コールセンターに対するPCI DSSの視点...Part.1

PCI DSS対策における、コールセンターに対する考え方とは

「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018-【公表版】」※1が2018年3月に公開され、電話、ハガキで注文を受けるMOTO(Mail-Order/Telephone-Order)通販の非保持方策が具体化されました。MOTO通販で使われているコールセンターシステムが「カード情報の非保持化」に該当しない場合、基本的にPCI DSS準拠が必要ですが、PCI DSSの観点からMOTOはECとは何が違うか?コールセンターシステムで流れる音声データはどのように扱うべきか?を整理する必要があります。

人物A

人物A
入社3年目であり、セキュリティ論理知識はある程度持っているが、実務経験はあまりない。

人物B

人物B
QSA(PCI DSS認定審査機関) 資格取得者。長年のコールセンター設計、構築経験を持っている。

人物A
「実行計画2018」でMOTOという単語が出ているけど、PCI DSSの世界ではあまり馴染みがないですね?
人物B
え~~馴染まないってどういうことですか?
人物A
PCI DSS要件でMOTOという単語を見たことないし。。。
人物B
PCI DSS要件にはMOTOとはっきり記載されていないですが、AOCと呼ばれるPCI DSS準拠証明書の加盟店業務説明欄には記載されています。

加盟店業務説明欄からの抜粋

審査で対象とする取引チャネル:

  • MOTO(Mail-Order/Telephone-Order)
  • EC
  • 対面
人物A
MOTOがECと同じレベルのように書かれているけど本当ですか?
人物B
ECと同じレベルってどういうことですか?
人物A
ECでは、カード情報データが公共ネットワークで流れているのでセキュアに扱うべきと考えるけど、MOTOは主に電話で取引するので公共ネットワークに比べるとなんとなく安全な気がしますね。
人物B
「安全な気がする」だけであり、実は全然安全でないのです。
人物A
そうなのですか?ECと同じレベルで扱うべきであれば、PCI SSCももうちょっとMOTOに対して明確に言及してほしいですね?
人物B
実はPCI SSCも昔からMOTOの重要性を知っていて、2011年に以下の題名のドキュメントを出しています。PCI DSS要件への補足情報としての扱いですが。。。
  • PCI Data Security Standard (PCI DSS) Information Supplement: Protecting Telephone-based Payment Card Data※2
人物A
Information Supplement ? ってなんですか?
人物B
新聞を例でいうと「号外」のようなものですね。
人物A
「号外」?
人物B
正確に言うと「補足情報」の意味で、PCI SSCが重要度が高いと判断される補足情報を特別に発表する時に使う用語です。
人物A
あ~本当ですね。グーグルでもヒットしますね。今ヒットしているのは2011年版なのでかなり古いですね。
人物B
今年の年末に新しいバージョンを出す予定であるとPCI SSCは予告を出しています。
人物A
今年の年末?「実行計画2018」でのMOTOとも同じ年になっているけど、なにか関係あるんですかね?
人物B
多分「偶然」だと思います。「運命 」である可能性もありますが。。。(汗)
人物A
PCI SSCがわざわざMOTOに関するドキュメントを出した背景にはなにかあるんですかね?
人物B
対面加盟店、EC加盟店の対策が進み、ハッカーの攻撃対象が対策のあまり進んでいないMOTOに移り始めたことが原因かもしれません。また、ほとんどのコールセンターでは、法律上の必要性、またはサービス向上のために通話内容を録音しており、この情報が攻撃対象となりうるのも大きな要因だと思います。※2
人物A
通話録音?すなわち電話でカード情報を喋ったりすることが録音されて、録音された音声データがハッカーに盗まれると、カード情報が漏えいされるということですね?日本語が分かるハッカーはかなり少ないと思うけど。。。(汗)
人物B
音声データをテキスト化するツールは世の中に山程あるので、カード情報を含む音声データは生のカード情報データと同じレベルで扱うべきです。
人物A
そういえばコールセンターに電話して、カード情報を口頭で伝えずに、直接電話のボタンで番号を入力する時もありますね?
人物B
はい、これはIVRというシステムが応答する時です。
人物A
この時は、直接電話にカード情報を入力するので、録音なんかされないじゃないですか?
人物B
DTMFトーンとして録音されます。DTMFトーンとして録音された音声データがハッカーに盗まれた場合でも、カード情報漏えいと同じことになります。
人物A
D...T....なんか発音がややこしい。。。
人物B
電話業界では基本概念なので、興味あればググってみてください。「ピ、ポ、パ」のような音を指します。分かりやすい例で言うと、映画「名探偵コナン」で電話のボタンを押さずに、声で電話をかける有名なシーンがありますね。
人物A
映画「名探偵コナン」ですか?今度調べてみます。これは面白そうですね。
人物B
受話器を外した後、電話のボタンが押せなかったので、受話器に向かって「ピ、ポ、パ」と声を出して電話を掛けるシーンです。
人物A
DTMFトーンは人の声でも容易に擬似可能ですか?これは初めて知りました。こう言われると、MOTOも対策をちゃんと取らないといけない気がしました。と言っても、データと音声、公共ネットワークと公衆電話網とでは次元が違うので、いきなりPCI DSSをMOTOに適用するとしても違和感はかなりありますね。
人物B
公共ネットワークと公衆電話網?いいところに気がつきましたね。
人物A
公共ネットワークはオープンなイメージだし、公衆電話網はある程度クローズされているイメージがあります。
人物B
まさにおっしゃる通りです。例えば、PCI DSS要件4は、公共ネットワーク経由で機密性の高いカード会員データを伝送する場合対象になりますが、公衆電話網を使った通話の場合には、カード会員情報を含んでいても対象外になります。※2,3,4
人物A
ちなみに、コールセンターの場合、公衆電話網と接続する機器は何になりますか?どこからPCI DSSスコープに入るんですか?
人物B
通常のコールセンターの場合、公衆電話網はほとんどPBXという機器に接続し、その配下に通話録音装置などがあります。もしコールセンターでカード情報を取り扱う場合には、自社で保有する機器・ネットワークにおいてカード情報を転送、処理、保管することになるので、PBX機器からPCI DSSスコープに入ると思います。
人物A
PBX?なんか話がだんだんややこしくなりますね。
人物B
通常のコールセンターの構成は以下になっています。
人物A
構成図からみると、確かにすべてのコールはPBXを経由するのですね。そういえば、この前どこかでPCI DSS準拠したIVR決済サービスのみ提供する広告を見たことあります。すなわち、この構成図でいうと、IVRを第三者が提供することですか?
人物B
はい、そうです。正確に言うと以下の2つのパターンがあります。

① PBXに着信後、公衆電話網経由で第三者のIVRに電話転送するパターン

② PBXに着信後、加盟店のネットワーク(例:VPNなど)経由で第三者のIVRで処理するパターン

人物A
PCI DSSの観点でみた場合、何が違うのですか?
人物B
パターン①の場合は、PBXに着信したコールを第三者のIVR決済システムに転送すると完全にPBXの制御から離れるすなわち、カード情報は加盟店が保有する機器・ネットワークを経由しないことになり、PCI DSSスコープから外れることになります。パターン②の場合は、PBXに着信したコールは、PBXを経由するままIVR決済システムに行くすなわち、カード情報は加盟店が保有する機器・ネットワークを経由することになり、PBXはPCI DSSスコープから外れません。
人物A
「PCI DSS対象範囲をできるだけ縮める」という考え方に基づくと、パターン①を選んだほうが絶対に楽ですね。
人物B
確かに「PCI DSS対象範囲」の観点からみた場合、パターン①のほうがいいですが、完全にPBXの制御から離れるという弱点もあります。例えば、コールセンターのオペレーターに着信したコールが決済のために第三者のIVR決済システムに転送して、決済が終わった後、引き続き元のオペレーターと通話したいケースを見てみましょう。パターン①の場合IVR決済システムに転送した時点で、完全にPBXの制御から離れるすなわち、オペレーターとの通話情報が把握できなくなるので、決済が終わった後元のオペレーターと通話できなくなります。これは単なる一例ですが、こんなこともあって、パターン②が主流になっていると思います。
人物A
パターン②の場合「PCI DSS対象範囲を縮める」方法はないですか?
人物B
最初にやるべき対策はネットワークセグメンテーションになりますが、詳細は「カード会員データを探せ」を確認してみてください。この記事での「カード会員データ」を「カード情報を含む通話またはDTMFトーン」に読み替えてもらうと、PCI DSS対象範囲の考え方は全く同じです。また、ネットワークセグメンテーション以外の細かい対策については、Where to Start, Decision Process for Voice Recordings※2を参考にしてください。
人物B
「2018 FIFAワールドカップ」の中継がもうすぐ始まるので、今日の会話はこれぐらいにしましょうか?
人物A
分かりました。次回Where to Start, Decision Process for Voice Recordings※2に関して詳しく教えてください。
人物B
了解しました。ちなみに今日は帰ってから映画「名探偵コナン」のあの有名なシーンを見るんですか?(汗)

引用元

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
崔 炳南 Cui Bingnan(CISSP、 AWS SAA)

コールセンターシステムの設計構築を約8年、海外製ATM機器の日本国内展開でコンサルタントを約2年経験し、現在は主にPCI DSS、P2PEの準拠支援などに従事。日・中・韓・英 言語でコミュニケーション可能。


コールセンターに対するPCI DSSの視点...Part.1