Comments
Description
Transcript
カード情報非保持検査サービスとは - 日本オフィス・システム株式会社
11/29 JCDSC カード情報非保持セミナー クライアントPCを含めて探査する カード情報非保持検査サービス 日本オフィス・システム株式会社 ITコンサル推進部 八木 暢之 ©2016 Nippon Office Systems Ltd. 会社概要 お客様のITライフサイクル全般に対して、 ワンストップ・サービスを提供しています。 社名 所在地(本社) 設立 代表者 従業員数 株主 日本オフィス・システム株式会社 東京都江東区潮見 2-10-24 NOS潮見ビル 1982年10月1日 代表取締役社長 戸田 克則 451名(2016年4月現在、単体) 兼松エレクトロニクス株式会社(100%・東証一部上場) 事業所 東京本社・関西支店・芝事業所・名古屋事業所 グループ会社 兼松エレクトロニクス 株式会社 ケー・イー・エルテクニカルサービス 株式会社 株式会社 i-NOS(アイノス) 北海道オフィス・システム 株式会社 2 ©2016 Nippon Office Systems Ltd. NOSのPCIDSSサービス構成図 スキャンツールの 認定 ASV ControlCase QSA NOS ControlCase 監査・検査の窓口業務と セキュリティ支援 ASVスキャン(バルネラ・アセッサー)、 内部外部ペネトレーションテスト スキャン検査の必要 なレベル3-4事業者様 監査資格の 認定 PCI SSC(国際協議会) ①事前調査 本社:バージニア(米) 支社:ムンバイ(印) ②本監査 米国またはインドから出張 (審査員12人在籍) セキュリティ 対策のご提案 各種ぜい弱性検査 訪問監査の必要な レベル1-2事業者様 各種ぜい弱性検査と訪問監査 3 ©2016 Nippon Office Systems Ltd. ControlCase International Pvt Ltd. 概要 設立/2004年3月、資本金/10万ドル(1,200万円)・非上場 事業内容/内部統制・法令順守サポートアプリケーションの開発、セュリティコンサルティング ※Fourtune500グローバルな大企業から地域の中小企業まで多様な顧客 本社/米国バージニア、支社/インド・ムンバイ (旧ボンベイ) 従業員数/42名、QSAP審査資格者:12名 (内PA-DSS 4名) 役員/CEO: Kishor Vaswani COO : Suresh Dadlani 【監査顧客実績】 PCIDSS 120社以上 PA-DSS 7社 日本におけるPCIDSSビジネス窓口を NOSが担当 4 ©2016 Nippon Office Systems Ltd. クレジットカード取引におけるセキュリティ対策の強化に向けて 「実行計画」における対策の3本柱 ◇カード情報を盗らせない 1.カード情報の漏えい対策 加盟店におけるカード情報の「非保持化」 カード情報を保持する事業者のPCIDSS準拠 ◇偽造カードを使わせない 2.偽造カードによる不正使用対策 クレジットカードの「100%IC化」の実現 決済端末の「100%IC対応」の実現 3.ECにおける不正使用対策 ◇ネットでなりすましをさせない 多面的・重層的な不正使用対策の導入 (出典:経済産業省、2016年6月JCDSC講演資料より) 5 ©2016 Nippon Office Systems Ltd. クレジットカード情報の漏えい防止(非保持/セキュリティ国際規格準拠) 現状・課題 • 近年、サイバー攻撃によるEC加盟店等からのカード情報の漏えい事故が頻発※H27年30件(前年比2.3倍)。 • カード情報を狙うハッカーの攻撃手口のグローバル化・巧妙化。 • 加盟店等において、カード情報を取り扱っている当事者意識が希薄で対策が不十分。 目 標 ○ 加盟店は、原則、カード情報の非保持化 ○ カード情報を取り扱う事業者は、セキュリティに関する国際規格(PCIDSS)準拠 各主体の役割 カード会社・PSP(決済代行業) ・PCIDSS準拠を完了(2018年3月 まで) ・カード会社は、PCIDSSに準拠してい ないPSPとの取引を見直し(2018年4 月目途) ・加盟店に対して非保持化又は PCIDSS準拠に向けた要請・支援 加盟店 行政 ・カード情報の非保持化又は PCIDSS準拠を完了 (EC加盟店は2018年3月まで) (対面加盟店は2020年3月まで) ・最新の攻撃手口に対応したセキュリ ティ対策の改善・強化を不断に実施 ・PSPや加盟店等にもカード情報の 適切な管理を義務づけ(割賦販売 法の改正) ・カード情報の適切な保護について、 事業者や消費者に情報発信 ・NISC、JPCERT等のセキュリティ関 係機関との連携・情報共有 (出典:経済産業省、2016年6月JCDSC講演資料より) 6 ©2016 Nippon Office Systems Ltd. カード情報非保持化 システム構成パターンと実施手順例 基幹業務対応 対面加盟店 EC加盟店 非保持化 構成パターン 社内POS端末とカード決済端末 のネットワーク分離 決済代行事業者(PSP)のサイトに リダイレクトする 通過・伝送 カード会社に直接伝送 PSPシステムに直接情報入力 処理 カード会社で決済処理 PSPシステムで決済処理 保管 カード会社で決済データ保管 PSPシステムで決済データ保管 カード決済業務非保持化対応・・・・・・・・・・>上記システム変更 社内周辺業務非保持化対応・・・・・・・・・・・>カード情報を取り扱わない ・顧客管理/会員管理業務 業務運用に変更する必要がある ・売上/購買履歴データ分析業務etc. 7 ©2016 Nippon Office Systems Ltd. 基幹システムの対策は万全。。。とはいえこんな事例も 年金機構から125万件の個人情報漏えいの原因 日本年金機構の職員の パソコンが、外部からのウイ ルスメールに感染。 約125万件の個人情報 が流出した。 2015.6.1公表 基幹サーバーはウイルスが侵入できない仕 組みになっていたが、職員が業務で年金 受給者情報を取り扱ったファイルが、情 報系システムに残っていたことが原因。 8 ©2016 Nippon Office Systems Ltd. こんな事に心当たりはありませんか? カードNo.を顧客、会員番号として顧客管理に利用している カード会社からダウンロードする売上データにカードNo.が含まれている カードNo.を保存しないようシステム変更したが過去データは??? 過去データや分析目的のデータは各担当者のPC管理にまかせている どこにカード情報が潜んでいるかわからない!! どうやって非保持証明すればいいのだろう!! 9 ©2016 Nippon Office Systems Ltd. カード情報非保持検査サービスとは・・・ もともと弊社提携QSAである米国Control Case社がPCI準拠監査時に実施していた 独自ツールを使った検査を単独の検査サービスとして提供 社内ネットワーク上のサーバー,PC,データベース内のカード関連情報を探索 検出された機器/保管場所/データの種類/明細データをレポート 検出対象のデータタイプ 検出対象の機器・DB・ファイルタイプ カード番号(PAN) サーバー/クライアントPC/NAS 暗証番号(PIN) Oracle,MS-SQL,MySQL Posgres等各種DBMS ※前提)Active Directoryの登録リソース トラックデータ Doc,txt,csv,xls,pdf等 各種PCファイル セキュリティコード(CVV) 10 ©2016 Nippon Office Systems Ltd. 出力レポートサンプル ①サマリーレポート ・作業日時 ・対象定義:ドメイン 機器/フォルダー データベース ファイルタイプ ⇒タイプごとに検出結果件数出力 11 ©2016 Nippon Office Systems Ltd. 出力レポートサンプル ②データベースレポート 明細レポート(CSV)サンプル Sr.no 1 2 3 4 5 6 7 8 9 Result Type PAN PAN PAN PAN PAN PAN PAN PAN PAN 検出データタイプ Database Name customer_details customer_details customer_details customer_details customer_details customer_details customer_details customer_details customer_details Table Name complaints_summary complaints_summary complaints_summary complaints_summary complaints_summary trans_details trans_details trans_details trans_details Field Name summary summary summary summary summary cc_num cc_num cc_num cc_num データベース名 テーブル名 フィールド名 Found String 467379xxxxxx7858 (VISA) 433257xxxxxx8446 (VISA) 601164xxxxxx5860 (DISCOVER) 347413xxxxx9410 (AMEX) 419609xxxxxx9228 (VISA) 535660xxxxxx8544 (MASTERCARD) 555452xxxxxx2852 (MASTERCARD) 516113xxxxxx4518 (MASTERCARD) 467379xxxxxx7858 (VISA) 検出データ明細 文字列 12 ©2016 Nippon Office Systems Ltd. 出力レポートサンプル 検出データタイプ ③ファイルシステムレポート 検出機器ロケーション フォルダーパス 検出データ明細 文字列 13 ©2016 Nippon Office Systems Ltd. サービスご提供形態 作業形態 オンサイトスキャン ・・・弊社技術者がオンサイトで環境準備~検査サービスを実施 リモートスキャン ・・・貴社で環境準備の上、弊社がリモートで診断 ※ 検知対象機器には、エージェントソフトウエアの導入が必要です リモートスキャン作業にはVPN等の通信経路準備が必要です サービス形態 スポットスキャンサービス ・・・一時作業として検知作業を行いレポートを出力します 定期スキャンサービス ・・・四半期単位の定期検知サービスを行います 14 ©2016 Nippon Office Systems Ltd. ご参考価格 DBサーバー1台 PCクライアント20台でのスポット作業・リモート検査の場合 名 称 単価 非保持検査基本費用(検査環境確認・作業条件確認) DBサーバー検査費用 クライアントPC検査費用 数量 合計価格 100,000 1式 100,000 80,000 1台 80,000 2,500 20台 50,000 230,000 ※前提)各サーバー/PCに対するエージェント導入および通信経路設定はお客様で実施 DBサーバー1台 PCクライアント20台でのスポット作業・オンサイト検査の場合 名 称 単価 非保持検査基本費用(検査環境確認・作業条件確認) 数量 合計価格 100,000 1式 100,000 オンサイト作業費用(準備作業1日+検査作業1日) 80,000 2回 160,000 DBサーバー検査費用 80,000 1台 80,000 2,500 20台 50,000 クライアントPC検査費用 390,000 ※前提)各サーバー/PCに対するエージェント導入は弊社で支援実施・平日日中のオンサイト作業 ※上記はサービス構成例です。お客様機器環境やサービス提供形態によって、個別お見積となります 15 ©2016 Nippon Office Systems Ltd. 検査結果への対応 一次対応:検出データの削除 レポートで検出されたカード関連データを削除 完全消去対策も忘れずに! 再検査で確認 二次対応:データ発生業務の確認・見直し なぜ、カード関連データが発見されたか?を考察する 単純な消し忘れ? 個人管理任せ? 日常業務の中でカード関連データを扱っているのか? 非保持対応の目的:カード関連情報を取り扱わない業務運用に見直すこと! →非保持検査サービスはそのための支援サービスです。 定期的に検査を行い、都度カード関連業務を再確認することをお勧めします。 (提供元QSA:ControlCase社では、年2回以上の定期検査を推奨) 16 ©2016 Nippon Office Systems Ltd. 非保持化検査サービスの活用メリット 社内に存在するカード情報を漏れなく検知できる • サーバー/PC上のカード情報を自動検知 • 対策必要機器の洗い出し/対策立案可能 • 消し忘れ/残存リスクを排除 検査結果が客観的な証跡としてレポートされる • 検査作業記録(作業対象や検知定義が明確に記録される) • 定期検査することで対策の有効性を検証できる • 外部指摘に対する証跡が残せる PCI対象外セグメントの非保持確認に活用 • 非保持化を目指す加盟店様だけでなくPCI対応が必要なお客様も • ゾーニング等で限定したPCI対象外セグメントでの残存調査に利用可能 • PCIレベル1.レベル2(SAQ)対象の補助検査ツールとして利用 17 ©2016 Nippon Office Systems Ltd. ご清聴ありがとうございました。 本サービスに関するお問い合わせ 日本オフィス・システム株式会社 ITコンサル推進部 担当:八木 Email Homepage 18 : : [email protected] http://www.nos.co.jp/ ©2016 Nippon Office Systems Ltd.