こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
オーソリゼーションデータのスイッチングサービスを行う株式会社日本カードネットワークは11月11日、同社のCARDNETセンター障害について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】クレジットカードが利用できなくなる障害が発生したということです。大規模障害に備えた対策や、キャッシュレス決済を不正利用されないためにセキュリティの観点で気を付けるべきポイントについて説明します。
今回のインシデントは、センターを利用するクレジットカード等の取引が、一部で利用できない状況になったというものです。原因として、当該時間帯において、システム更改準備に加え、多大なシステム負荷を伴う要因が重なった結果、センターにおいて処理が遅延し、一部取引を受け付けられない状態となったことが挙げられています。
現在は対策を行ったため、システムが復旧し、正常に取引ができていることを確認しているということです。
大規模障害に備えた対策として、BCPに基づいたディザスタリカバリの考え方を取り入れることが必要です。1つずつ解説します。
・BCP
Business Continuity Planの略で、事業継続計画と訳されます。企業が自然災害などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするための手段などを取り決めておきます。
・ディザスタリカバリ
災害復旧と訳される、自然災害時などにシステムを停止させずに、迅速にサービスを復旧するための仕組みです。BCPを検討する上において、 壊滅的なダメージを受けたシステムを修復・復旧するための仕組みや、被害を最小限に抑えるための予防措置を指します。
まとめると、どのような状況でも、重要なシステムを継続させるために、対策を考えよう、ということになりますので、クレジットカード決済など、重要なシステムでは常に求められる概念となります。ただし、BCPやディザスタリカバリ自体は、クレジットカード決済のような一部の金融システムだけでなく、一般企業で広く利用されているクラウドサービスでも同様の考え方が求められますので、組織にとって重要なシステムについては、業務を継続するために必要なBCPを考えるようにしましょう。
キャッシュレス決済などで盗み見られないための対策として、ショルダーハックの対策があげられます。これは、リモートワークにおけるパソコンののぞき見対策と共通する考え方です。
ショルダーハックとは、肩越しに情報を盗み見ることで、機密情報を盗む手口の一つです。パソコンの操作を盗み見て入力したパスワードを読み取ったり、ATMでの暗証番号やスマートフォンのロック解除をするためのPIN番号などを直接覗き見たりすることで、機密情報の窃取を試みます。
ショルダーハックの対策として、パソコンやスマートフォンの画面にのぞき見フィルターを貼ったり、多くの人が行きかう公共の場で機密情報を開かなかったりすることがあげられます。また、認証情報の盗み見対策として、パスワードが窃取されても認証を突破されないように、生体認証や多要素認証を使うことも有効になる場合があります。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ