小売業が取るべきセキュリティ対策とは？

「小売業が対策すべきセキュリティリスクとは？」でお伝えしたように、近年、個人情報を狙った不正アクセスがもっとも多い業界は小売業界です。クレジットカード情報など、重要な個人情報が集まる小売業はサイバー攻撃者のターゲットとなっています。

前回、列記したようなセキュリティリスクに対し、小売業者が講じられるサイバー攻撃対策とは何でしょうか？

本コラムでは、小売業のセキュリティ対策について、5つの観点から解説いたします。

キャッシュレス決済対策

サイバー攻撃者のターゲットは、主に顧客の個人情報です。特に、クレジットカードやスマホ決済に関する情報の漏えいは高額な被害につながる恐れがあります。

現代のキャッシュレス決済は大きく「クレジットカード決済」と「QRコード決済アプリ」の2つに分かれます。

クレジットカード決済

クレジットカードのセキュリティ対策については、経済産業省が2019年3月に公開した「実行計画2019」に基づいて講じると良いでしょう。同計画は、2018年6月に施行された改正割賦販売法におけるセキュリティ対策義務の実務上の指針に位置づけられています。

同計画では、カード加盟店ではカード情報を保持せず（通過も認めない）、国際基準である「PCI-DSS」に準拠した保持業者を選定して端末やネットワークを提供してもらい、サービスを利用することが定められています。

QRコード決済アプリ

スマートフォンアプリによるQRコード決済も随分、定着してきた感があります。
QRコード決済においては、クレジットカード決済のような国際基準がまだなく、行政も具体的な指針を示していません。

ただ、Webアプリのセキュリティ対策を規定しているOpen Web Application Security Project（OWASP）が発行する「OWASP ASVS」があり、QRコード決済アプリもこれに準拠するベンダーが多いです。

国内では2018年に「キャッシュレス推進協議会（JPQR）」が立ち上げられ、技術仕様ガイドラインが設けられましたが、PCI-DSSのように詳細ではありません。

QRコード決済アプリでも、セキュリティ上の問題になるのは、アカウントの再発行によるなりすましです。実際に、なりすましが問題となりサービス廃止に追い込まれたQRコード決済アプリもあり、最低限「OWASP ASVS」に準拠しているQRコード決済アプリを導入する必要があるでしょう。

従業員教育

店舗スタッフはパートやアルバイトが多いかもしれませんが、それでもセキュリティ対策のための教育は必要になってきます。故意に情報を持ち出さずともFAXの送信ミスなどから漏えいしてしまうこともあるからです。
私用携帯などの持ち込みや使用についてもあらかじめ規定しておき、場合によっては、秘密保持契約を結んで、意識を高めてもらうことも重要です。

管理職などバックヤード業務も担う社員に対しては、標的型メール攻撃対策の訓練を実施する必要もあるでしょう。

システムとネットワークの監視

ビジネスユースのネットワークにはファイアウォールを設置することは常識ですが、従来型のファイアウォールをすり抜けてしまうサイバー攻撃もあること、インサイダー脅威があることから、システムとネットワークを常時監視する必要があります。

ネットワーク上を流れるデータを監視し、外部からの侵入や許可されていない通信や不審な動き、インサイダー脅威につながる兆候などを検出し、排除します。

具体的には、専用のソフトウェアを活用するか、監視サービスを提供するベンダーと契約して監視を委託して実施します。

重要データの暗号化

上記のような対策を講じていても、サイバーセキュリティを完璧にすることは困難です。
万が一、不正アクセスがあった場合にも機密情報や顧客の個人情報などを不正に利用されないよう、重要なデータに関しては暗号化して保管しておく必要があります。

ファイルの暗号化には、ファイル暗号化ソフトを用いるほかファイル圧縮時にパスワードをかけるなどいくつかの方法がありますが、いずれも暗号化の際に設定した「キー」がないと復号できないようになっています。
重要データを暗号化しておくことで、不正アクセス以外にモバイルやUSBメモリを紛失した際のセキュリティも守られます。

ただ、いくらデータを暗号化していても、サイバー攻撃者が高度な復元ソフトを持って入れば解読されてしまう可能性があります。