古いWebブラウザーやフィーチャーフォン(ガラケー)を使っている顧客は、ECサイトでクレジットカード番号を入力できなくなる――。

 2016年7月に本格適用されるクレジットカード情報保護のセキュリティ国際基準「PCI DSS(Payment Card Industry Data Security Standard) v3.1」をめぐり、ECサイト事業者から反発の声が高まっている。一部の顧客がECサイトでクレジットカード番号を入力できなくなり、サイトの売り上げを押し下げる可能性があるためだ。

 基準策定団体のPCI SSC(Payment Card Industry Security Standards Council)も、反発の声が想定外に多いことから、本誌の取材に対して「v 3.1がもたらす影響の実態調査に乗り出す」(PCI SSC インターナショナルディレクターのジェレミー・キング氏)考えを示した。

既存ECサイトでは2016年7月からSSL 3.0/TLS 1.0が使用禁止

 PCI DSS v3.1では、Webブラウザーの通信暗号化技術(HTTPS)のうち、これまで推奨されていたSSL(Secure Sockets Layer) 3.0/TLS(Transport Layer Security) 1.0について、暗号仕様に脆弱性が確認されたとして、既存のECサイトでは2016年7月から使えなくなる()。これに代わり、より安全なTLS 1.1(一部実装除く)/TLS 1.2の利用が必須となる。

図●PCI DSS v3.1への移行タイムライン
(NTTデータ先端技術の資料を基に本誌作成)
[画像のクリックで拡大表示]

 この措置の影響は、全世界のECサイト事業者にとって無視できないものだ。Windows Vista搭載のInternet Explorer(IE)はTLS 1.1/1.2に対応しておらず、SSL 3.0/TLS 1.0の対応を取りやめた決済サイトには接続できない。Windows 7以降でもWebブラウザーのバージョンによっては非対応か、既定で無効になっている。「(既に多くのWebブラウザーが使用を取りやめている)SSL 3.0はともかく、TLS 1.0の禁止は厳しい。Webサーバーやネットワーク機器の更新による出費も迫られそうだ」(NRIセキュアテクノロジーズ テクニカルコンサルティング部 グループマネージャーの矢野淳氏)。

 さらに国内では、顧客が持つガラケーの多くは、TLS 1.1/1.2に非対応だ。国内ECサイト事業者の一部は「ガラケー向けECサイトを取りやめる、ガラケーでの決済手段からクレジット決済を外す、などの対策を計画している」(NTTデータ先端技術 セキュリティ事業部 セキュリティコンサルティング担当 ITセキュリティグループ チーフコンサルタントの池谷陽氏)という。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら