JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

PCI DSSに準拠するための多要素認証とは ~アルカクラヴィスを利用した多要素認証の導入事例~

PCI DSSに準拠するための多要素認証とは ~アルカクラヴィスを利用した多要素認証の導入事例~

近年、国内のクレジットカードの不正使用被害は急増しており、深刻な社会問題となっています。そのような背景を受け、クレジット取引セキュリティ対策協議会(※1)は、2016年2月、クレジットカード会社や加盟店などが講ずべきセキュリティ対策を取りまとめた「実行計画2016」を策定しました。さらに2017年3月、その後の進捗や割賦販売法の改正を踏まえて改訂された「実行計画2017」を発表。改正割賦販売法によってセキュリティ対策が義務化され、カード情報を保持する事業者はPCI DSS(※2)への準拠が求められます。

(※1)クレジット取引セキュリティ対策協議会
2020年東京五輪開催に向けて、国際水準のクレジットカード取引のセキュリティ環境を整備するため、経済産業省及び一般社団法人日本クレジット協会が主体となり、2015年3月に設立されました。

(※2)PCI DSS(Payment Card Industry Data Security Standard)について
クレジットカード会員データの安全な取り扱いを目的として策定された、国際的なセキュリティ基準です。2016年4月に公開されたPCI DSS v3.2が最新の基準になり、新たな要件の追加がされました。

「実行計画2017」の概要(主な改訂事項) 出典:経済産業省

■クレジットカード情報の適切な保護

  • 加盟店におけるクレジットカード情報の非保持化を推進します。
  • クレジットカード会社等やカード情報を保持する加盟店におけるカード情報の適切管理(カード情報に係るデータセキュリティの国際規格への準拠)を進めます。

■クレジットカードの不正利用防止

  • 対面加盟店における偽造カード対策として決済端末のIC対応等を進めます。
  • 非対面加盟店(EC加盟店等)における多面的・重層的な不正利用防止(パスワード入力による本人認証、購買履歴データの分析や配送先情報の蓄積等による不正検知の仕組みの導入等)を進めます。

■消費者等への情報発信

PCI DSS v3.2では、その中の要件8にID管理をはじめとするユーザ認証のセキュリティ要件が定められています。そして、PCI DSS v3.2では「二要素認証」から「多要素認証」への用語変更があり、より強固な認証が求められるようになりました。また、カード会員のデータ環境への管理者アクセスにも多要素認証が求められています。ジャパンシステムが提供する「アルカクラヴィス」は、PCI DSS準拠に必要な多要素認証とログ収集機能を提供します。

アルカクラヴィスの多要素認証導入事例

導入例[1] :
カード会社 (コールセンター)
導入規模 200名

カード会社の200名規模のコールセンターの事例。アルカクラヴィスによって、クライアント端末にICカード+PINの二要素認証を導入することで、PCI DSS要件8.1と8.2に準拠しています。ICカードは既存のFeliCaカードを利用。また、クライアント端末からカードを取り外した際は、個人用端末なら画面ロック、共用端末なら自動ログオフと、端末に応じて異なる動作を実行します。

併せて、シングルサインオンもアルカクラヴィスで実現しています。特にWindowsログインパスワードは、最初の設定から入力まで、利用者が一切入力せずに済む仕組みを採用しています。これにより、オペレータのITリテラシーを問わない、パスワードの厳密な運用が可能になり、より強固なセキュリティを確保しています。

PC全体のドライブ暗号機能で盗難対策 カードを取り外したら画面ロック 既存のFelicaカードを利用 デバイス制御機能で、外部デバイスの利用禁止 カードを取り外したら自動ログオフ → ICカード+PINでの二要素認証(PCI DSS 要件8.2準拠) → グループウェアにシングルサインオン Windowsログインパスワードは、管理者が設定した利用者が知らないパスワード 各ユーザに一意のIDを割り当て利用者の一元管理と、ロックアウトなどのポリシー定義「PCI DSS要件8.1準拠」クライアントのICカード+PINの二要素認証、シングルサインオンの認証時のログ、および管理操作のログを収集「PCI DSS要件10準拠を支援」

導入例[2] :
カード会社 (コールセンター及び関係部署)
導入規模 1000名

コールセンターおよび社内の関係部署に導入した1000名規模の事例。アルカクラヴィスによって、ICカード+PINによる二要素認証でPCI DSS要件8.1と8.2に準拠したうえ、シングルサインオン環境も構築しています。

本事例の特徴はPINの管理です。PCI DSS要件8.2に準拠したPINポリシーにより、定期的に必要とされるPIN変更時に、統合運用管理システムとアルカクラヴィスを連携させることで、PINが変更されたら、基幹業務アプリケーションのパスワードも変更されるという独自の仕組みも構築しており、システム全体でセキュリティの強化とパスワード管理の効率化の両立を実現しています。

カードを取り外したら画面ロック 既存のFelicaカードを利用 → ICカード+PINでの二要素認証(PCI DSS 要件8.2準拠)→ PIN変更時、統合運用管理システムと連携し、各種基幹業務アプリケーションのパスワードも変更(PCI DSS 要件8.1.7/8.1.8準拠) 各アプリケーションにシングルサインオン Windowsログインパスワードは、システムが乱数育成したもので自動認証 各ユーザに一意のIDを割り当て利用者の一元管理と、ロックアウトなどのポリシー定義「PCI DSS要件8.1準拠」クライアントのICカード+PINの二要素認証、シングルサインオンの認証時のログ、および管理操作のログを収集「PCI DSS要件10準拠を支援」

導入例[3] :
カード会社 (全社導入)
導入規模 5000名

コールセンターを含んだ全社に導入した5000名の大規模な事例です。大規模ユーザならではの悩みにきめ細かく応えたパスワード管理を実現している点が、本事例の特徴です。例えば、一定回数以上の誤入力などでPINロックされた場合の解除手続きは、一般的には情報システム部門が管理ツールから行いますが、本事例では上長が行えるようにしています。ユーザ数が多いため、情報システム部門による解除では運用に無理が生じるためPCI DSSの要件に準拠しつつ、上長による解除を可能としています。

また、Active Directoryのドメインは複数存在しましたが、アルカクラヴィスサーバは複数ドメインのユーザを一元管理する仕組みを提供しました。また、90日以上、非アクティブなユーザ検出のツールも提供しました。

既存の接触型カードに対応 カードを取り外したら画面ロック → ICカード+PINでの二要素認証(PCI DSS 要件8.2準拠)→ さまざまな業務アプリケーションにシングルサインオン 各ユーザに一意のIDを割り当て利用者の一元管理と、ロックアウトなどのポリシー定義「PCI DSS要件8.1準拠」クライアントのICカード+PINの二要素認証、シングルサインオンの認証時のログ、および管理操作のログを収集「PCI DSS要件10準拠を支援」 複数のドメイン環境でも利用可能/AD連携でユーザ管理の自動化 90日以上、非アクティブなユーザの検出(PCI DSS 要件8.1.4準拠)

PCI DSS 3.2 によってカード会員データを守るポイント

コールセンターも社内の関係部署も、カード会員データを取り扱う端末は、多要素認証をはじめとするPCI DSSへの準拠によって、なりすましなどによる不正操作を防ぐ必要があります。

そして、カード会員データを取り扱うアプリケーションは、他のシステムと合わせてシングルサインオンにすることでパスワードを守ります。複数のシステムやWindows端末などを人手によって、それぞれ異なるパスワードで管理すると、パスワードの使い回しなどといった、セキュリティに不備が生じるものです。シングルサインオンにより、人手の管理を極力排除し、認証自体は多要素認証によって強化することで、全体のセキュリティを効果的に高めることが可能です。

また、ログ収集機能により、クライアントの認証ログ、管理者の操作ログが取得でき、不正操作の追跡が可能となり、PCI DSS 要件10の準拠支援と、監査に役立てることができます。

このような多要素認証やシングルサインオンについて、ジャパンシステムは「アルカクラヴィス」よるPCI DSS v3.2に準拠したソリューションを提供しています。大規模導入時のカスタマイズ含め、お客様の実運用に対応した提案を行っております。

カード会員データを取り扱う
端末は

多要素認証で不正操作から守る

カード会員データを取り扱う
アプリケーションは

シングルサインオンでパスワードを守る

ログ収集機能で

不正操作の追跡が可能に

アルカクラヴィスについて

ICカードとパスワードと生体認証の組み合わせによる多要素認証をはじめ、シングルサインオンや自動暗号化を提供する認証ソリューション。自社開発の国産製品であり、官公庁や自治体、金融機関をはじめ、多数の導入実績があります。クレジットカード関連のシステムにおいては、PCI DSSユーザ認証に関する要件への対応事例が多数あります。

アルカクラヴィス シリーズ 製品紹介サイト

JCDSC 日本カード情報セキュリティ協議会 Japan Card Data Security Consortium 安全なカード会社の実現をめざして

ジャパンシステムは、「日本カード情報セキュリティ協議会(JCDSC)」の会員企業です。