NRIセキュア、電子決済サービスに伴うセキュリティリスクの評価サービス

NRIセキュアテクノロジーズ(NRIセキュア)は3月10日、電子決済サービスを提供する企業向けに、サービスのフローや機能、運用体制における情報セキュリティリスクを評価し、対策の立案を支援する「電子決済セキュリティリスク評価サービス」の提供を開始すると発表した。

昨今、キャッシュレス決済の普及が進む一方で、システムやサービス仕様の不備を突いた不正利用など、サイバー攻撃とそれによる被害の事例が数多く報告されている。セキュリティリスクが増加・複雑化していることから、その攻撃手法や攻撃を防ぐために必要なセキュリティ対策も一様ではなくなってきているという。

同サービスは、対象となる電子決済サービスの仕様と機能を洗い出し、全体の流れやサービスの特性を把握したうえで、リスクとなるポイントを机上で分析する。「アカウント登録」や「決済手段のひもづけ」など、サービスを構成する要素ごとに、不正操作やなりすましなど、どんな不正利用や攻撃を受ける可能性があるのか、生じうるリスクを想定し、シナリオを作成する。

• 「電子決済セキュリティリスク評価サービス」の流れ

作成したリスクシナリオをもとに、サービスを構成するスマートフォンアプリをはじめ、アカウントの登録から決済に至るまでの各機能および関連するシステム全体を対象に、現在の対策状況を踏まえてセキュリティリスクを評価するという。また、システムの監視やコールセンターなどの運用状況や体制から見たリスクについても評価し、実施すべきセキュリティ対策を提示する。

そのほか、過去に発生した不正利用の事例を踏まえたサイバー攻撃の傾向や、被害発生の原因分析に基づく対策案を提示することも可能とのことだ。