会社などのPCI DSSに対する理解が進んでいます。JCA（日本クレジット協会）など、業界レベルでの取り組みがスタートしており、ここ1～2年で本格的な普及が進むと理解しています」と期待を寄せる。

最後の対策としては、「法の抜け穴」を狙った犯罪防止のため、各国の法執行機関と協力し、対策を行っている。また、データセキュリティの動向、トレンドを加盟店と共有することにより、自ら保護対策が実施できるように努めている。カード会員に対しては、リアルタイムでアラートを発信する技術も提供している。

Visaでは今後、VAAによるリスクのスコア化、EMVなどのデバイス情報に加え、動的な分析と認証により、さらなるセキュリティのさらなる強化を図る方針だ。

ビザ・ワールドワイド・ジャパン 代表取締役社長 岡本和彦氏によると、日本の消費支出に占める非現金決済の割合は約14％で、韓国の53％やオーストラリアの54％には遠く及ばないという。国内においては、デビット、プリペイド、法人カードといった新たな市場を開拓するとともに、不正利用についての階層的なセキュリティ対策のアプローチを行うことで、ステークホルダーのVisaに対する信頼を維持し、高めていきたいとしている。

PCI DSS資料請求はこちら

[ 2012年04月23日 - PAYMENT WORLD ]松阪市民病院がソフトウェア・ワンタイムパスワード「MobilePASS」を採用し、2要素認証による強固なユーザ認証を実現（日本セーフネット）

2012年4月23日22:00

セキュリティベンダーの日本セーフネットは、三重県松阪市の公立病院・松阪市民病院が、セーフネットのソフトウェア・ワンタイムパスワード「MobilePASS（モバイルパス）」を採用し、2要素認証による強固なユーザ認証を実現したと発表した。

松阪市民病院では、病院情報システムと呼ぶ本格的な電子カルテを導入し、画像検査のフィルムレス化を推進している。同システムを院内外で安全に利用できる遠隔医療連携システムを構築し、訪問看護の業務などに利用している。今後は、夜間の救急診療時に宿直の医師が判断を下す際に、院外にいる主治医や専門医に自宅などで診断画像を見ながら、意見を聞くといった利用法も計画しているそうだ。しかし、院外から院内のシステムにアクセスするには、不正アクセス、なりすましなどによる情報漏えいや事故の発生が懸念材料となっていた。そのため、ワンタイム・パスワードのような認証環境を強化する必要があったという。

日本セーフネットのMobilePASSは、他社と比べ、利用ライセンスが低コストであるという。また、管理サーバーソフトが無料で導入できるため、導入・運用コストを大幅に削減可能だ。さらに、iPadのタブレット端末だけでなく、iPhone, AndroidなどのスマートフォンやWindows PCなどからでもソフトウェア・ワンタイムパスワードの2要素認証で安全にシステムにアクセスできる高い汎用性も強みとなっている。

ICカードやトークンのようなハードデバイスも不要で、ソフトウェアだけでワンタイム・パスワードが生成可能だ。現在は、院内における利用が中心だが、順調に稼働しており、確実にユーザ認証の強化につながっているそうだ。また、遠隔連携システムの環境をMobilePASSに切り替えて運用しているが、運用管理上の負担の軽減につながっている。

松阪市民病院では今後、IP電話の導入も計画している。同病院では、試験的に院外で試用しながら、本格的な利用拡大を進めていく予定である。

PCI DSS資料請求はこちら

[ 2012年04月20日 - PAYMENT WORLD ]ネットショッピング利用者の「ワンタイムパスワード（動的認証サービス）」認知度は約50％（Visa）

2012年4月20日8:00

Visaは、「ワンタイムパスワード（動的認証サービス）」に関する意識調査を行った。調査の実施機関はマクロミルで、半年以内にネットショッピングを行っており、クレジットカードを持っている20歳～59歳の男女を対象にインターネットリサーチを実施。有効回答数は、事前調査が4万806サンプル、本調査が500サンプルとなった。

「ワンタイムパスワード（動的認証サービス）」の認知度（出典：Visaの資料）

まず、ワンタイムパスワードの認知度について尋ねたところ、約半数がサービスについて知らなかったと回答した。一方、内容まで認知している人は全体の32％だった。性別で見ると、男性でサービスの内容まで知っている人は42％と、女性の22.9％を大きく上回った。

ワンタイムパスワードを使用した本人認証サービスを内容まで知らなかった人に、改めてサービスの内容を提示し、同サービスを利用したいのかを聞いたところ、「ぜひ使いたい」が16.5％、「使いたい」が38.5％と、半数以上が利用意向を示した。ネットショッピングでのカード利用状況別にみると、いつもクレジットカード決済をする人の60.4％が、またクレジットカード以外の決済が多い人においても60％が「使いたい」と回答した。

ワンタイムパスワードのサービス内容までは知らなかったが、利用意向のある人に同サービスを使用した本人認証サービスを利用したい店舗について聞いてみると、「総合ショッピングモール」が88.8％、「その他の通販サイト」が71.8％と上位にあがった。性別で見ると、女性は男性に比べ「その他の通販サイト」や「海外の通販サイト」の割合が高いことがわかったという。

PCI DSS資料請求はこちら

[ 2012年04月19日 - PAYMENT WORLD ]EC決済時のなりすましを防止する「VISA認証サービス」のモバイル対応が3月23日からスタート（Visa）

2012年4月19日20:50

ビザ・ワールドワイド（Visa）は、2012年1月から「VISA認証サービス（Verified by VISA）」の従来の携帯（モバイル）対応のパイロット運用を行っていたが、3月23日から公式運用に移行した。4月19日にVisaが開催した、「ペイメント業界の発展に向けて～Visaのリスクマネージメントとセキュリティ戦略」のなかでビザ・ワールドワイド・ジャパン 新技術推進部 e-コマース イニシアティブ ディレクター 鈴木章五氏が明らかにした。

VISA認証サービスのロゴマーク

従来の携帯電話のVISA認証サービス対応は日本が初となる。VISA認証サービスはPCやスマートフォンに対応しているが、海外においてはモバイル対応は行っていない。日本においては従来の携帯電話が普及しているため、対応に踏み切った。

Visaでは、2010年8月26日に記者会見を開催し、VISA認証サービスのモバイル仕様を全世界に先駆け、日本で対応すると発表している。VISA認証サービスはインターネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みだ。マスターカード・ワールドワイドが「SecureCode（セキュア・コード）」、ジェーシービーが「J/Secure（ジェイセキュア）」と、VISA認証サービスをベースにした「3-Dセキュア」のサービスを行っている。

本人認証は、ネットショッピング時にカード発行会社とカード会員の二者間で実施。カード会員本人だけが認知するパスワードを使用することで、第三者による「なりすまし」を防いでいる。ただ、VISA認証サービスはPCやスマートフォンのみの展開であり、従来の携帯電話には対応していなかった。今回のモバイル対応は加盟店からの要望もあったという。

現状、3-Dセキュアなどの本人認証サービスについては、Visaが2011年6月に発表した調査結果をみても3割弱の認知度と消費者への認知は進んでいない。

ただし、普及に向けては追い風もある。日本クレジット協会（JCA）は、本人なりすましによる不正使用被害を防止するため、「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を制定し、4月2日にその内容を公表した。JCAでは、2011年3月から、まずは早期に対策が可能な新規インターネット加盟店を対象としたガイドラインを策定し、取り組みを実施。今回は、新規・既存を問わずすべてのインターネット加盟店を対象とした不正防止策となった。同ガイドラインでは、3-Dセキュアを必須とはしていないが、クレジットカード、有効期限に加え、本人なりすましによる不正使用防止策が講じられることを要請している。万が一、インターネット加盟店が有効な手法として採用した不正利用防止策をもってしても、なお不正使用が発生した場合においては、3-Dセキュアの導入を求めることとしている。

PCI DSS資料請求はこちら

[ 2012年04月18日 - PAYMENT WORLD ]JCAのガイドライン制定を受け、「認証アシストサービス」と「3-Dセキュア」を積極的にインターネット加盟店に推進（スマートリンクネットワーク）

2012年4月18日13:00

決済代行事業者のスマートリンクネットワークは、2012年4月2日に社団法人日本クレジット協会（JCA）からプレスリリースされた「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」の制定を受け、引き続きカード会員がインターネット上で安心してクレジットカード決済を利用できる環境を構築していくため、同社独自の本人確認・認証サービス「認証アシストサービス」と、クレジットカード会社が推奨するパスワード認証「3-Dセキュア」を積極的にインターネット加盟店様に推進していく方針であると発表した。

スマートリンクネットワークが提供するクレジット決済システム「e-SCOTT」は、大手クレジットカード会社とダイレクト接続をすることにより、独自の本人確認・認証スキーム「認証アシストサービス」を実現している。認証アシストサービスは、今回のガイドラインに制定された「本人なりすましによる不正使用防止策」に準拠したサービスであるという。また、e-SCOTTは、カード会社が推奨する3Dセキュアについても対応している。

PCI DSS資料請求はこちら

[ 2012年04月18日 - PAYMENT WORLD ]「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を制定（日本クレジット協会）

2012年4月18日12:00

日本クレジット協会は、インターネットにおけるクレジットカード決済の拡大に伴い増加している「本人なりすまし」による不正使用被害を防止するため、「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を制定し、その内容を2012年4月2日に公表した。

同ガイドラインは、新規にインターネット取引におけるクレジットカード決済加盟店となる事業者を対象に、2011年3月から実施していた「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を見直し、2012年7月1日から、すべてのインターネット取引におけるクレジットカード決済加盟店をガイドラインの対象として、「クレジットカード番号」および「有効期限」の入力に加え、本人なりすましによる不正使用防止策の実施を求める旨を規定している。

クレジット業界では、2011年3月にインターネット商取引における不正使用防止対策として、まずは早期に対策が可能な「新規インターネット加盟店」を対象としたガイドラインを策定し、取り組みを行っている。今回は、新規・既存を問わずすべてのインターネット加盟店を対象とした不正防止策について検討し、「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」として取りまとめた。

同ガイドラインでは、現時点において、なりすましによる不正使用防止対策に有効な手段である国際ブランド提供の本人認証サービス「3-Dセキュア」を推奨しつつも、不正使用防止の実効性確保の観点から、すべてのインターネット加盟店において「なりすましによる不正使用防止」が図られることを目的に、クレジットカード、有効期限に加え、本人なりすましによる不正使用防止策が講じられることを要請するものであるが、インターネット加盟店が有効な手法として採用した不正利用防止策をもってしても、なお不正使用が発生した場合においては、3-Dセキュアの導入を求めることとなった。

また、カード会社は、会員への3-Dセキュアのパスワードの登録促進並びに不知対策を推進する。

日本クレジット協会では、3-Dセキュア未対応国際ブランドおよびカード会社には3-Dセキュア導入を求めていく。また、携帯電話における3-Dセキュア対応については導入のインフラ整備を推進する方針だ。

PCI DSS資料請求はこちら

[ 2012年04月16日 - PCIDSS ペイメントワールド ]電子版はオールカラー！「PCI DSSのすべて」電子版の企業へのクライアント提供を開始

書籍「PCI DSSのすべて」
～初心者でもわかるペイメントカードの世界基準～

TIプランニングでは、2012年3月10日に発売開始した書籍「PCI DSSのすべて」電子版の企業向けのクライアント提供を開始しました。

書籍「PCI DSSのすべて」は、TIプランニングがこれまでカード情報ポータルサイト「ペイメントナビ（payment navi）」、PCI DSSポータル＆資料請求サイト「ペイメントワールド（PAYMENT WORLD）」の情報提供で培ったノウハウをベースに、PCI DSSに関連した情報をさまざまな角度からまとめています。

具体的には、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動する「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、メットライフアリコ、NECビッグローブ、ヤフーなどの加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例がまとめられています。

書籍版は、モノクロページでの提供となりますが、電子版はオールカラーでの提供となります。また、企業の担当者へのクライアント提供も可能です。

電子版の提供開始により、PCI DSSに関連したビジネスやサービスを提供する企業の担当者の意識が高まれば幸いです。

■電子版の企業購入の特典につきまして！
10～49クライアントのご購入　5％割引
50～99クライアントのご購入　10％割引
100クライアントのご購入　20％割引

■出版概要
「PCI DSSのすべて」
●発行：TIプランニング
●出版日時：2012年3月10日
●著者：ペイメントナビ/ペイメントワールド編集部
●デザイン：フィールビー
●販売：2,100円（税込）（送料200円）

⇒⇒⇒お申込みフォームへ

■初めて弊社と取引を行うお客様

お申込みを確認後、当社からご請求書をお送りいたします。書籍が完成次第、ご請求書をお送りします。入金確認後、当社より書籍を発送いたします。

＝＝＝＝書籍「PCI DSSのすべて」目次（Contents）＝＝＝＝

第1章　PCI DSS を取り巻く背景と関連プレイヤー
（1）ペイメントカードの不正利用の現状
（2）PCI DSS（Payment Card Industry Data Security Standard）とは？
（3）PCI DSS にかかわるプレイヤー
（4）PCI SSC（ Payment Card Industry Security Standards Council）
（5）国際ペイメントブランド
（6）QSA・ISA とASV
（7）PCI DSS 準拠の確認方法
①自己評価（自己評価問診票）
②脆弱性スキャンテスト
③訪問審査（オンサイトレビュー）
（8）国内でのPCI DSS の遵守状況
（9）国内でPCI DSS を推進する動き

第2章　国際ブランドの取り組み
（1）Visa のAIS の概要
●年間の取引件数により、レベル1 ～ 4 の4 レベルに分類
● Visa はPCI DSS 普及のためにさまざまな準拠期限を設定
●国内での普及に向けたさまざまな取り組み
●普及への課題は対応や維持コストの軽減策
（2）MasterCard Worldwide のPCI DSS 普及/ 推進戦略
● MasterCardWorldwide におけるPayment System Integrity
● PCI SSC とMasterCard
● PCI DSS とSDP
● PCI DSS 実施は複数の関係者の緊密な協力によって達成できる
●加盟店の役割は何か？
●ペイメントカードデータ流出事件が発生した場合の対応
● MasterCard 提供のPCI DSS Web セミナー
●まとめ
（3）JCB の「JCB データセキュリティプログラム」
● 3 種類の診断プログラム
（ 自己診断、脆弱性スキャンテスト、訪問審査）を用意
● JCB の推進の第一優先はEC 加盟店
●各国の事情や決済環境に応じた取り組みを実施
（4）American Express の「データセキュリティ運営 方針（DSOP）」
● American Express のバリデーション基準

第3章　PCI DSS の12 要件を概観
（1）カード会員データとセンシティブ認証データ
（2）PCI DSS の対象範囲
（3）PCI DSS の12 要件と各項目
●安全なネットワークの構築と維持
要件1　/　要件2
●カード会員データの保護
要件3　/　要件4
●脆弱性管理プログラムの整備
要件5　/　要件6
●強固なアクセス制御手法の導入
要件7　/　要件8　/　要件9
●ネットワークの定期的な監視およびテスト
要件10　/　要件11
●情報セキュリティポリシーの整備
要件12
●共有ホスティングプロバイダ向けのPCI DSS 追加要件
（付録A）
●代替コントロール
（4）対応が困難な要件、解釈に迷う部分は？
● JCDSC QSA 部会で議題にあがった要件は2、3、6、10、11 が多い
（5）PCI DSS Version2.0 のポイントは？

第4章　関連プレイヤーの動向
（1）PCI DSS の普及・啓発に取り組む日本カード情報セキュリティ協議会
●国内のQSA 有資格者が集う「QSA 部会」
●「認定トレーニングに関するワーキンググループ」、「 統一ロゴマーク」の発行を検討へ
●ソリューションベンダーが活動するベンダー部会
（2）PCI SSC PO Japan 連絡会の活動とは？
● 2010年度は「PCI DSS 部会」「PTS/PA-DSS 部会」を設置
● 2011年度はPCI DSS のさらなる認知度向上に力を入れる
（3）ISMS との同時審査によるメリット
（4）割賦販売法によるクレジットカード番号等の保護
（5）データベース・セキュリティ・コンソーシアムが「データベース暗号化ガイドライン 第1.0 版」を策定

第5章　カード会員情報を保護するセキュリティ最新動向
（1）カード番号を保管しないメリット
（2）情報漏えいの傾向とフォレンジック対応
（3）新たなテクノロジーとして注目を集めるトークナイゼーション
事例　ゴルフダイジェスト・オンライン
日本最大級のゴルフポータルサイトがトークナイゼーションを導入
●決済代行事業者へのデータ委託ではセキュリティ強化の抜本的解決にはならない
● SQL インジェクションなどの攻撃に対応　暗号化よりもセキュリティ対策が強固に
●今後は会員の個人情報のトークナイゼーション管理も視野に
(4)「PCI DSS Virtualization Guidelines」とは？
●リリースの前から強い関心を集める、ガイドラインでは11 の仮想化のリスクを紹介
●混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要
（5）PA-DSS、PCI PTS について
事例　日本NCR
日本NCR の決済アプリが国内初、PA-DSS Version 2.0 認定を取得
●国内で初めて2008 年にPA-DSS に準拠
●前回の審査よりもPA-QSA の要求が高まる
●最近は顧客企業からもPA-DSS 準拠のリクエストが増える

第6章　PCI DSS の準拠事例
事例①　メットライフアリコ
大手生命保険会社のメットライフアリコがPCI DSS に完全準拠
●年間取引件数は600 万件を優に超える、システムが大規模なためファイアウォールの設定で苦労
●現場との交渉により社内のルールを見直す、業務委託先の管理基準も作成
● Web サイトに監査証明マークを掲載
事例②　NEC ビッグローブ
大手ISP のBIGLOBE がPCI DSS に完全準拠、取得に向けて既存システムから決済環境を完全分離
●国際標準として自ら取得を決意、カード会員情報を既存のシステムから分離
●自社システムと要件とのギャップに苦しむ、8 つの要件で代替コントロールを適用
●当初の想定よりも安価なコストで準拠を果たす、PCI DSS 取得は営業面でもプラスに
事例③　ソネットエンタテインメント
レベル1 のインターネットサービスプロバイダ「So-net」がPCI DSS準拠
ISMS、プライバシーマークと統合したマネジメントマニュアルを作成
● Version2.0 の発行に合わせて準備を開始、2 回の予備審査で準拠に備える
●従来からカード情報などの個人情報を一元管理、CVSS スコア4.0 未満を維持するための素早い対応が課題
● ISMS とPCI DSS の合同審査を5 日で実施、審査の負荷を軽減しISMS はコストを削減
事例④　ニフティ
＠nifty のクレジットカード決済システムが完全準拠、取得に向け既存のデータベースからカード会員情報を分離
●会員数は1,000 万人を超える、AIS のバリデーションはレベル1
●アカウントの管理やセキュリティパッチの適用で苦戦、要件11 はソリューションの導入で対応
●取得に向け予備審査を2 回実施、大切なのは取得ではなくセキュリティレベルの維持・向上
事例⑤　ヤフー
「Yahoo! ウォレット」がPCI DSS に完全準拠、
レベル1 加盟店として世界基準のセキュリティ対応に意義を見出す
●取得に向け各部門のエキスパートが結集、審査まで5 カ月かけて準備に取り組む
●「課題管理票」や「想定問答集」を作成　大きなシステム投資、予備調査を受けずに準拠を達成
● Ver.1.2 にもスムーズに対応、取得経験も踏まえたPCI DSS の課題とは？
事例⑥　DMM.com/DMM.com ラボ
大手EC サイト「DMM.com」運営のDMM.com 社、システム委託先のDMM.com ラボ社と共にPCI DSS に完全遵守
●レベル1 の到達前に取得を決意 、カード会員情報は自社で保持
●準拠後の負担が大きいパッチの適用とログの集約、代替コントロールは適用せず
●加盟店より先にカード会社に準拠してほしい、2011 年以降も審査は継続
事例⑦　ユーシーカード
国内カード会社初、メインシステム環境でPCI DSS に完全準拠、
継続的なセキュリティレベルの維持により大幅なシステム改修をせずに対応を果たす
●メインシステムで準拠する強みを生かす、社内規定やシステム要件設定書といった書類関係の確認・整備に時間を費やす
●代替コントロールは要件3 などで適用、PCI DSS のオリジナル要件と遜色ないセキュリティを確保
● 2011 年はVersion2.0 に完全準拠、要件6.2 の脆弱性のリスクランク付けは導入済
事例⑧　三井住友カード
厳密になった規格に対し予備調査を行うことでクリア、自社の経験を生かして加盟店へのサポートも
●審査基準の厳密化に備え予備調査を実施
●ブランドの意向に沿う形でカード会社もPCI DSS の審査対象に
●加盟店に対するサポートに意欲、業界全体の推進力に
事例⑨　NTT データ
CAFIS を中心とした6 つのシステムでPCI DSS に完全準拠
● 2008 年からPCI DSS の準拠をスタート、2011 年はCAFIS伝票保管で新規に準拠
●仮想環境下での利用についてはVersion1.2 から対応、PCI DSS 要件以上のセキュリティレベルの実装を意識
●日本NCR の決済アプリケーション・ソフトウェアとPastelPort と組み合わせPA-DSS Version2.0 に準拠
事例⑩　GMO ペイメントゲートウェイ
決済代行事業者のリーディングカンパニーとしてPCI DSS に取り組む、
ISMS との合同審査で審査日数の削減と作業の効率化を図る
● ISMS の認証を上場決済代行事業者で一番に取得、1.1 から1.2 へのバージョンアップで審査項目が増加
● Version 2.0 の基準変更はプラスに、次期システムでは仮想化を意識
●「PG マルチペイメントサービス」で加盟店が安心して決済できる環境を
事例⑪　スマートリンクネットワーク
大幅な修正なく6 年連続でPCI DSS に完全準拠、今後は加盟店への支援も積極的に実施
●詳細な事前書類の提示などシステム対応より人的コストが増大
● Version2.0 の審査もスムーズに対応、日頃の社内の運用ルールも厳しく設定
事例⑫　ゼウス
バージョンアップごとに要件の明確化が図られ、運用面の負荷が増す
次年度以降はリスクランク付けのアプローチが課題に
● Version2.0 の審査もスムーズに対応、QSA に確認を取りながらシステム対応を行う
●継続的なセキュリティの維持・向上に努める、トークナイゼーションの導入も検討へ
事例⑬　ソフトバンク・ペイメント・サービス
PCI DSS への遵守について加盟店からの問い合わせが増加、
2012 年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
●リスクランクの設定は審査の対象から外す、事前にVersion2.0 の変更箇所についてQSA と確認
● PCI DSS 準拠の問い合わせを受けた加盟店には（AOC）を提出、トークナイゼーションの導入も検討へ
事例⑭　大日本印刷
カード決済における本人認証サービス「SIGN3D」でPCI DSS に完全遵守、
Visa の「3-D セキュア」の基準と並行して対応を進める
● 3-D セキュアと基準が異なる場合は厳しい基準に合わせて対応
● QSA の品質保証プログラム実施によりドキュメントとして証跡が必要に
● CDMS の運用管理はPCI DSS 準拠により格段に向上、準拠を目指す企業のデータ受託も検討
事例⑮　ヤマトシステム開発
国内でいち早くPCI DSS 取得に取り組む、準拠後もセキュリティレベルの強化を継続
●「クロネコweb コレクト（クロネコ＠ペイメント）」を中心としたEC システムと決済サーバから準拠に取り組む
● Version2.0 からは「Web 明細サービス」も対象範囲に追加
QSA を変更し、前年までと違った角度での審査を実施
●リスクランク付けのアプローチも対応済み、ペイメント・アプリケーション基準「PA-DSS」の準拠も検討

PCI DSS資料請求はこちら

[ 2012年04月13日 - PAYMENT WORLD ]PCI DSSの訪問審査のエリアをアジア太平洋地域にも拡大（ICMS）

2012年4月13日13:00

国際マネジメントシステム認証機構（ICMS）は、2008年より国際ブランド共通のカード情報セキュリティ基準であるPCI DSSのQSA（認定セキュリティ評価機関）として訪問審査を実施してきたが、2012年4月より、PCI SSC（PCI Security Standards Council）からQSAとして認定されているライセンス地域を、日本のみならずアジア太平洋地域にも拡大したと発表した。

PCI DSSの年次遵守報告書（ROC）、準拠証明書（AOC）も日本語のみならず、英語にも対応するという。

PCI DSS資料請求はこちら

[ 2012年04月12日 - PAYMENT WORLD ]ペイメントナビで「リテールテックJAPAN」の模様を紹介、スマートフォン決済ではセキュリティを意識したソリューションを数多くの企業が展開

2012年4月12日17:03

カード情報ポータルサイト「ペイメントナビ（payment navi）」では、2012年3月6日～9日まで日本経済新聞社が開催した、「リテールテックJAPAN」「NFC&SmartWORLD」などの7展示会の模様を紹介しています。リテールテックJAPANでは、数多くの決済端末の展示が行われたそうですが、特に注目を集めたのはスマートフォンやタブレット端末を利用した決済ソリューションでした。数多くの企業ではセキュリティを意識してシステムの構築を行っていました。

http://www.paymentnavi.com/paymentnews/22627.html

PCI DSS資料請求はこちら