...

カード情報非保持検査サービスとは - 日本オフィス・システム株式会社

by user

on
Category: Documents
5

views

Report

Comments

Transcript

カード情報非保持検査サービスとは - 日本オフィス・システム株式会社
11/29 JCDSC カード情報非保持セミナー
クライアントPCを含めて探査する
カード情報非保持検査サービス
日本オフィス・システム株式会社
ITコンサル推進部 八木 暢之
©2016 Nippon Office Systems Ltd.
会社概要
お客様のITライフサイクル全般に対して、
ワンストップ・サービスを提供しています。
社名
所在地(本社)
設立
代表者
従業員数
株主
日本オフィス・システム株式会社
東京都江東区潮見 2-10-24 NOS潮見ビル
1982年10月1日
代表取締役社長 戸田 克則
451名(2016年4月現在、単体)
兼松エレクトロニクス株式会社(100%・東証一部上場)
事業所
東京本社・関西支店・芝事業所・名古屋事業所
グループ会社
兼松エレクトロニクス 株式会社
ケー・イー・エルテクニカルサービス 株式会社
株式会社 i-NOS(アイノス)
北海道オフィス・システム 株式会社
2
©2016 Nippon Office Systems Ltd.
NOSのPCIDSSサービス構成図
スキャンツールの
認定
ASV
ControlCase
QSA
NOS
ControlCase
監査・検査の窓口業務と
セキュリティ支援
ASVスキャン(バルネラ・アセッサー)、
内部外部ペネトレーションテスト
スキャン検査の必要
なレベル3-4事業者様
監査資格の
認定
PCI SSC(国際協議会)
①事前調査
本社:バージニア(米)
支社:ムンバイ(印)
②本監査
米国またはインドから出張
(審査員12人在籍)
セキュリティ
対策のご提案
各種ぜい弱性検査
訪問監査の必要な
レベル1-2事業者様
各種ぜい弱性検査と訪問監査
3
©2016 Nippon Office Systems Ltd.
ControlCase International Pvt Ltd. 概要
設立/2004年3月、資本金/10万ドル(1,200万円)・非上場
事業内容/内部統制・法令順守サポートアプリケーションの開発、セュリティコンサルティング
※Fourtune500グローバルな大企業から地域の中小企業まで多様な顧客
本社/米国バージニア、支社/インド・ムンバイ (旧ボンベイ)
従業員数/42名、QSAP審査資格者:12名 (内PA-DSS 4名)
役員/CEO: Kishor Vaswani
COO : Suresh Dadlani
【監査顧客実績】
PCIDSS 120社以上
PA-DSS 7社
日本におけるPCIDSSビジネス窓口を
NOSが担当
4
©2016 Nippon Office Systems Ltd.
クレジットカード取引におけるセキュリティ対策の強化に向けて
「実行計画」における対策の3本柱
◇カード情報を盗らせない
1.カード情報の漏えい対策
 加盟店におけるカード情報の「非保持化」
 カード情報を保持する事業者のPCIDSS準拠
◇偽造カードを使わせない
2.偽造カードによる不正使用対策
 クレジットカードの「100%IC化」の実現
 決済端末の「100%IC対応」の実現
3.ECにおける不正使用対策
◇ネットでなりすましをさせない
 多面的・重層的な不正使用対策の導入
(出典:経済産業省、2016年6月JCDSC講演資料より)
5
©2016 Nippon Office Systems Ltd.
クレジットカード情報の漏えい防止(非保持/セキュリティ国際規格準拠)
現状・課題
•
近年、サイバー攻撃によるEC加盟店等からのカード情報の漏えい事故が頻発※H27年30件(前年比2.3倍)。
•
カード情報を狙うハッカーの攻撃手口のグローバル化・巧妙化。
•
加盟店等において、カード情報を取り扱っている当事者意識が希薄で対策が不十分。
目 標
○ 加盟店は、原則、カード情報の非保持化
○ カード情報を取り扱う事業者は、セキュリティに関する国際規格(PCIDSS)準拠
各主体の役割
カード会社・PSP(決済代行業)
・PCIDSS準拠を完了(2018年3月
まで)
・カード会社は、PCIDSSに準拠してい
ないPSPとの取引を見直し(2018年4
月目途)
・加盟店に対して非保持化又は
PCIDSS準拠に向けた要請・支援
加盟店
行政
・カード情報の非保持化又は
PCIDSS準拠を完了
(EC加盟店は2018年3月まで)
(対面加盟店は2020年3月まで)
・最新の攻撃手口に対応したセキュリ
ティ対策の改善・強化を不断に実施
・PSPや加盟店等にもカード情報の
適切な管理を義務づけ(割賦販売
法の改正)
・カード情報の適切な保護について、
事業者や消費者に情報発信
・NISC、JPCERT等のセキュリティ関
係機関との連携・情報共有
(出典:経済産業省、2016年6月JCDSC講演資料より)
6
©2016 Nippon Office Systems Ltd.
カード情報非保持化 システム構成パターンと実施手順例
基幹業務対応
対面加盟店
EC加盟店
非保持化
構成パターン
社内POS端末とカード決済端末
のネットワーク分離
決済代行事業者(PSP)のサイトに
リダイレクトする
通過・伝送
カード会社に直接伝送
PSPシステムに直接情報入力
処理
カード会社で決済処理
PSPシステムで決済処理
保管
カード会社で決済データ保管
PSPシステムで決済データ保管
 カード決済業務非保持化対応・・・・・・・・・・>上記システム変更
 社内周辺業務非保持化対応・・・・・・・・・・・>カード情報を取り扱わない
・顧客管理/会員管理業務
業務運用に変更する必要がある
・売上/購買履歴データ分析業務etc.
7
©2016 Nippon Office Systems Ltd.
基幹システムの対策は万全。。。とはいえこんな事例も
年金機構から125万件の個人情報漏えいの原因
日本年金機構の職員の
パソコンが、外部からのウイ
ルスメールに感染。
約125万件の個人情報
が流出した。
2015.6.1公表
基幹サーバーはウイルスが侵入できない仕
組みになっていたが、職員が業務で年金
受給者情報を取り扱ったファイルが、情
報系システムに残っていたことが原因。
8
©2016 Nippon Office Systems Ltd.
こんな事に心当たりはありませんか?
 カードNo.を顧客、会員番号として顧客管理に利用している
 カード会社からダウンロードする売上データにカードNo.が含まれている
 カードNo.を保存しないようシステム変更したが過去データは???
 過去データや分析目的のデータは各担当者のPC管理にまかせている
どこにカード情報が潜んでいるかわからない!!
どうやって非保持証明すればいいのだろう!!
9
©2016 Nippon Office Systems Ltd.
カード情報非保持検査サービスとは・・・
もともと弊社提携QSAである米国Control Case社がPCI準拠監査時に実施していた
独自ツールを使った検査を単独の検査サービスとして提供
 社内ネットワーク上のサーバー,PC,データベース内のカード関連情報を探索
 検出された機器/保管場所/データの種類/明細データをレポート
検出対象のデータタイプ
検出対象の機器・DB・ファイルタイプ
 カード番号(PAN)
 サーバー/クライアントPC/NAS
 暗証番号(PIN)
 Oracle,MS-SQL,MySQL
Posgres等各種DBMS
※前提)Active Directoryの登録リソース
 トラックデータ
 Doc,txt,csv,xls,pdf等
各種PCファイル
 セキュリティコード(CVV)
10
©2016 Nippon Office Systems Ltd.
出力レポートサンプル
①サマリーレポート
・作業日時
・対象定義:ドメイン
機器/フォルダー
データベース
ファイルタイプ
⇒タイプごとに検出結果件数出力
11
©2016 Nippon Office Systems Ltd.
出力レポートサンプル
②データベースレポート
明細レポート(CSV)サンプル
Sr.no
1
2
3
4
5
6
7
8
9
Result Type
PAN
PAN
PAN
PAN
PAN
PAN
PAN
PAN
PAN
検出データタイプ
Database Name
customer_details
customer_details
customer_details
customer_details
customer_details
customer_details
customer_details
customer_details
customer_details
Table Name
complaints_summary
complaints_summary
complaints_summary
complaints_summary
complaints_summary
trans_details
trans_details
trans_details
trans_details
Field Name
summary
summary
summary
summary
summary
cc_num
cc_num
cc_num
cc_num
データベース名
テーブル名
フィールド名
Found String
467379xxxxxx7858 (VISA)
433257xxxxxx8446 (VISA)
601164xxxxxx5860 (DISCOVER)
347413xxxxx9410 (AMEX)
419609xxxxxx9228 (VISA)
535660xxxxxx8544 (MASTERCARD)
555452xxxxxx2852 (MASTERCARD)
516113xxxxxx4518 (MASTERCARD)
467379xxxxxx7858 (VISA)
検出データ明細
文字列
12
©2016 Nippon Office Systems Ltd.
出力レポートサンプル
検出データタイプ
③ファイルシステムレポート
検出機器ロケーション
フォルダーパス
検出データ明細
文字列
13
©2016 Nippon Office Systems Ltd.
サービスご提供形態
作業形態
 オンサイトスキャン
・・・弊社技術者がオンサイトで環境準備~検査サービスを実施
 リモートスキャン
・・・貴社で環境準備の上、弊社がリモートで診断
※ 検知対象機器には、エージェントソフトウエアの導入が必要です
リモートスキャン作業にはVPN等の通信経路準備が必要です
サービス形態
 スポットスキャンサービス
・・・一時作業として検知作業を行いレポートを出力します
 定期スキャンサービス
・・・四半期単位の定期検知サービスを行います
14
©2016 Nippon Office Systems Ltd.
ご参考価格
DBサーバー1台 PCクライアント20台でのスポット作業・リモート検査の場合
名
称
単価
非保持検査基本費用(検査環境確認・作業条件確認)
DBサーバー検査費用
クライアントPC検査費用
数量
合計価格
100,000
1式
100,000
80,000
1台
80,000
2,500
20台
50,000
230,000
※前提)各サーバー/PCに対するエージェント導入および通信経路設定はお客様で実施
DBサーバー1台 PCクライアント20台でのスポット作業・オンサイト検査の場合
名
称
単価
非保持検査基本費用(検査環境確認・作業条件確認)
数量
合計価格
100,000
1式
100,000
オンサイト作業費用(準備作業1日+検査作業1日)
80,000
2回
160,000
DBサーバー検査費用
80,000
1台
80,000
2,500
20台
50,000
クライアントPC検査費用
390,000
※前提)各サーバー/PCに対するエージェント導入は弊社で支援実施・平日日中のオンサイト作業
※上記はサービス構成例です。お客様機器環境やサービス提供形態によって、個別お見積となります
15
©2016 Nippon Office Systems Ltd.
検査結果への対応
一次対応:検出データの削除
 レポートで検出されたカード関連データを削除
 完全消去対策も忘れずに!
 再検査で確認
二次対応:データ発生業務の確認・見直し
 なぜ、カード関連データが発見されたか?を考察する
 単純な消し忘れ? 個人管理任せ?
 日常業務の中でカード関連データを扱っているのか?
非保持対応の目的:カード関連情報を取り扱わない業務運用に見直すこと!
→非保持検査サービスはそのための支援サービスです。
定期的に検査を行い、都度カード関連業務を再確認することをお勧めします。
(提供元QSA:ControlCase社では、年2回以上の定期検査を推奨)
16
©2016 Nippon Office Systems Ltd.
非保持化検査サービスの活用メリット
社内に存在するカード情報を漏れなく検知できる
• サーバー/PC上のカード情報を自動検知
• 対策必要機器の洗い出し/対策立案可能
• 消し忘れ/残存リスクを排除
検査結果が客観的な証跡としてレポートされる
• 検査作業記録(作業対象や検知定義が明確に記録される)
• 定期検査することで対策の有効性を検証できる
• 外部指摘に対する証跡が残せる
PCI対象外セグメントの非保持確認に活用
• 非保持化を目指す加盟店様だけでなくPCI対応が必要なお客様も
• ゾーニング等で限定したPCI対象外セグメントでの残存調査に利用可能
• PCIレベル1.レベル2(SAQ)対象の補助検査ツールとして利用
17
©2016 Nippon Office Systems Ltd.
ご清聴ありがとうございました。
本サービスに関するお問い合わせ
日本オフィス・システム株式会社
ITコンサル推進部 担当:八木
Email
Homepage
18
:
:
[email protected]
http://www.nos.co.jp/
©2016 Nippon Office Systems Ltd.
Fly UP