ITお役立ち情報
2021/02/24

小売業が取るべきセキュリティ対策とは?

小売業が取るべきセキュリティ対策とは?

小売業が対策すべきセキュリティリスクとは?」でお伝えしたように、近年、個人情報を狙った不正アクセスがもっとも多い業界は小売業界です。クレジットカード情報など、重要な個人情報が集まる小売業はサイバー攻撃者のターゲットとなっています。

前回、列記したようなセキュリティリスクに対し、小売業者が講じられるサイバー攻撃対策とは何でしょうか?

本コラムでは、小売業のセキュリティ対策について、5つの観点から解説いたします。

キャッシュレス決済対策

サイバー攻撃者のターゲットは、主に顧客の個人情報です。特に、クレジットカードやスマホ決済に関する情報の漏えいは高額な被害につながる恐れがあります。

現代のキャッシュレス決済は大きく「クレジットカード決済」と「QRコード決済アプリ」の2つに分かれます。

クレジットカード決済

クレジットカードのセキュリティ対策については、経済産業省が2019年3月に公開した「実行計画2019」に基づいて講じると良いでしょう。同計画は、2018年6月に施行された改正割賦販売法におけるセキュリティ対策義務の実務上の指針に位置づけられています。

同計画では、カード加盟店ではカード情報を保持せず(通過も認めない)、国際基準である「PCI-DSS」に準拠した保持業者を選定して端末やネットワークを提供してもらい、サービスを利用することが定められています。

QRコード決済アプリ

スマートフォンアプリによるQRコード決済も随分、定着してきた感があります。
QRコード決済においては、クレジットカード決済のような国際基準がまだなく、行政も具体的な指針を示していません。

ただ、Webアプリのセキュリティ対策を規定しているOpen Web Application Security Project(OWASP)が発行する「OWASP ASVS」があり、QRコード決済アプリもこれに準拠するベンダーが多いです。

国内では2018年に「キャッシュレス推進協議会(JPQR)」が立ち上げられ、技術仕様ガイドラインが設けられましたが、PCI-DSSのように詳細ではありません。

QRコード決済アプリでも、セキュリティ上の問題になるのは、アカウントの再発行によるなりすましです。実際に、なりすましが問題となりサービス廃止に追い込まれたQRコード決済アプリもあり、最低限「OWASP ASVS」に準拠しているQRコード決済アプリを導入する必要があるでしょう。

従業員教育

店舗スタッフはパートやアルバイトが多いかもしれませんが、それでもセキュリティ対策のための教育は必要になってきます。故意に情報を持ち出さずともFAXの送信ミスなどから漏えいしてしまうこともあるからです。
私用携帯などの持ち込みや使用についてもあらかじめ規定しておき、場合によっては、秘密保持契約を結んで、意識を高めてもらうことも重要です。

管理職などバックヤード業務も担う社員に対しては、標的型メール攻撃対策の訓練を実施する必要もあるでしょう。

【関連記事】
開封率は約50%!ほんとに自分は大丈夫?~「標的型メール攻撃訓練」の結果~

システムとネットワークの監視

ビジネスユースのネットワークにはファイアウォールを設置することは常識ですが、従来型のファイアウォールをすり抜けてしまうサイバー攻撃もあること、インサイダー脅威があることから、システムとネットワークを常時監視する必要があります。

ネットワーク上を流れるデータを監視し、外部からの侵入や許可されていない通信や不審な動き、インサイダー脅威につながる兆候などを検出し、排除します。

具体的には、専用のソフトウェアを活用するか、監視サービスを提供するベンダーと契約して監視を委託して実施します。

重要データの暗号化

上記のような対策を講じていても、サイバーセキュリティを完璧にすることは困難です。
万が一、不正アクセスがあった場合にも機密情報や顧客の個人情報などを不正に利用されないよう、重要なデータに関しては暗号化して保管しておく必要があります。

ファイルの暗号化には、ファイル暗号化ソフトを用いるほかファイル圧縮時にパスワードをかけるなどいくつかの方法がありますが、いずれも暗号化の際に設定した「キー」がないと復号できないようになっています。
重要データを暗号化しておくことで、不正アクセス以外にモバイルやUSBメモリを紛失した際のセキュリティも守られます。

ただ、いくらデータを暗号化していても、サイバー攻撃者が高度な復元ソフトを持って入れば解読されてしまう可能性があります。

インシデント発生時の対応方針の策定

セキュリティインシデントの発生により、実害が出たとしてもそうでなくても、しかるべき対応を取り、原因などの調査を行って結果を外部に公表することになります。

この一連の流れについて、自社の具体的な対応フローをあらかじめ定めておく必要があり、「情報セキュリティポリシー」などとよばれます。「情報セキュリティ委員会」など、担当体制を整備し、各ステップの責任者と担当者、具体的な手順を明らかにして、インシデントに備えましょう。

まとめ

サイバー攻撃者は、小売業が保有する個人情報を常に狙っています。
また、外部からの不正アクセスのほか、内部不正も起きやすく、両面からの対策が必要となります。

まずは、社内のインシデント対応を明らかにした「情報セキュリティポリシー」など、いざというときの対応手順を規定する必要があるでしょう。
まだ、整備できていない企業様は早急に取り組む必要があるといえます。お悩みの場合は当社もお手伝いいたしますので、ご相談ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA