2024年3月31日以降、PCI DSSバージョン4.0が新しいセキュリティ標準になることを受け、Opn Paymentsがどのように最高水準のセキュリティで加盟店様のデータの安全を守っているか、バージョン4.0に向けて2023年からどのように準備してきたかについて、シニアセキュリティマネージャーのハーディ・マンスンに話を聞きました。

スウェーデン出身のハーディ・マンスンは、幼い頃からプログラミングに興味を持ち、さまざまな経験を現在の職務に生かしています。IT関連の請負業者として働いていたものの、よりセキュリティに重点を置いた職務に移行したいと考え、CISSPを含むさまざまなセキュリティ関連資格を取得しました。Opnには2018年に入社しています。入社を決めた理由は、アジアの決済市場が爆発的に成長しており、いくつかの面ではヨーロッパをも凌駕していると感じたからです。

以下のインタビューでは、Opn Paymentsのセキュリティ対策、PCI DSSバージョン4.0の主な変更点、加盟店様に向けたデータ保護に関するアドバイスについて話しています。

Opn Paymentsのセキュリティ対策について

インタビュアー： Opn Paymentsは加盟店様のデータを守るためにどのようなセキュリティ対策を実施していますか？

ハーディ： Opnのセキュリティ・プログラムには、さまざまなレイヤーやコントロールがあります。加盟店様の信頼を得るには、できるだけ透明性を保ち、伝えるよりも実際に見ていただくことだと思います。

「セキュリティは私たちの最優先事項です」という表現があります。このような表現を使う理由は理解できますし、事実かもしれません。しかし、信頼は勝ち得るものであって、言うだけで自動的に真実となるものではありません。

Opnのセキュリティのページでは、私たちが行っているさまざまなことを詳しく説明し、実施しているコントロールについて説明しています。興味のある方は、https://docs.opn.ooo/ja/security-overview/japanをご覧ください。

また、私たちは常に親しみやすい存在でありたいと考えています。そのため、加盟店様が疑問を感じたときにはいつでもご連絡をいただければ、共に疑問を解消し加盟店様の信頼に応えたいと考えています。

PCI DSSバージョン4.0について:

インタビュアー： PCI DSSバージョン4.0の概要と、データセキュリティの分野におけるその重要性について教えてください。

ハーディー： PCI DSSは、カードブランドなど決済業界のステークホルダーで構成されるPayment Card Industry Security Standards Council （PCI SSC）によって管理されています。PCI DSSは、世界中の決済エコシステムにおける、人、プロセス、テクノロジーの安全性を確保するためのセキュリティ基準です。カードデータを自社で扱うかどうかや、システムを経由する取引の数など、リスクにさらされる度合いに応じて、遵守すべき要件が異なります。

私の個人的な意見ですが、これは素晴らしい基準です。完璧ではありませんが、決済エコシステムに属さない企業にとっても、組織的な技術的セキュリティ基準としては全体的に最良の水準といえます。どの会社に所属しているとしても、少なくとも一度は目を通しておくことをお勧めします。

インタビュアー： PCI DSSバージョン4.0で導入された主な変更点や更新点は何ですか。また、こうした変更点はOpn Paymentsのような組織のセキュリティ状況にどのような影響を与えますか？

ハーディ： 変化は数多くありますが、その中でも特筆すべきは、ここ2、3年で加盟店のウェブサイトを狙ったスキミング攻撃が急増していることです。こうしたウェブスキミング攻撃は、何らかの方法で加盟店のウェブサイトを乗っ取る形で発生します。フィッシングであったり、脆弱なパスワードであったり、長期間パッチが適用されていないサーバーが原因となっている場合があります。サーバーへの侵入後、悪質業者は決済ページに小さなスクリプトをインストールし、顧客のカード情報をすべてコピーして送信するようにします。

PCI DSSバージョン4.0では、決済ページをより安全に保護する方法について、多くの要件が追加されました。

インタビュアー： 2024年3月31日以降はPCI DSSバージョン4.0が新しいセキュリティ基準となりますが、それに向けてどのような準備が必要でしょうか。

ハーディ： 2023年以降、PCI DSSバージョン4.0による監査を実施していますが、私たちのプロセスを大きく変える必要はありませんでした。毎年、常に改善すべきと思われる細かな点を改良していますし、2025年に向けてすでに考えている改良点もいくつかあります。

加盟店様へのセキュリティアドバイス

インタビュアー： 最後に、Opn Paymentsの加盟店様がデータセキュリティを守るために実践できる5つの対策を教えてください。

ハーディ： セキュリティは難しいテーマであり、リスクに関することなので、必ずしもイエスかノーかの答えではありません。企業はそれぞれ異なり、脅威から保護する必要があるものも異なりますが、ここでは比較的簡単にできることをいくつか紹介します。

1. ソフトウェアと関連ソフトウェアにパッチを適用してください。Opnでは、できるだけ毎日、自動的にパッチを適用していますが、それができない場合は、少なくとも、毎月必ずパッチを適用するようにカレンダーのスケジュールを設定し、製品のセキュリティニュースを購読して、重要な通知を受けてください。

2. 2段階認証を有効にしてください。パスワードの再利用、元従業員によるパスワードの漏れなどがないように最新の注意を払います。

3. いかなる状況においても、カード会員番号のようなカード会員のデータを保存または処理しないでください。信頼できる決済プロバイダーを利用しましょう。

4. アカウントの管理を徹底してください。アカウントは共有せず、管理者を少数にし、退社時にログアウトしていることを確認してください。

5. メール、電話、SMS、ソーシャルメディアなどに関連するフィッシングリスクにご注意ください。人間がもともと操られやすい性質を持っています。攻撃者はこうした方法で私たちを簡単に騙すことができます。

最後に

Opn Paymentsは、加盟店様のデータに対して最高レベルのセキュリティを確保することに注力しています。セキュリティマネージャーへのインタビューでご紹介したように、当社のセキュリティアプローチは透明性と実際の行動に基づいており、信頼は目に見える努力によって得られるものだと考えています。2023年以降、当社はPCI DSSバージョン4.0による監査を実行しており、こうした取り組みは進化するセキュリティ要件への対応と新たな脅威を先取りする当社の姿勢を示すものです。