2024年4月15日
トランザクション・セキュリティーは決済セキュリティーとも呼ばれ、機密情報を保護し、顧客データの安全かつ確実な転送を確保するために、ビジネス・トランザクション中と後に使用される慣行、プロトコル、ツール、その他のセキュリティー対策のカテゴリーを指します。
オンライン取引はトランザクション・セキュリティーについて特有の課題をもたらしますが、消費者の信頼を築き、詐欺行為を軽減し、規制遵守を維持するという点で、オンラインとオフラインの両方のビジネスにとって重要です。
eコマースやオンライン取引の急速な増加に伴い、金融機関、暗号通貨取引所、小売業者など、支払いや貴重な資産の移転を扱うあらゆる企業にとって、取引のセキュリティーが大きな懸念事項となっています。その他のユースケースには、オンライン・ゲーム市場、ApplePayやVenmoなどの代替支払い方法、機密性の高い法的文書の処理を担うサービス(オンライン税務申告サービスや各種官公庁・自治体など)が含まれます。
不正取引による経済的損失を防ぎ、個人データを共有する顧客に信頼できるユーザー体験を提供するために、一般的なトランザクション・セキュリティー対策には、高度な最新データ暗号化、多要素認証(MFA)、デジタル署名などがあります。これらのセキュリティー・プロトコルは、管轄区域によっては多くの企業が法的責任を負う可能性があるセキュリティー違反に起因する支払い詐欺や顧客データの盗難のリスクを軽減します。
ほとんどのトランザクション・セキュリティー対策は取引自体の実行中に実施されますが、トランザクション・セキュリティーは、組織または企業によって保存されるクレジット・カード番号や口座番号など機密取引データの取り扱いを管理する内部ビジネス・ポリシーにも適用されます。データベース・セキュリティーに投資しているサイバーセキュリティー専門職にとって、トランザクション・セキュリティーとは、オンライン取引をリアルタイムで監視して疑わしいアクティビティーや不正なトランザクションを検知するだけでなく、内部セキュリティーの脆弱性を先見的に特定して軽減することも意味します。最新のトランザクション・セキュリティー・システム・サービス・プロバイダーは、大規模かつ安全なトランザクションを促進するために、カスタマイズ可能な通知機能やその他の自動化を組み込んでいることがよくあります。
The DX Leaders
「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。
トランザクション・セキュリティーに対する脅威は多くの場合、より広範なサイバーセキュリティーの脅威と重なったり、その一因となったりします。最も一般的なトランザクション・セキュリティーへの脅威を以下に簡単に示します。
フィッシング詐欺は、サイバー犯罪者が偽のメッセージを使用してターゲットを操作し、機密情報を漏らすように仕向けるものであり、顧客と企業の両方に脅威をもたらします。フィッシング詐欺は多くの場合、消費者を標的にして、クレジット・カード情報を直接盗み、不正取引に使用しようとします。また、企業を標的にして、顧客の支払い情報を大量に盗もうとすることもできます。
通常、対面での取引には物理的なクレジット・カードが必要ですが、オンラインまたは電話での取引にはクレジット・カード番号のみが必要になることがよくあります。この抜け穴は、詐欺師が盗んだ番号を使用して不正な取引を行うカード不介在示詐欺にオンラインまたは電話ベースの取引を開く可能性があります。顧客は物理的なクレジット・カードを持っていても、カードの詳細が盗まれたことにまったく気付かない可能性があります。
フィッシングによって引き起こされるもう一つのリスクは、アカウント乗っ取り詐欺です。詐欺師はフィッシングやその他の手段を使用して、消費者の銀行口座やオンライン・ショッピングの口座への不正アクセスをして、不正な購入を進める可能性があります。
BEC詐欺は、フィッシング詐欺が成功した場合によく見られる結果でもあります。サイバー犯罪者が侵害されたビジネスEメール・アカウントにアクセスすると、権限を与えられた従業員またはベンダーになりすまして、不正な電信送金を要求しようとする可能性があります。
フィッシング攻撃が成功することで発生するもう一つのリスクであるSIFは、詐欺師が盗難された実際の個人情報(PII)を組み合わせて偽造IDを作成し、さまざまな詐欺行為を行うタイプの詐欺です。たとえば、詐欺師が支払いをする気がまったくなくクレジットまたは取り置きで製品を購入する支払い不履行スキームなどがこれにあたります。
よく知られているサイバー攻撃の形態であるMITM攻撃では、ハッカーはプライベートな接続があると思っている2つの当事者の間に密かに割り込みます。攻撃者は、転送されたデータを操作したり、共有される可能性のある個人的な支払い情報を盗聴したりしようとする可能性があります。
新しいテクノロジーの進歩とサイバー犯罪者の攻撃戦略の絶え間ない進化に伴い、専門家は利用可能なあらゆる手段を通じて取引のセキュリティーを向上させるために絶えず働いています。以下に、トランザクション・セキュリティーを強化するための最も一般的な手法をいくつか示します。
暗号化
データ・プライバシーのバックボーンとして、企業と顧客は取引中および取引後に機密情報を保護するためにデータ暗号化を利用しています。Secure Sockets Layer(SSL)やTransport Layer Security(TLS)などの一般的に使用される暗号化標準は、オンライン取引中に不正アクセス、改ざん、盗難を防ぐために頻繁に使用されます。
トークン化
トークン化は、クレジット・カード番号などの機密顧客データを、不正取引や元の支払い情報のリバース・エンジニアリングに使用できない独自のトークンに置き換えるプロセスです。これらのトークンはその後、安全なトークン・ボールトに保管されている元の支払い情報を参照するために使用されます。トークン化により、データ侵害に関連するリスクが軽減され、トークン自体は悪意のある人の手に渡っても役に立たないため、規制遵守が簡素化されます。
認証
トランザクション・セキュリティーの基本的な形式として、認証はインターネット時代よりずっと前から存在していました。以前は小売業者が個人小切手を受け取る前に写真付き身分証明書の提出を要求することがありましたが、最新のデジタル認証手段はますます洗練されています。単一要素認証(SFA)では、パスワードやPINなど1つの形式のIDが必要です。2要素認証(2FA)では、登録されたデバイスまたはEメールに送信されるワンタイム・パスコードなど、追加の形式の ID が必要です。他の標準的な認証方法には、クレジット・カード支払いや生体認証(顔認識や指紋スキャンなど)にカード検証値(CVV)を要求することが含まれます。
安全な決済ゲートウェイ
安全な決済ゲートウェイは、強力なトランザクション・セキュリティーを確立し、顧客の信頼を構築および維持する上で重要な部分です。これらのゲートウェイにより、顧客、企業、決算処理業者または決済銀行間のトランザクション処理が可能になります。安全な決済ゲートウェイは多くの場合、暗号化、トークン化、認証などのさまざまなトランザクション・セキュリティー技術を組み合わせて、データのセキュリティーを確保します。
ペイメント・カード業界のデータ・セキュリティー標準(PCI DSS)は、決済業界の利害関係者のグローバル・フォーラムであるPayment Card Industry Security Standard Council(PCI SSC)によって開発された一連のトランザクション・セキュリティー標準です。
PCI DSSコンプライアンスは、世界中で安全な支払いのためのデータ・セキュリティー標準とリソースの導入を促進するために開発されており、企業が顧客データを安全に保ちながら規制要件を満たせるように支援します。
PCI DSSコンプライアンスを満たすには、企業は次のことを行う必要があります。
- 安全なネットワークとシステムを構築し、維持する:カード会員データを保護するためのファイアウォール構成を導入し、維持します。システム・パスワードやその他のセキュリティー・パラメーターに、ベンダーが提供するデフォルト値を使用することは避けてください。
- カード会員データの保護:オープンなパブリック・ネットワークでのカード会員データの送信を暗号化します。
- 脆弱性管理プログラムを維持する:安全なシステムとアプリケーションを開発、維持し、定期的に更新されるウイルス対策ソフトウェアまたはプログラムにより、すべてのシステムをマルウェアから保護します。
- 強力なアクセス制御手段を実装する:システム・コンポーネントへのアクセスを識別して認証します。カード会員データへの物理的なアクセスを制限し、カード会員データへの内部アクセスをビジネスベースの必要事項に基づいて制限します。
- ネットワークを定期的に監視およびテストする:セキュリティー・システムとプロセスを定期的にテストして、ネットワーク情報とカード所有者データへのすべてのアクセスを追跡および監視します。
- 情報セキュリティ・ポリシーを維持する:すべての人員が対象の情報セキュリティーに対処するポリシーを維持します。