ケビン・ピアース氏は、VikingCloudの社長兼COO。テクノロジー分野で30年の経験を持ち、複数のスケーラブルなクラウドシステムを設計してきた。
「クレジットカード番号って何?」
今では馬鹿げた質問に聞こえるが、アルファ世代はその答えを知る必要がないかもしれない。マスターカードは、すべてのクレジットカードとデビットカードから16桁の主要アカウント番号(PAN)を削除し、トークン化、パスキー、生体認証に置き換える計画だ。
なぜか?それは、安全な支払い方法が急速に進化しているからだ。現在、対面取引の70%がタップ決済となっている。買い物客は物理的な支払いを避け、代わりにスマートフォンや「ウォークアウト」技術を選択している。
この決済方法の変化は、消費者体験を向上させ、決済を標的とするサイバー攻撃のリスクを軽減する。しかし同時に、これが決済セキュリティのベストプラクティスにどのような意味を持つのかという緊急の疑問も生じる。PCI DSS(Payment Card Industry Data Security Standard)はPANを保護するために構築された。もしこれらの番号が決済プロセスから消えるとしたら、コンプライアンスとリスクをどのように再定義すればよいのだろうか?
現在のPCIの課題—そしてセキュリティの幻想
数十年にわたり、PANは取引を支え、同時に不正行為も可能にしてきた。加盟店はPANを使って購入を確認した。ハッカーはそれを悪用し、盗まれたカード番号がダークウェブに氾濫した。
そのためPCI DSSが導入された—クレジットカードデータを保護するためだ。そして当初の範囲内では効果を発揮した。しかしPCIは、ビジネス全体を保護するためのものではなかった。ランサムウェアを阻止したり、クラウド環境を保護したり、内部脅威を防いだりするものではない。
それでも、多くの中小企業(SMB)はPCIコンプライアンスを自社のサイバーセキュリティ戦略の全てとして扱っている。実際、SMBの54%はPCIに準拠していればサイバーセキュリティが確保されていると考えている。これは危険な思い込みであり、高くつく誤解だ。
当社の内部データによれば、SMBの大半は何年もPCI DSSに準拠しているにもかかわらず、大きなセキュリティギャップを抱えている。彼らに欠けているのはコンプライアンスではなく、基本的な対策だ:
• 23%が弱いパスワード(ペットの名前や単純な数字の羅列など)を使用している。
• 22%がモバイルやIoTデバイスに関するセキュリティポリシーを持っていない。
• 17%が従業員にサイバーセキュリティのベストプラクティスに関するトレーニングを行っていない。
攻撃者はこれを知っており、それを利用している。過去1年だけでも、SMBの24%がマルウェアの被害を受け、約5社に1社がサービス拒否攻撃に直面した。その結果は?ダウンタイム、顧客の喪失、収益の損失だ。
PCIは基準を設定するが、今日のデジタルファーストのビジネス環境を保護するためのものではなかった。そして確実に、これから来るものに対応する準備はできていない。
PANのない世界が意味するセキュリティの真実
トークン化、生体認証、その他のPANに依存しない決済へと移行するにつれ、セキュリティモデルも進化しなければならない—脅威の状況も変化するからだ。
トークン化は、PANを特定の取引に紐づけられた使い捨てのコードに置き換える。生体認証は指紋や顔スキャンで本人確認を行う。これらの技術は盗まれたデータの価値を下げるが、リスクを排除するわけではない。
PANが消えるにつれ、攻撃者も適応する—デバイスを乗っ取り、これらのツールのセキュリティの弱点を悪用するだろう。つまり、PANに依存しない決済は長年の脆弱性を取り除く一方で、新たな脆弱性をもたらす。そしてPCI DSSはPANデータに焦点を当てているため、この進化する脅威の状況に対応していない。
だからこそ、コンプライアンスだけでは戦略として不十分なのだ。それは昨日の脅威に対して構築されたものであり、明日の脅威に先んじるにはリスクベースのアプローチが必要だ。
21世紀の決済方法に対するセキュリティプレイブック
リスクベースのセキュリティ戦略はコンプライアンスを放棄するものではなく、それを基盤として更に発展させるものだ。この転換を導く3つの指針原則を紹介しよう:
ルールではなく、リスクから始める。
PCI DSSをゴールではなく基盤として使用する。定期的なリスク評価を実施して盲点を明らかにする—特にPCIが十分にカバーしていない領域で。
最近、PCIの検証に合格した中堅小売業者の評価を行ったが、契約が終了したにもかかわらず、以前の空調ベンダーが常時リモートアクセスを持っていることが判明した。PCIの範囲外だったため、これは指摘されなかった。これがリスクベースの評価の価値だ:コンプライアンス基準では見落とされがちな実際の脅威を捉えることができる。
効果的な投資を行う。
多くのSMBは単純にすべてを保護するリソースを持っていない。だからこそ優先順位付けが重要だ。SMBの3社に1社が時代遅れのサイバーテクノロジーを使用し、5社に1社がセキュリティツールを全く持っていない。では、SMBはどこから始めるべきか?
最も効果的な投資は、しばしば最も地味なものだ:資産インベントリ、多要素認証(MFA)、定期的なパッチ適用、自動化されたリスク評価。自社にとって最も重要なことを把握するには、次のような質問をしよう:
• どのシステムやデータが侵害されると、事業停止や金銭的損失につながるか?
• どの第三者がそれらのシステムにアクセスでき、それらはどのように管理されているか?
• 自社の環境を可視化できているか、それとも手探り状態か?
• 明日攻撃が起きたとき、何を導入していなかったことを後悔するか?
SMBは難しい質問をするのに大きな予算は必要ない—ただ攻撃者が会話を強制する前に、早めに質問する先見の明が必要だ。
脅威のスピードに合わせて動く。
攻撃者はコンプライアンスサイクルを待たない。防御もそうであるべきだ。リアルタイムの可視性とAI駆動の検出は不可欠だ。現在、組織の54%が攻撃をシミュレートするために生成AIを使用し、38%が検出を拡張するためにそれに依存している。リーダーと遅れを取る者との差は急速に広がっている。しかし、今日の脅威に先んじることは予算や規模の問題ではなく、自社の環境を知り、迅速に行動することだ。
社内セキュリティチームを持たないが、しっかりとしたプレイブックを持つ小規模なクイックサービスレストランチェーンと仕事をしたことがある。基本的なEDRツール、明確な「もし〜したらどうするか」の手順、訓練された店舗マネージャーが、2つのインシデントがエスカレーションするのを防ぐのに役立った。
このような準備には大きな予算は必要なく、適切な焦点が必要なだけだ。これが脅威が進化し続ける中でビジネスがコントロールを維持するのに役立つものだ。
PANのない未来はここにあり—急速に広がっている
決済の未来は番号がなく、モバイルファーストで、アイデンティティベースかもしれないが、PANは明日消えるわけではない。従来のクレジットカードが存在する限り、PCI DSSは決済保護において重要な役割を果たし続けるだろう。
この変化はブラジルやオーストラリアなどの市場ですでに進行中で、番号のないカードやシステムが普及している。北米とヨーロッパが次であり、彼らは急速に動いている。
PANに依存しない方向へのシフトが進むにつれ、業界はセキュリティの意味を書き換えている。つまり、攻撃対象領域は縮小しているのではなく、変化しているのだ。
次世代の決済時代でビジネスを保護したいなら、積極的かつ実際の業務運営に沿ったセキュリティ戦略が必要だ。これを正しく理解する企業は、PANに依存しない決済への移行を生き残るだけでなく、次に来るものを形作ることになるだろう。
