決済サービスのセキュリティに必要なアベイラビリティとは|WD ONLINE

WD Online

特集一覧 Web Designing 2017年10月号

決済サービスのセキュリティに必要なアベイラビリティとは そのサービスの時間単価はいくらですか?

安全な決済サービスを構築・運用するにはシステムと社内のセキュリティが重要。しかし、その必要性を上層部に伝えることは存外難しいものだ。情報セキュリティの第一人者に、スムーズに導入するためのポイントを聞いた。

情報セキュリティの3要素「C.I.A.」とは

−Webでビジネスをすることが当たり前の時代になってきていますが、情報セキュリティにおいてもっとも基本的な考え方というのは何でしょうか?

蔵本雄一氏 情報セキュリティには3つの要素がありまして、それぞれの頭文字をとって「C.I.A」という言葉があります。とても簡単に解説すると、CはConfidentiality(コンフィデンシャリティ:機密性)、これは情報を勝手に見られたりしないことです。IはIntegrity (インテグリティ:完全性)で情報が改ざんされたりしないこと、ここまでは誰でも想像が付くと思います。そしてAがAvailability (アベイラビリティ:可用性)、これは「持続的に利用できる」ことを意味しています。ビジネスにおけるセキュリティではこの3要素を高いレベルでバランスよく組み立てて行くことが求められます。

−具体的にはどのようなものとして考えるとよいでしょうか。

蔵本氏 Webサービスを展開している会社であれば、フロントエンドの背後の顧客情報などが入ったデータベースが漏洩しないように、機密性の確保やホームページが改ざんされないように完全性の確保、サーバがダウンしないように「アベイラビリティ(可用性)」の確保が該当しますね。 特にアベイラビリティは、ECサイトなどを運営しているのであれば、利益に直接関わってきます。

例えば、時間単価で1億円稼いでいるサーバを運営しているのであれば、1時間ダウンしたら単純に1億円の含み損が出るわけです。なので、まずはWeb担当者はサーバが時間あたりどのくらいマネタイズできているのかを出しておくことが基本となります。これなしに「最近こういう攻撃が流行してますからセキュリティの予算をください」と上層部に言ってもまず通りません。

−なるほど。では、上層部にどのように説明すればよいのですか?

蔵本氏 簡単です。「このサーバは1億円稼ぐので、100万円かけて守りましょう!」と言えば、経営者は「100万円で1億円守れるなら安いものだ」となるわけです(笑)勘違いしてはいけないのは、経営者にとって一番重要な価値は会社の経営の成功であって、それは多くの場合「お金」で判断されるのです。

また、最近は「ビジネスイネーブラーとしてのセキュリティ」ということも言われています。皆さんセキュリティというと「ルール」や「ポリシー」を定めて何事も禁止する方向でイメージしますが、セキュリティを確保しながらビジネスの目的を達成するという考え方が重視されるようになっています。

−ビジネスイネーブラーをもう少しわかりやすく言うと?

蔵本氏 例えば、仕事で使うノートブックを会社の外に持ち出せば生産効率が上がるという話がよくありますが、オフィスから持ち出せば盗難紛失のリスクがあります。かといって、それが怖いから持ち出すべきではないという意見が出ますが、それではビジネスは成長しません。だったら、最初からしっかりと盗難紛失対策を施したノートブックを持ち出せばいいじゃないかというのがビジネスイネーブラーの基本的な考え方です。

これをWebに当てはめれば、新しいサービスを展開する際に「これをやったら狙われるからやめよう」という発想ではなくて「適切なセキュリティ対策を施した上でやってみよう」とならなくてはいけません。これはWebサービスの作り手全般に求められることだと思います。

セキュリティに関する判断は担当者が独自に行うのではなく、経営者に適切なコミュニケーション手法で伝える必要があると蔵本氏

 

活かされなかった震災の教訓

−中小企業のセキュリティ対策の現状はいかがでしょう?

蔵本氏 予算的にやむを得ないところもあるのですが、見ている範囲では悲惨ですね。セキュリティ対策にもいろいろありますが、基本的にはOSやソフトを最新の状態にしておけば脆弱性を突く攻撃からは大体防げるものなのです。

製造業の分野では「State of Art相当(現時点で最高峰の状態にしておく)」という要件を目にすることも珍しくありません。これはITの分野からするとざっくりした要件に見えるかもしれませんが、命や健康に関わる製造業では、「最高のセキュリティを施したい」という考えがあるので、このような要件が出て来ます。「常に最新、最高の状態」は理想的ですが、ITの分野ではアプリケーションとの互換性などの理由から最新の状態にできないという状態が往々にして発生し、OSなどを古いまま使っている状態が散見されます。

Webサーバであればバックアップを用意した冗長構成をとり、スタンバイ機で検証した後に本番機へ適用したり、運用中のサーバにパッチを適用したりサーバのアプリケーションのバージョンを新しくする際にも、ダウンタイムを極力減らし、アベイラビリティを確保しながら最新の状態に更新していくという運用をしっかりと検討し、ビジネスへの影響を最小限にしながらもセキュリティ強度を高める努力は非常に重要です。

続きを読むためにはログインが必要です。
マイナビBOOKSの「WD Online全文購読サービス」(有料)をご利用ください。

マイナビBOOKSへの新規会員登録もこちらから。

定期購読者はオンライン版が読み放題 !!
雑誌『Web Designing』の定期講読者には、
WD Onlineの全文購読サービスを無料でご提供しています。
詳しくは「定期購読のご案内」をご覧ください。

掲載号

Web Designing 2017年10月号

Web Designing 2017年10月号

2017年8月18日発売 本誌:1,559円(税込) / PDF版:1,222円(税込)

決済の改善は売上拡大に直結する!

サンプルデータはこちらから

企業のIT推進担当者やネット運営者に向け、ネットビジネスの課題を解決するノウハウや最新情報をお届け。徹底した現場目線とプロへの取材&事例取材で、デジタルマーケティング施策に取り組む上での悩みや疑問、課題を解決するヒントを紹介します。

10月号のテーマは「Webビジネスとお金」。電子決済やポイントシステム、はたまた仮想通貨で変わるビジネスの世界を追究します。



技術の進化に伴い、決済方法の多様化・自由度拡大により、ビジネスは大きく変わろうとしています。

①ビジネスのバージョンアップ
 ・新しい市場、新しいマネタイズ

②お金まわりに関わるコスト削減

これは、大企業がやっていることでウチのような中小企業には関係ない、で済ませて本当にいいのでしょうか?

さらに新しい技術の波(仮想通貨)が近い将来に確実に押し寄せようとしている中で、すでに波が来てしまってから慌てても遅いのではないでしょうか。そして、あなたのビジネスをさらにバージョンアップさせる可能性が眠っていないでしょうか?


本特集で、電子決済・電子マネー・そして仮想通貨という「これからの決済」を軸に、決済の進化があなたの(Web)ビジネスをどうバージョンアップさせるのか追究してみましょう。


●日本の決済の現状とIT技術進化によるビジネスの変化、中小企業にとってどんなチャンス(注意点)があり、どんな認識・準備が必要か

●データで見る、顧客の意識・利用調査、海外の現状

●身近な事例で見る、ITの進化で生まれた新しい決済方法

●決済の進化が変える<収益増大・市場拡大> 
 ・越境ECをメインに海外の状況、すでに日本で対応している例、これから小規模ビジネスでもビジネスチャンスを逃さないために必要なポイントなどを解説します。

●決済の進化が変える<買い逃し防止>  
 ・ユーザー側にすでに幾多の決済方法が用意されている現状で、指をくわえて商機を逃す(かご落ちさせる)わけにはいきません。業界、業態、商品によってどの決済方法は必須なのか、それによる費用対効果は?


●決済の進化が変える<マーケティング> 
 ・電子決済、Webマネーで期待できることとして、POSでは計れない購買データ、顧客データがマーケティングに活かせるというポイントがありますが、実際にはどんなサービスでどんなデータが取れ、それを何に活かせるのでしょうか。大手ペイメントシステム会社に聞きました。

●決済の進化が変える<業務効率化・コスト削減>

●決済の進化が変える<新しいビジネスモデル>

●決済サービスとセキュリティ

●ポイントシステム導入に必要なこと
 ・中小企業におけるポイントシステムの費用対効果は? ポイントは課税?非課税?など


●仮想通貨
 ・近い将来にやってくる、今まで決済の進化から考えられるビジネスのバージョンアップを現実のものにできるかもしれない、仮想通貨の基礎知識と、それにより具体的にどんなビジネスが可能になるのかまで言及します。