「クレジットカード」と「Web」のセキュリティ専門家が語る「セキュリティのこれから」と「変わらないもの」

SSTが原点として掲げる「インターネットを安全にしたい」という思い。この言葉の「インターネット」が指す範囲は今やWebサイトだけにとどまらず、日々広がり続け人々の暮らしにより深く浸透しています。中でもインターネット上のオンライン決済や店舗などのスマートフォン決済でも欠かせないクレジットカードは、特に高度なセキュリティを要求されるひとつといえるでしょう。

SSTに関わるみなさまの声と視点を交えながらSSTの想いや取り組みを伝える「Grade up」の第1回となる今回は、日本におけるクレジットカードセキュリティの第一人者である瀬田陽介氏と、SSTのCTO・長谷川陽介による対話をお送りします。異分野のセキュリティ専門家はどのような未来を描いているのか、そしてその課題とは何か。クレジットカードセキュリティとWebセキュリティのこれからをテーマに繰り広げられる、2人の対話はSSTと瀬田氏との出会いから始まりました。

---

あらゆる分野のセキュリティに共通する“障壁”とは？

瀬田さんとSSTとの最初の接点は、いつごろのことだったのでしょうか？

瀬田氏（ゲスト）：会長の乗口さんがSSTを創業されたのが2006年でしたよね。私がインフォリスクマネージ（現：アイティーエム株式会社）に在籍していた当時から、いろいろ協業のお話をいただいたのが最初の接点だったと思います。

よく依頼させて頂いたのは脆弱性検査、特にWebアプリケーション周りの検査です。クレジットカード情報や個人情報が詐取されるSQLインジェクション攻撃による被害が急増し、社会問題化した時期でした。そのころは適切な脆弱性検査が行える会社はまだあまり存在していなかったと思いますが、SSTはすでに脆弱性検査をサービスとして確立されていました。

当時の、キャッシュレスセキュリティにおける課題は何だったのでしょうか？

瀬田氏（ゲスト）：キャッシュレスのセキュリティ意識は現在では大きく変わりました。2006年当時のキャッシュレス決済といえば主にクレジットカードになりますが、2008年ごろからVISAやMastercardなどの国際カードブランドから「セキュリティの国際基準と比べると、日本は大きく後れを取っている」との懸念が出てきました。

セキュリティ基準の緩い国があるとどうなるか、という分かりやすい例がタイでの事例です。2000年ごろ、偽造カードの犯罪が多くありましたが、特に不正利用が顕著だったのがタイでした。当時タイでは、クレジットカードの大半が磁気ストライプだったため、犯罪者はこぞってタイで偽造カードを使っていたのです。

Eコマースが普及した昨今でも同じように、セキュリティ基準が強固な国から緩い国へと攻撃対象が変わっていきます。日本ではEコマースやクレジットカードのセキュリティが緩い状況だったため、攻撃が集まりかねないとの懸念を国際ブランドが持っていたのです。

“理解の深さ”と“守備範囲の広さ“
セキュリティの専門家にはその両方が求められる時代に

セキュリティにおける新型コロナウイルスの影響はあったのでしょうか？

瀬田氏（ゲスト）：行動自粛に伴いEC購買者が増えた影響で、ECサイトのクレジットカード情報を入力する箇所に不正なスクリプトを挿入するなどしてカード情報を詐取する「オンラインスキミング」の攻撃が、今年の2月ごろから急増しています。クレジットカード決済のシステム運用はオフィスのセキュアルームで行う前提になっていることが多く、在宅勤務で運用を回すことはあまり想定されていません。他国ではロックダウンで外出がまったくできない状態でセキュリティ運用を継続しているわけですから、パッチ適用などがおろそかになっているだろうと、攻撃者側も分かっているのです。

長谷川（SST）：瀬田さんと一緒に講師をしたeラーニングの中でも話したのですが、一昔前は、SQLインジェクションのような“派手な方法”で大量のカード情報を盗むケースが多く見られました。しかし対策が普及したため、攻撃者側にとって効率の良い方法ではなくなってきました。

そこで最近はクラウドの管理コンソールを乗っ取るとか、クラウド上に偽のサイトを作り上げてしまうといった手法で、長期にわたって入力の都度カード情報を盗んでいく「オンラインスキミング」の手法が増えているんですよね。対策を1つ積み重ねては、それを破る手法が現れて…というイタチごっこになっていて、何か1つ対策を採っておけば済むわけではないのです。

どのような意識が継続的なセキュリティ対策に必要なのでしょうか？

瀬田氏（ゲスト）：クレジットカード情報を狙う犯罪者たちも、経済合理性に基づいて効率的な方法を考えますので、対策の取り方も狙う側の心理や視点に立って考える必要がありますよね。それをよく分からないままに数々の対策を行っても、散漫で費用対効果の低い対策になってしまいます。

長谷川（SST）：そうですね、効果的ではないものになりますよね。セキュリティの専門家に求められるのはまさに「攻撃者の視点に立って弱いところを探す」視点です。その際に念頭に置かなければならないのは、専門家といえども自分が不得意とする範囲を自覚することです。攻撃の方法も、例えば家だったら天窓を破るのが得意な人もいれば、玄関からこっそり侵入するほうが得意な人もいます。人それぞれ得意・不得意が違っていることを理解して、自分の不得意を過小評価しないのが重要なんですね。セキュリティ上のリスクや対策を伝えるときにも、そのバランス感覚をどう伝えるかというのが課題になってきます。

「不得意を過小評価しない」というのは？

長谷川（SST）：自分が苦手な範囲を「これは難しいから、すぐ理解するのは無理だろう」「難しい攻撃だから診断の対象としなくていいだろう」などと無意識のうちに回避してしまうようだと、教えるにしてもセキュリティ対策を考えるにしてもよろしくないですよね。

それに加えて、Webに限らずセキュリティを要するサービスの幅がものすごく広がっていることで、同様の課題が生まれています。得意・不得意の以前の「興味を持てる」範囲というのも人によって違いがあり、広さも違います。あらゆるところで「自分で興味がある」または「会社として関わりがある」部分に重ならない「世の中に普及してきた部分」が増えており、自分の知らない分野に対してのセキュリティが要求されるという状況が、世の中でセキュリティを必要とする範囲が広がれば広がるほど大きくなっているように感じます。「興味は持っていないが、世の中に普及しつつある」部分に、いかにして触れ続けるかは、年々課題として大きくなってきたなと思いますね。さまざまな分野をセキュリティという切り口で横断するための幅広い知識と興味が要求されることにこそ、専門企業としての価値があるんじゃないかという気がしますよね。

その価値が高まると同時に、求められるレベルも高くなりますね。

長谷川（SST）：セキュリティについての理解の深さはそのままに、対象となる範囲の広さを求められるようになってきていると痛感しています。私たちはWebセキュリティの専門家ではありますが、それぞれの事業ドメインの専門家ではないため、セキュリティの問題に見える課題の本質は何かを見定めたり、現状でできうる対策は何かという判断は、なかなかわれわれだけではカバーしきれない部分が出てきつつあります。そこでeラーニングコンテンツでも瀬田さんにご協力をいただいたように、その分野の専門家との協業が大切になってくると思います。

「セキュリティのこれから」と「時代が移っても変わらないもの」とは

クレジットカードとWebのそれぞれの分野での「セキュリティのこれから」についてお聞かせください。

瀬田氏（ゲスト）：パブリッククラウド上のシステム構築も、従来の仮想化環境よりも少ないリソースでアプリケーションが稼働する環境を構築できる「コンテナ」や、サービスを提供しているAPIだけをつなぎ合わせてアプリケーションを開発する手法が一般化する「クラウド・ネイティブ」へと変わる最中にあります。それに呼応して、セキュリティの考え方も「クラウド・ネイティブ」へと大きく変化していくものと予想しています。言いかえると今までとは違う発想で、起点が少し変わってくる、といったイメージになるでしょうか。その変化をキャッチアップし続けないとならないでしょう。

2021年の半ばに公開予定のPCI DSSの次期バージョン（v4.0）では、これまでのように実装方法を具体的に示すだけでなく、セキュリティ目標を要件ごとに定めて、目標を達成するための実装方法は自由に選べる形にしています。目標以上のセキュリティが必要な企業のニーズにも対応できるようにするという発想からです。

その発想にいたった背景には、前回のバージョンアップからの7年の間で、テクノロジーの進化が激しすぎてPCI DSSの改訂が追いつていないという状況があったと思います。進化に追いつくよりは、柔軟性を持たせて準拠する企業側の自由裁量に合わせていく形に変わっていくところが大きいと思います。柔軟性を持たせて、クラウド・ネイティブ時代にも対応できるセキュリティ基準となることを目指しているのだと考えます。

長谷川（SST）：これからの変化として、1つの仕事、成果物に対して、さまざまな専門家が集まったものが1つのサービスとして提供されるようになっていくと思うんです。そのなかで、セキュリティはすべての軸を横断して、それぞれに対して矛盾がない状態を作らなければならないという課題をクリアすることが求められるでしょう。

クラウドなどはさまざまな専門家が集まった1つのサービスの好例だと思います。従来であれば、自分たちで構築した環境をコントロールできるのが前提でした。セキュリティについても同様です。ところが、自分たちで管掌できない部分が増えてくると、暗中模索のなかでリスクを見極めていかないとなりません。すると、採りうる選択肢に具体的にどれだけのリスクがあるかと問われたときに、その判断は難しいところがあります。すべてコントロールできる環境が必ずしも安全とは限らず、「世界中で広く使われているクラウドのほうが、自前のものより安全です」という考えもできるような、発想の転換が求められるポイントはますます増えていくと思います。それに伴って、何もかも自分たちで判断する能力よりも「判断できるプロに任せる」「どこを任せるべきか判断できる」能力を、いろいろな形で培う必要があるのではないかと、強く感じます。

継続的に地道に対策を積み上げ、攻撃のコストを上げる

その反対に、これからも変わらないと思われる部分はどのような点でしょうか？

瀬田氏（ゲスト）：人間の犯罪動機は、未来永劫変わらないでしょう。犯罪者が価値のあるものをより効率的に稼ごうとするのは、いつの時代も同じです。現金にしかお金としての価値がなかった時代には銀行強盗をしていた人たちが、クレジットカード情報や仮想通貨にお金としての価値があり、強盗よりもリスクが小さいとなれば、当然盗む対象は変わります。犯罪をする側の心理が変わらないならば、その心を読むという発想を起点に対策を考えると、その時々に対応したセキュリティ対策を時代が変わっても大きくブレることなく講じられます。犯罪のほとんどの動機は経済的な理由ですので。

長谷川（SST）：攻撃のほとんどは経済的な理由というお話は、まさにそのとおりだと思います。それはすなわち「攻撃者のコストを上げることが、最大の防御になる」といえます。企業が多額の費用を掛けてセキュリティ対策を行い、1年後に追加の対策を講じようとすると「去年の対策は無駄だったのか」と受け取られがちなのですが、そうではなく、去年そこまで対策を行ってあったから、さらに攻撃側のコストを上げるために今年の対策が必要になったわけで、決して無駄になったと思ってほしくないのです。

セキュリティ対策に“これだけ一度入れておけば大丈夫”といえるものはなく、少しずついろいろな対策を地道にやらざるを得ないものばかりで、その1つ1つが攻撃者のコストを上げることになります。攻撃のコストを引き上げ「攻撃してもペイしないWebサイト」を増やしていけば、社会そのもの、Webの世界が安全になっていくでしょう。自分のところには狙われる価値がないとかそういう話ではなくて、Webの世界で攻撃することそのもののコストを引き上げることは、過去から変わらずやっておくべきことなのかなと思います。

瀬田氏（ゲスト）：継続的に対策をしているサイトは、攻撃者から見れば効率が悪いからここを攻めるのは止めよう、という発想につながりますね。先日、クレジットカードの不正利用に悩んでいた企業へのインタビューで、ツールを入れて不正利用が劇的に減った話を聞いたのですが、不正利用の兆候を捉えて地道に対策を継続していたら、兆候そのものがほとんどなくなってきたとおっしゃっていました。

長谷川さんのおっしゃるように、継続的に地道に対策を行った結果は、確実に攻撃者に打撃を与えます。それは、経済合理性に合わなくさせるという、的を射た対策だからだと思いますね。

---

「犯罪者の心理や犯罪動機は、時代を経ても変わらない」という前提にたって考えることで、どの時代にも対応できる「ブレない」セキュリティを講じられると語る、瀬田氏。あらゆる分野でセキュリティが必須になった時代、セキュリティの専門家として「広さ」と「深さ」が同時に求められると語った、CTOの長谷川。

2人のセキュリティ専門家の対話からは、継続的なセキュリティ対策が確実に攻撃者に打撃を与え、そして安全なインターネットの実現に直結することが、改めて浮き彫りになりました。

2020年11月13日更新