決済処理のセキュリティを測定するための4つのベストプラクティス

スポンサードサーチ

様々な金融サービスやECプラットフォームの成長により、オンラインビジネスの立ち上げはかつてないほど容易になりました。従来のビジネスが直面していた煩雑な作業の多くは、便利なサービスやソフトウェアによって効率化されています。

しかし、光があれば影もあります。世界がますますデジタル化へと移行するにつれ、私たちのビジネスは悪意のある攻撃者による新たなセキュリティ上の脆弱性にさらされることになります。

EC業界に焦点を絞ると、不正取引によって年間数十億ドルもの損失が発生しています。他の業界でも同様の状況が起きています。

たとえ利用している決済サービスを完全に信頼していたとしても、適正評価を実施し、最大限のセキュリティを確保することを強くお勧めします。システムにどのような潜在的な弱点があったとしても、これから紹介する3つの対策を講じることで、窮地に陥る前に弱点を発見し、修正することができるでしょう。

今回は、CS-Cartの公式ブログの記事から 4 Best Practices to Measure Your Payment Processing Security（決済処理のセキュリティを測定するための4つのベストプラクティス）をご紹介します。

決済処理セキュリティの重要性

過去10年間で、オンライン取引量は増加の一途をたどっています。これは、オンラインショッピングが消費者の間でより一般的になっていることを示しており、今後もオンラインでの購入が増加し続けるという上昇トレンドを示唆しています。

人々がお金を使うのは、小売店での買い物だけではありません。多くの企業がサービス、プラグイン、ソフトウェアといった形でオンライン販売を行っており、個人と企業（B2B/B2C）の両方から注目を集めています。

オンラインで決済を行う際、クレジットカード番号、銀行口座情報、決済用QRコード、個人情報や職業上のデータといった機密情報が送信されます。個人も企業も、安全で安心な取引を行う権利を持っています。

オンライン取引は悪意のある第三者によって傍受されたり、不正にアクセスされたりする可能性があります。企業のオーナーや企業に勤務するセキュリティ担当者としての役割は、重大な経済的損失を引き起こしかねない潜在的な脅威の可能性を最小限に抑えることです。

安全な取引の重要性をさらに強調するために、悪意のある攻撃が引き起こす可能性のある問題について考えてみましょう。事態が悪化した場合、最も深刻な損害の一つとなるのが訴訟です。

規制当局は、個人や企業に金銭的損害を与えた場合、企業に罰金を科す可能性があります。しかし、セキュリティ侵害による金銭的な側面は、問題の半分に過ぎません。企業の評判、ひいてはあなた自身の評判が深刻なダメージを受ける可能性があります。これは、評判管理の専門家が痛いほど理解している悪夢のようなシナリオです。

サイバーセキュリティ侵害は、他の事業運営も混乱させます。データ侵害やセキュリティの脆弱性という厄介な過去を持つ企業の新規顧客を開拓しようとしているマーケティング担当者の姿を想像してみてください。

さらに、業界の優秀な人材を採用することが非常に難しくなります。評判の良い従業員の多くは、そのような企業と関わることを避けるでしょう。

決済処理のセキュリティを測定するための4つのベストプラクティス

ビジネスを改善する上での一歩は、決済処理セキュリティの重要性を理解することです。次のステップは、お客様やクライアントを保護し、満足させるためのベストプラクティスを理解することです。

いくつかの手法には追加のソフトウェアや人員への投資が必要ですが、そのコストは、訴訟の解決のために支払わなければならない金額や、集団訴訟の和解金、あるいは侵害による経済的損失の回復に必要な金額に比べれば、取るに足らないものです。

1. 現在のセキュリティ基準を確認する【現状把握】

全体的なセキュリティを監視し測定する文脈において、現在どのような基準やセキュリティプロトコルを使用しているかを理解することは重要です。

ここでは複数の種類の基準について触れます（おそらく、すでに標準でいずれかを使用しているでしょう）。しかし、現在の選択肢が最大限のセキュリティを確保しているとは限りません。

ビジネスの種類によっては、登録顧客を抱えている場合が多いでしょう。例えば、ほとんどのSaaS企業では、購入前にアカウントを作成する必要があります。

その一方で、ECサイトでは、ゲスト購入の選択肢を通じて迅速な取引を可能にしている場合がよくあります。

しかし、調査によると、リピーターのお客様は初めてのお客様よりも商品により多くのお金を使う傾向があります。そのため、ここでは最も価値のあるお客様を保護するために、登録プロセスで使用されるセキュリティ基準に焦点を当てます。

ここでよく比較されるのが、SAMLとOAuthの基準です。それぞれに多くの使用事例がありますが、ワークフローが異なり、適用される状況も異なります。

SAML（Security Assertion Markup Language）とは、XMLベースの標準規格で、異なるドメイン間（例えば自社システムとクラウドサービス）でユーザーの認証・属性情報を安全にやり取りし、シングルサインオン（SSO：single sign-on）と呼ばれる、1度のID・パスワード認証で複数のWebサービスや業務アプリケーションにログインできる仕組みを実現します。

一方、OAuthは、ユーザーがパスワードを共有せずに、サードパーティアプリへ安全にデータアクセス権（認可）を付与するオープンプロトコルで、GoogleやFacebookでのログインなど、連携サービス（Twitter, Instagram等）でAPI利用時に使われています。

これら2つの基準を簡単に分類すると、SAMLは大規模な組織に適しているのに対し、OAuthはより優れたアクセシビリティと使いやすさを提供します。

状況や選択の余地があるかどうかにもよりますが、どちらの基準も有用であることが証明されています。しかし、OAuthはよりモダンであり、定期的に更新されているため、有利な点があります。

2. 積極的なアプローチのための適切なツールに投資する【技術的対策】

この1年間にインターネットを1時間でも利用したことがあるなら、人工知能（AI）に関する議論を目にしたことがあるでしょう。その有用性をいまだに否定する人もいれば、ChatGPTやその他の生成AIコースを過剰に売り込もうとする専門家もいます。

いつものことですが、真実はその中間にあります。AIは万能薬ではありませんが、日々のプロセスを改善し、オンライン決済のセキュリティを向上させることができます。

例えば、高度なデータ分析ツールは、企業が膨大な量の取引データを分析し、不正行為につながる可能性のある危険信号を発見するのに役立ちます。金融分析ツールは財務データへのより深い洞察を可能にし、異常の検知や潜在的な金融詐欺の防止に役立ちます。金融サービスにおける最新のテクノロジートレンドに遅れずについていくことは、セキュリティ対策を強化し、優れた顧客体験を提供するために不可欠です。

（通常はエラーが発生しやすい）この退屈なタスクに時間とリソースを浪費する代わりに、企業の経営者や意思決定者は、データ可視化機能を通じてセキュリティに対する新しい視点を得ることができます。

これらのツールは、取引量、チャージバック（支払い取消し）、お客様のレビューなどの情報に対する洞察を提供します。これらの情報が整理されていれば、ビジネスのセキュリティに関するより良い意思決定を行い、問題が発生する前に予防するのに役立ちます。

つまり、AIの助けを借りて自動不正検知システムを構築し、不審な活動が発生したときにアラートを出すことができます。そして、もし発生した場合でも、積極的なアプローチによって被害が拡大するのを防ぐことができます。

3. コンプライアンス（法令順守）を確実にする【法的要件】

技術的な側面に加えて、安全な決済処理の重要な部分は、現行の法律や規制を順守し続けることです。

コンプライアンスの監視はほぼフルタイムの責任を伴う業務ですが、これらの規制に従うことはセキュリティのロードマップとして機能します。

詐欺や不正からお客様の安全を保証することは、常に優先事項であるべきです。企業は透明性と説明責任を果たす必要があります。これこそが、これらの規制が強制していることなのです。

順守しなければならない最も重要な規制には、以下のようなものがあります。

• PCI DSS（Payment Card Industry Data Security Standard）
• PSD2（第2次決済サービス指令）
• GDPR（一般データ保護規則）
• SOC 2 コンプライアンス

決済処理のセキュリティを測定するという観点から、この項では、さまざまな法律や規制がいかに重要であるかを理解するのに役立ちます。これらの法律や規則は、あなたのビジネスがすべての要件を満たしているかどうかの基準となるはずです。

PCI DSS

金融の世界はインターネットよりもはるかに長く存在しています。クレジットカード会社は、セキュリティ基準の設定と改善において重要な役割を果たしています。

PCI DSSは、国際カードブランド5社（VISA、MasterCard、JCB、Amex、Discover）が共同策定した、カード情報を安全に取り扱うための世界的な情報セキュリティ基準です。

PCIコンプライアンスの要件は、取引量によって異なります。例えば、企業は4つの異なるレベルに分けられており、年間取引件数が2万件未満の企業はPCI DSSレベル4、600万件以上を取り扱う企業はレベル1となります。

まずは上記の表で自社のPCIレベルを確認することから始めましょう。PCI DSSに違反すると、非準拠の企業に対して法的措置や罰金が科される可能性があります。

PSD2

PSD2（第2次決済サービス指令）は、EUが2018年より施行したオンライン決済の安全性と競争力を高める金融規制で、強力な顧客認証（SCA）を義務付け、銀行APIを通じてサードパーティ（TPP）が口座情報や決済機能にアクセスできるオープンバンキング環境を推進しています。

PSD2の目的は、直接的な保護と、決済サービスに対する厳格なルールを課すことの両方によって、機密情報を扱うお客様を保護することです。

直接的な保護に関しては、お客様がオンライン決済を開始する際に、少なくとも2つの認証要素で本人確認を行うことを求めています（強力な顧客認証）。

一方で、金融機関は各取引に関する透明性の高い情報を提供する必要があります。

GDPR

3つ目の規制はGDPRです。これは、ユーザーデータの取り扱いと収集を定義する包括的な規制です。前の2つと同様に、企業に対して透明性を求めています。

これはユーザーデータ全体を対象としていますが、クレジットカード取引や財務詳細もこのカテゴリに含まれます。

4. リスク管理を優先する【運用体制】

決済処理の安全を維持することについてお話ししましょう。どのように保護し、誰がアクセス権を持つかについて、賢明である必要があります。

まず第一に、定期的に脆弱な箇所がないかチェックしてください。システムの健康診断のようなものだと考えてください。問題が発生する前に食い止めるためには、どこが脆弱性があるのかを把握しておく必要があります。

決済ゲートウェイをECサイトに正常に統合したら、データ分析ツールを活用して、何か怪しい兆候を示す取引を特定できるようにしましょう。

では、何か問題が発生したとしましょう。そうならないことを祈りますが、ゲームプラン（インシデント対応計画として知られることが多い）を持っておくことは常に賢明です。誰が何をするのか？どのように問題を止め、迅速に修正するのか？

不正行為や悪意のある攻撃、不適切なビジネス上の決定によってお客様やクライアントに生じた損害について謝罪し、賠償することは、信頼回復の第一歩となります。

そして、これが重要です。チームメンバーと話し合ってください。彼らは最前線の防御壁です。卑劣なメール詐欺やハッカーが使う手口を見抜く方法を彼らに教えてください。

鎖の強さは、最も弱い環によって決まることを忘れないでください。この場合、チーム全員が知識を持っている必要があります。そのため、サイバーセキュリティ計画にメールセキュリティ対策を統合することを検討してください。その方法の一つは、認証されていないメールの処理方法を受信者に伝えることができるDMARCポリシーを実装することです。DMARCポリシーは、認証されていないメールへの対処方法を受信者に指示するものです。

リスク管理を最優先事項とすることで、安全を確保し、信頼を築くことができます。お客様やステークホルダーは、あなたがセキュリティに対して真剣に取り組んでいることを見て理解してくれるでしょう。それは、ますますデジタル化が進む今日の世界において、かけがえのない価値となります。

決済処理のセキュリティを優先することで収益を守ります

お客様を保護することは、すべての企業にとって最大の利益となります。

残念ながら、顧客セキュリティを犠牲にしてコスト削減を選択する経営者もいます。運の良い少数の企業は、サイバー攻撃が発生したり、誰かがプロトコルを詳しく調査したりするまでは、しばらくの間はそれでうまくいくかもしれません。

お客様や従業員の安全を守るために、すでにできる限りの対策を講じている経営者や意思決定者であっても、常に改善に取り組むべきです。100%安全な決済処理というものは存在しませんが、セキュリティのトレンドに常に追随することが、それに近づくための最善のステップです。

そのためには、ここで紹介した対策が、セキュリティ上の欠陥がどこにあるのか、そしてそれを解決するための次のステップをどう進めるべきかを判断するのに役立つはずです。新しい保護レイヤーを追加するたびに決済セキュリティは向上しますが、それによる大きなデメリットはほとんどありません。

この記事の著者は、LeadsBridgeのアウトリーチスペシャリストです。マーケティングとテクノロジーに情熱を注いでいます。企業のオンラインプレゼンスとコミュニケーション戦略の向上を支援することが彼の目標です。

スポンサードサーチ