情報セキュリティ対策 (全49問中13問目)
No.13
クレジットカードの対面決済時の不正利用に対して,カード加盟店が実施する対策のうち,最も有効なものはどれか。
出典:令和3年春期 問43
- ICチップを搭載したクレジットカードによる決済時の本人確認のために,サインではなくオフラインPINを照合する。
- クレジットカードのカード番号を加盟店で保持する。
- クレジットカードの決済ではICチップではなく磁気ストライプの利用を利用者に促す。
- 利用者の取引履歴からクレジットカードの不正利用を検知するオーソリモニタリングを実施する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ア
解説
- 正しい。オフラインPINとは、クレジットカードのICチップ内に保存されている暗証番号で、決済時にICチップ対応決済端末に入力することで本人確認を行います。サインはマネできてしまいますし、カード偽造、紛失・盗難カードによる不正利用を防げないので、オフラインPINによる認証の方が有効です。
- カード情報を保護するため、カード加盟店に対しては、カード情報を保持しない「非保持化」またはカード情報を保持する場合はPCI DSSに準拠することが求められています。PCI DSS準拠するためには12の要件に基づく400以上の要求事項に対応する必要があるので、普通のカード加盟店は「非保持化」を選択することになります。したがって、カード番号を加盟店で保持するのは逆にリスクを高める行為となります。
※非保持化とは、自社で保有する機器・ネットワークにおいてカード情報を「保存」「処理」「通過」しないことを意味します。 - 磁気ストライプで情報を記録するクレジットカードは、スキミング等による情報の盗み取りに対して脆弱なので、セキュリティ面で優れるICチップタイプの利用を促すべきです。2021年現在において対面取引のクレジットカードにおける不正利用対策としては、IC取引が最も効果的です。本肢はどちらかと言えばカード会社が実施する対策と言えます。
- オーソリモニタリングとは、カード会社がオーソリゼーション情報(決済可能か検証するための情報)等により不正利用を検知する仕組みです。本問ではカード加盟店が実施する不正利用対策が問われているため不適切です。
https://www.j-credit.or.jp/security/safe/plan.html