β版
目次 | <<前へ| 次へ>>
| 2003年02月27日(木) | 今一度、ECサイトのクレジット決済のしくみを見直せ |
インターネット犯罪と呼ばれるものの多くは、インターネット上ではなく、リアルの世界で起きている。
インターネット上でTCP/IPに乗ってやってくるクラッカーから自分の身を守るための注意も必要だけれども、もっと危険なファクターはネット上に存在するのではなく、リアルの世界に存在する。
パソコン、インターネット関連の犯罪の多くは、インターネットを通じてクラッカーが犯すのではなく、リアルの世界で行われており、インターネットとは別のところで行われている。
クレジットカード番号をECサイトで入力する。
EC草創期にはインターネット上でクレジットカード番号を入力するのは危険だ、と警鐘を鳴らす意見も多かった。
インターネット上で、流れるパケットをクラッカーにキャプチャーされたらどうするのだ。
そのECサイトがマトモなサイトだとどこで証明できるのだ。
しかし、今ではごくごく当たり前に誰もが気軽にクレジットカード番号を入力する。
「だって、クレジットカード番号はSSLで暗号化されてるんでしょ?」
「お店はベリサインの証明書を入れているんでしょ」
危険は去ってはいない。
クレジットカード番号は、ネットワーク上で盗まれるのではない。
ECサイトの企業の内部の人間が漏洩するのだ。
ネット上での情報が暗号化されていても何の意味もない。
証明書はサイトが偽者ではないことを証明するものであって、犯罪サイトではないことを証明したり、信用度を証明するものではない。
WEBサイトでクレジットカード番号を入力したときの危険性は、増す事はあっても減ってはいない。
システムの問題ではなく、運用の問題だからだ。
いくらクレジットカード番号が暗号化されていようと、クレジットカード番号を受け取ったECサイトの内部で犯罪が行われていたら、テクノロジーでは防げない。
社員でなくとも、協力会社、派遣の人間に犯罪者が混じっている場合がある。
大手のサイトであればあるほど、実際のサイトの運用は外部企業に委託されている。
委託された企業は更に別の会社に委託。
その会社は身許の不確かなアルバイトを雇う。
ECサイトがどのように運用されているかまで、外部から窺い知ることはできない。
クレジットカード番号がどのように扱われているかまではユーザーは知る由もない。
でも、これはリアルの世界の買物でも同じ事。
リアルの世界で買物をした場合も、店員はクレジットカード番号を知りうる。
そこでももちろん犯罪の危険がある。
だが、リアルの世界の買物では物理的な店舗が存在するし、支払いの際に店員の顔を見る。
インターネットでのショッピングでは相手の確認ができない。
そのぶんだけ犯罪に巻き込まれる危険度は高い。
以前、SET(Secure Electronic Transaction)という規格があった。
運用が異常に面倒だったので全く普及しなかったクレジットカード決済の手段だ。
今でも存在するのかもしれないけれど、今となっては耳にする事はまずない。
クレジットカード会社は犯罪の一番の危険が店舗に存在することは当然、知っている。
クレジットカード会社としては、クレジットカード犯罪を減らすための一番の方策は、「店舗にクレジットカード番号を知らせないで済む決済手段」の開発。
そもそも買物の際に店舗の店員がクレジットカード番号を知る必要などないのだ。
クレジットカードが有効かどうかがわかれば良いだけなのである。
リアルの店舗であれば、ユーザーがクレジットカードを端末に挿してパスワードを入れるようにすれば、かなりの確率でクレジットカード犯罪は防げる。
更にカードがICカードであれば犯罪発生率は激減する。
ネットの世界でも同じ事だ。
店舗にクレジットカード番号そのものが届かなければ良いのである。
ユーザーが買物をする際に、店舗には買物に関する情報が届くが、クレジットカードの決済情報に関してはクレジットカード会社から決済の承認情報だけが届けば良いのだ。
少なくとも、この方法で多くの犯罪は防ぐ事ができる。
でも、運用が面倒くさい。
システム的にも高コスト。
ユーザーも特別なクライアントソフトを導入する必要がある。
SETは完璧とも言える安全死を持っていたのだけれど、安全を手に入れるためのコストが高すぎたため、普及しなかった。
しょせん、コスト見合いなのだ。
セキュリティーには完璧を求める必要はない。
犯罪による被害と守るためのコストのバランス。
国家や政府であれば、コストを度外視して、犯罪を防ぐのだろうけれど、企業としては犯罪による想定被害額と犯罪を防ぐためのコストのバランスが取れている必要がある。
クレジットカード犯罪が行われた場合、直接的な被害を被るのはユーザーではなく、クレジットカード会社。
不正に使用されたクレジットカードの被害は保険でカバーされる。
クレジットカード会社が被害分は被る。
ユーザーにとっては精神的苦痛はあっても、金銭的苦痛はない。
たが、カード犯罪の増加は店舗のクレジットカードの料率や会費に影響し、結果的にユーザーに負担は回りまわってくる。
今一度、ECの危険性を検討し直したほうが良いと思うのだけれど。
■SETの超簡単な説明
http://www.atmarkit.co.jp/aig/02security/set.html
目次 | <<前へ| 次へ>>
リンク、引用はご自由にどうぞ。@your own risk
当サイトの内容は筆者が勤務している企業の見解とは無関係です。