2022年、 GSMAによれば、「モバイルテクノロジーとサービスはGDPの5%を生み出し、それは5.2兆ドルに相当する貢献をしました」。このような大きな利益がかかっており、デジタルウォレットが2026年までに年平均15%の成長率で増加すると予測されていることから、支払いデータのセキュリティを確保することは今まで以上に重要です。

10年以上にわたり、 Payment Card Industry Security Standards Council (PCI SSC)はデジタル支払いの安全性を維持する最前線に立ってきました。PCI SSCは、2006年にAmerican Express、Discover、JCB International、MasterCard、Visa Inc.によって設立された国際的な評議会で、データセキュリティの標準の採用を推進し、世界中で支払いの安全を確保するためのリソースを提供しています。

評議会は、Payment Card Industry Data Security Standard(PCI DSS)を通じてこれらの標準を設定し、支払いカード口座データとより広範な支払いエコシステムを保護するコンプライアンスフレームワークです。最新バージョンであるPCI DSS 4.0のガイドラインは、多要素認証 (MFA)を必須とすることにより、デジタル支払いに対する重要な新しい基準を設定します。なぜなら、「カード取引の処理回数にかかわらず、すべての加盟店はPCIコンプライアンスをしなければならない」という新しいガイダンスは、世界のビジネスにとって重大な変革を表しています。

では、組織がPCI DSS 4.0に移行する必要があるタイミング、新しいフレームワークが要求する内容、MFAがすべての組織に提供する価値、および組織がMFAを迅速かつ成功裡に実装する最良の方法について見てみましょう。

PCI DSS v4.0導入へのカウントダウン

PCI DSS v4.0 は2022年3月に発表され、その前バージョンであるv3.2.1と比較していくつかの重要な変更と更新が含まれています。最新バージョンの中で最も重要な更新の一つは、MFAについてです。 以前の PCI DSSのバージョンではMFAがベストプラクティスとされていましたが、バージョン4.0では2025年3月31日以降、カードホルダーデータにアクセスできるすべてのアカウントに対してMFAが 必要 とされることです。

PCI規制を遵守しない場合の罰則は厳しいです。PCIは法律ではありませんが、PCI DSSコンプライアンスの違反には5,000ドルから100,000ドルの間の罰金が課されることがあります。また、クレジットカード会社自体が、ビジネスがコンプライアンスを守っていない場合、取引手数料を引き上げたり、特定のカードの使用を取り消すことさえあります。

PCI DSS 4.0がMFAを必要とする理由

PCI DSS 4.0のMFA要件は、世界の加盟店にとって最も大きな価値があり、重要な更新の一つです。MFAはサイバーセキュリティアーキテクチャの重要な要素です。 Verizonの2023年のデータ侵害調査レポート によれば、過去5年間で「盗まれた認証情報の使用が侵害の最も一般的な突破口となった」とされています。MFAは、盗まれた認証情報から始まる多くの侵害を、ほとんどの場合、防ぐことができたでしょう。

データ侵害がどのように始まるかと同様に、なぜサイバー犯罪者が行動するかも同じくらい重要です。Verizonによると、「金銭的な動機が依然としてほとんどの侵害を主導している」という結果が出ています。実際、昨年の侵害の94.6%は金銭的な動機に基づいています。ほとんどのサイバー犯罪者はお金を追いかけているため、彼らはおそらく毎年数十億ドルを送金する支払い情報やインフラを攻撃するでしょう。

MFAは、サイバー犯罪者が盗まれた認証情報を使用して権限のないアクセスを得て機密情報や支払いカードデータを持ち出すのを防ぐことができます。MFAは、ユーザーに対してリソースにアクセスするために2つ以上の異なる要素を提供するよう要求することで、追加のセキュリティレイヤーを追加します。これには、何かを知っている「知識」(ワンタイムパスワードなど)、何かを持っている「所持」(スマートカードやモバイルデバイスなど)、または何かである「生体」(様々な生体認証を含む)ことが含まれます。MFAが導入されている場合、たとえサイバー犯罪者がユーザーのパスワードを盗んだりフィッシングを試みたりしても、追加の要素を要求することで、彼らが保護されたリソースやアプリケーションにアクセスするのを防ぐことができます。

多くのデータ侵害がパスワードの破壊から始まるため、そしてMFAがそれらの多くを阻止できた可能性があるため、MFAはサイバーセキュリティの最も持続的なベストプラクティスの一つです。MFAソリューションは governmental cybersecurity mandates また、 cyber insurance policiesなどのセキュリティの要件です。組織をコンプライアンスとセキュアに保つだけでなく、MFAは組織の収益にも貢献できます。 IBMの2023年のデータ侵害コストレポート によれば、データ侵害は平均で440万ドルの費用がかかるという調査結果があります。

PCI DSS v4.0に適合するMFA

MFAは組織に重大な利点をもたらします。それはより強力なサイバーセキュリティの姿勢を作り出し、データ侵害を防ぎ、組織の収益を守り、顧客の信頼を維持し、ビジネスが罰金を課されるのを防ぎます。最終的に、PCIコンプライアンス全般と特にMFAの実装にはかなりの利点があります。

さらに一つ良いニュースとしては、MFAの実装は負担になる必要はありません。RSAは、生体認証、承認プッシュ、ワンタイムパスワード、FIDOベースの認証など、PCI DSS 4.0で要求される新しいMFA要件に準拠するのに役立つさまざまなMFAオプションを提供しています。RSA MFAは ID Plusの一部として、オンプレミス、マルチクラウド、ハイブリッドなどあらゆる環境に拡張できます。

まずは試してみてください: ID Plusの無料45日間トライアルにサインアップして、MFA、OTP、パスワードレスなどを通じて提供されるMFAを試してみてください。