ロゴ


「Grade up(グレードアップ)」では、SSTに関わるみなさまの声と視点を交えながら
SSTの想いや取り組みをお伝えします

対談インタビュー:fjコンサルティング x SST

「クレジットカード」と「Web」のセキュリティ専門家が語る
「セキュリティのこれから」と「変わらないもの」

2020年11月13日更新

SSTが原点として掲げる「インターネットを安全にしたい」という思い。この言葉の「インターネット」が指す範囲は今やWebサイトだけにとどまらず、日々広がり続け人々の暮らしにより深く浸透しています。中でもインターネット上のオンライン決済や店舗などのスマートフォン決済でも欠かせないクレジットカードは、特に高度なセキュリティを要求されるひとつといえるでしょう。

SSTに関わるみなさまの声と視点を交えながらSSTの想いや取り組みを伝える「Grade up」の第1回となる今回は、日本におけるクレジットカードセキュリティの第一人者である瀬田陽介氏と、SSTのCTO・はせがわようすけによる対談をお送りします。異分野のセキュリティ専門家はどのような未来を描いているのか、そしてその課題とは何か。クレジットカードセキュリティとWebセキュリティのこれからをテーマに繰り広げられる、2人の対談はSSTと瀬田氏との出会いから始まりました。


あらゆる分野のセキュリティに共通する“障壁”とは?

瀬田さんとSSTとの最初の接点は、いつごろのことだったのでしょうか?

瀬田氏:会長の乗口さんがSSTを創業されたのが2006年でしたよね。私がインフォリスクマネージ(現:アイティーエム株式会社)に在籍していた当時から、いろいろ協業のお話をいただいたのが最初の接点だったと思います。

よく依頼させて頂いたのは脆弱性検査、特にWebアプリケーション周りの検査です。クレジットカード情報や個人情報が詐取されるSQLインジェクション攻撃による被害が急増し、社会問題化した時期でした。そのころは適切な脆弱性検査が行える会社はまだあまり存在していなかったと思いますが、SSTはすでに脆弱性検査をサービスとして確立されていました。

当時の、キャッシュレスセキュリティにおける課題は何だったのでしょうか?

瀬田氏:キャッシュレスのセキュリティ意識は現在では大きく変わりました。2006年当時のキャッシュレス決済といえば主にクレジットカードになりますが、2008年ごろからVISAやMastercardなどの国際カードブランドから「セキュリティの国際基準と比べると、日本は大きく後れを取っている」との懸念が出てきました。

セキュリティ基準の緩い国があるとどうなるか、という分かりやすい例がタイでの事例です。2000年ごろ、偽造カードの犯罪が多くありましたが、特に不正利用が顕著だったのがタイでした。当時タイでは、クレジットカードの大半が磁気ストライプだったため、犯罪者はこぞってタイで偽造カードを使っていたのです。

Eコマースが普及した昨今でも同じように、セキュリティ基準が強固な国から緩い国へと攻撃対象が変わっていきます。日本ではEコマースやクレジットカードのセキュリティが緩い状況だったため、攻撃が集まりかねないとの懸念を国際ブランドが持っていたのです。

“理解の深さ”と“守備範囲の広さ“
セキュリティの専門家にはその両方が求められる時代に

セキュリティにおける新型コロナウイルスの影響はあったのでしょうか?

瀬田氏:行動自粛に伴いEC購買者が増えた影響で、ECサイトのクレジットカード情報を入力する箇所に不正なスクリプトを挿入するなどしてカード情報を詐取する「オンラインスキミング」の攻撃が、今年の2月ごろから急増しています。クレジットカード決済のシステム運用はオフィスのセキュアルームで行う前提になっていることが多く、在宅勤務で運用を回すことはあまり想定されていません。他国ではロックダウンで外出がまったくできない状態でセキュリティ運用を継続しているわけですから、パッチ適用などがおろそかになっているだろうと、攻撃者側も分かっているのです。

はせがわ:瀬田さんと一緒に講師をしたeラーニングの中でも話したのですが、一昔前は、SQLインジェクションのような“派手な方法”で大量のカード情報を盗むケースが多く見られました。しかし対策が普及したため、攻撃者側にとって効率の良い方法ではなくなってきました。

そこで最近はクラウドの管理コンソールを乗っ取るとか、クラウド上に偽のサイトを作り上げてしまうといった手法で、長期にわたって入力の都度カード情報を盗んでいく「オンラインスキミング」の手法が増えているんですよね。対策を1つ積み重ねては、それを破る手法が現れて…というイタチごっこになっていて、何か1つ対策を採っておけば済むわけではないのです。

どのような意識が継続的なセキュリティ対策に必要なのでしょうか?

瀬田氏:クレジットカード情報を狙う犯罪者たちも、経済合理性に基づいて効率的な方法を考えますので、対策の取り方も狙う側の心理や視点に立って考える必要がありますよね。それをよく分からないままに数々の対策を行っても、散漫で費用対効果の低い対策になってしまいます。

はせがわ:そうですね、効果的ではないものになりますよね。セキュリティの専門家に求められるのはまさに「攻撃者の視点に立って弱いところを探す」視点です。その際に念頭に置かなければならないのは、専門家といえども自分が不得意とする範囲を自覚することです。攻撃の方法も、例えば家だったら天窓を破るのが得意な人もいれば、玄関からこっそり侵入するほうが得意な人もいます。人それぞれ得意・不得意が違っていることを理解して、自分の不得意を過小評価しないのが重要なんですね。セキュリティ上のリスクや対策を伝えるときにも、そのバランス感覚をどう伝えるかというのが課題になってきます。

「不得意を過小評価しない」というのは?

はせがわ:自分が苦手な範囲を「これは難しいから、すぐ理解するのは無理だろう」「難しい攻撃だから診断の対象としなくていいだろう」などと無意識のうちに回避してしまうようだと、教えるにしてもセキュリティ対策を考えるにしてもよろしくないですよね。

それに加えて、Webに限らずセキュリティを要するサービスの幅がものすごく広がっていることで、同様の課題が生まれています。得意・不得意の以前の「興味を持てる」範囲というのも人によって違いがあり、広さも違います。あらゆるところで「自分で興味がある」または「会社として関わりがある」部分に重ならない「世の中に普及してきた部分」が増えており、自分の知らない分野に対してのセキュリティが要求されるという状況が、世の中でセキュリティを必要とする範囲が広がれば広がるほど大きくなっているように感じます。「興味は持っていないが、世の中に普及しつつある」部分に、いかにして触れ続けるかは、年々課題として大きくなってきたなと思いますね。さまざまな分野をセキュリティという切り口で横断するための幅広い知識と興味が要求されることにこそ、専門企業としての価値があるんじゃないかという気がしますよね。

その価値が高まると同時に、求められるレベルも高くなりますね。

はせがわ:セキュリティについての理解の深さはそのままに、対象となる範囲の広さを求められるようになってきていると痛感しています。私たちはWebセキュリティの専門家ではありますが、それぞれの事業ドメインの専門家ではないため、セキュリティの問題に見える課題の本質は何かを見定めたり、現状でできうる対策は何かという判断は、なかなかわれわれだけではカバーしきれない部分が出てきつつあります。そこでeラーニングコンテンツでも瀬田さんにご協力をいただいたように、その分野の専門家との協業が大切になってくると思います。

対談ゲスト:fjコンサルティング株式会社 瀬田陽介氏
  • fjコンサルティング株式会社 代表取締役CEO。
    2007年〜ISMS認証及びPCI DSS監査機関(QSA)である国際マネジメントシステム認証機構代表。13年同社を退任し、現在はPCI DSS/P2PEなどのPCI基準やキャッシュレスセキュリティのコンサルティング、執筆、講演などを手掛けている。
    BSI Professional Services Japanや株式会社GRCSのアドバイザーも務める。2020年5月からSSTとfjコンサルティングが共同で提供する「【PCI DSS要件6.5対応】『開発者向け年次オンライントレーニングコース』eラーニング」ではオリジナル教材の作成を担当。