POSセキュリティとは？定義、機能、メリット - TechRepublic

あらゆるビジネスオペレーションの中核を成すのはPOSシステムです。POSシステムは取引処理に加え、顧客の機密情報を保存し、その他すべてのビジネス管理ツールを単一のハブに統合します。しかし残念ながら、このためPOSシステムは、ビジネスインテリジェンス、クレジットカード情報、個人データを盗もうとするサイバー犯罪者にとって格好の標的となっています。信頼性の高いPOSセキュリティがなければ、企業はデータ侵害の危険にさらされ、経済的損失、評判の失墜、そして法的影響につながる可能性があります。

POS セキュリティとは何ですか?

POSセキュリティとは、POSをサイバー脅威から保護するために設計された戦略、テクノロジー、そしてベストプラクティスの集合体です。POS端末は機密性の高い決済情報を扱うため、データ漏洩を防ぎ、業界規制へのコンプライアンスを確保するためには、複数のセキュリティ対策を講じる必要があります。

効果的なPOSセキュリティとは、市場で最も高度なマルウェア対策ソフトウェアをインストールするだけではありません。ハッカーが悪用する可能性のあるあらゆるアクセスポイントを特定できるよう、社内ネットワークシステムを完全に理解することも必要です。これには、顧客によるモバイルデバイスでの支払い方法から、従業員による社内メールの使用まで、あらゆるものが含まれます。

POS セキュリティはどのように機能しますか?

POSシステムには、POS端末、eコマースウェブサイト、加盟店ダッシュボードといった複数の直接的なアクセスポイントに加え、最終的にPOSシステムへのアクセスを可能にする間接的なチャネルも存在します。これには、企業のコンピュータや統合されたサードパーティ製ソフトウェアといった正規の接続にハッキングプログラムを乗っ取る行為も含まれます。

これらの脆弱性に対処するために、企業は、POS システムに接続されたすべてのデバイスとプラットフォームを保護する組み込みの不正防止プログラムとネットワーク ファイアウォールから始めて、複数のセキュリティ層を設定しています。

高度な POS セキュリティ戦略は数多く存在しますが、それぞれの戦略には次の主要なコンポーネントが含まれます。

• エンドツーエンド暗号化 (E2EE):プレーンテキスト データが決済ゲートウェイから入力された瞬間から決済プロセッサに到達するまで、暗号文と呼ばれる判読不可能な形式に変換され、傍受を防止します。
• トークン化:機密性の高いカード所有者データを、機密データを参照するが本質的な価値のない一意のトークンに置き換え、ハッカーにとって役に立たないものにします。
• ネットワークのセグメンテーション: POS システムは会社のネットワークの他の部分と相互接続されていますが、インフラストラクチャは、脅威にさらされる可能性を減らすために独自のセキュリティ対策を備えた小さなセグメントで動作します。
• ユーザー認証とアクセス制御:パスワード、多要素認証 (MFA)、CAPTCHA などのチャレンジ レスポンス テスト、ロールベースの権限などのプロトコルを使用して POS アクセス ポイントを制限します。
• 侵入検知システム (IDS): POS ネットワークを監視し、既知の POS マルウェアによる疑わしいアクティビティや潜在的な侵害を検出します。
• ネットワーク ファイアウォール:確立された企業セキュリティ ポリシーに基づいてネットワーク アクセスを制御するセキュリティ プログラム。
• 定期的なソフトウェア更新とパッチ管理: POS アプリケーションがセキュリティ パッチで定期的に更新され、内部の不正防止ツールが最新のサイバー脅威を認識できるようにします。

企業は、社内のセキュリティ ポリシーに加えて、自社のシステムにアクセスするパートナーに対しても、PCI DSS (Payment Card Industry Data Security Standard) などの業界規制への準拠を求めています。

関連: PCI コンプライアンスとは何ですか?

一般的なPOSセキュリティの脅威

以下は、データ侵害がビジネス運営にどのような影響を与えるかを示す、最も一般的な脅威と実際のインシデントの一部です。

• マルウェア攻撃：サイバー犯罪者はマルウェアを使用してPOSシステムに侵入し、決済データを盗みます。ランサムウェアはマルウェアウイルスの一種です。

例: 2025 年 1 月、ジョージア州アトランタに拠点を置く Lowe Engineers がランサムウェア Lynx の被害に遭い、機密のエンジニアリング プロジェクト情報とクライアント データが漏洩しました。

• スキミング: POS 端末に接続された物理デバイスまたは悪意のあるコード セットを使用してカード所有者の情報を盗む行為。

例：2024年5月、大手スーパーマーケットチェーンのALDIは、自社ウェブサイトでデータ侵害に関する通知を公開しました。5店舗でカードスキミング装置が発見されました。

例: 2022 年 1 月、サイバー犯罪者は、Segway のオンライン ストアのコード内に Magecart スキマーを埋め込み、顧客が Web サイトのオンライン チェックアウトで情報を入力する際に​​クレジットカード データを取得することに成功しました。

• フィッシング：悪意のあるリンクをクリックさせるように個人を誘導するサイバー攻撃。これらのリンクは、被害者を偽のウェブサイトにリダイレクトしたり、ユーザーのコンピュータに悪意のあるソフトウェアを埋め込んだりして、機密データを盗もうとします。

例：2024年2月、Change Healthcareはフィッシング攻撃の被害に遭い、ユーザーのログイン認証情報が盗まれました。これにより、推定16億ドルの損害が発生し、同社のサービスのユーザー1億人が影響を受けました。

• ブルートフォース攻撃:あらゆるパスワードの組み合わせを生成できるアルゴリズムを使用して、サイバー犯罪者が不正アクセスを取得するために使用する手法。

例: 2016 年、ダンキンドーナツは、ブルートフォース攻撃によりハッカーが 2018 年までに 300,000 件を超えるユーザー アカウント情報にアクセスできたことを受け、650,000 ドルの罰金と損害賠償を支払いました。

参照:ハッカーがパスワードを解読するにはどのくらいの時間がかかりますか?

• 内部者の脅威: POS システムにアクセスできる従業員が、意図的または意図せずにセキュリティを侵害する可能性があります。

例：2023年5月、テスラの元従業員2名が、現従業員および元従業員の機密性の高い個人情報75,000件を海外メディアに漏洩しました。漏洩には、テスラの製造秘密や、テスラの完全自動運転機能に関する苦情も含まれていました。

これらの脅威を理解することで、企業はプロアクティブな POS セキュリティ対策を実施し、進化するサイバーリスクから顧客データを保護できるようになります。

関連：専門家によるPOS端末の説明

POSセキュリティを4つのステップで強化

POSシステムを保護するには、多層防御による積極的なアプローチが必要です。POSセキュリティを強化するための4つのステップをご紹介します。

1. 定期的にリスク評価を実施する

ハードウェア、ソフトウェア、ネットワーク構成を含む、POS インフラストラクチャ内の潜在的なセキュリティの脆弱性を定期的に評価します。

• ハードウェアとソフトウェア：すべてのオペレーティングシステムとアプリケーションがセキュリティ上の欠陥を修正するために更新されていることを確認してください。暗号化を有効にし、インターネットに接続するコンポーネントを制限し、デフォルトのパスワードをより強力な認証情報に置き換えてください。
• ネットワーク構成：有線および無線ネットワークを確認し、ファイアウォールと安全なWi-Fiパスフレーズを導入してください。可能であれば、不正アクセスを防ぐため、信号範囲を制限してください。
• 店舗レイアウト: POS 端末を入口から離れた場所に配置し、セキュリティ カメラを戦略的に設置して、レジ カウンターの死角を避け、改ざんを監視します。
• データ セキュリティの実践:セキュリティ アクセスに最小権限の原則を適用し、機密データを暗号化し、アクセス ログを維持し、定期的なバックアップをスケジュールします。
• 予期しない脅威:セキュリティ監査を実施して、POS 端末のスキミングデバイスや、システムをサイバー脅威にさらす可能性のあるサードパーティの潜在的な脆弱性を確認します。

2. POSセキュリティのベストプラクティスを実装する

PCI DSSなどのデータセキュリティ業界のガイドラインを参照し、現在のビジネスニーズに基づいたベストプラクティスを確立してください。これには、POSシステムの物理インフラストラクチャとソフトウェアインフラストラクチャの両方を保護するための戦略の組み合わせが含まれます。

• 専用端末の使用: POS 処理を、共有システムではなく、不正監視および防止ツールによって保護された専用デバイスに制限します。
• 機密データを暗号化: 強力な暗号化プロトコルを使用して、保管中または転送中の支払いカードデータを保護し、サイバー犯罪者が読み取れないようにします。
• 従業員の権限を設定する: ロールベースのアクセス制御 (RBAC) を実装して、職務に基づいてユーザー権限を制限し、アクセス ログを監視して不審なアクティビティを検出します。
• ネットワーク ファイアウォールをインストールして維持する: 適切に構成されたファイアウォールは、不正アクセスを制限し、ハッカーによる機密情報の取得を防ぐことができます。
• ソフトウェアのセキュリティアップデートを直ちにインストールする：POSソフトウェア、ファイアウォール、ウイルス対策プログラムを定期的に更新してください。脆弱性が修正されないまま放置されることを防ぐため、可能な限り自動更新を実施してください。
• 従業員の教育：特に新入社員を対象に、データセキュリティに関する研修を実施しましょう。データ漏洩が発生した場合の緊急対応策について、毎年改めて確認することを検討しましょう。研修内容と戦略を文書化し、従業員が定期的にアクセスできる場所にファイルを作成しましょう。
• PCI コンプライアンスの遵守: ウイルス対策ソフトウェアのインストール、EMV 支払いツールの使用、スキミング デバイスの監視など、PCI DSS 要件を遵守します。

参照:販売時点情報管理セキュリティガイドとチェックリスト

3. 信頼できるPOSセキュリティプロバイダーを選択する

適切なPOSセキュリティプロバイダーを選択することは、POSシステムを不正アクセスから安全に保つための重要なステップです。ビジネスニーズと以下の譲れない要素に基づいて、費用対効果の高いソリューションを選ぶことが重要です。

• プロバイダーの評判:特に自社と類似した企業からの顧客レビューや推薦文を調査して、信頼性と満足度を評価します。
• セキュリティ対策:プロバイダーに、データ セキュリティ対策、暗号化プロトコル、侵害防止戦略について質問します。
• 透明性:データの取り扱い、コンプライアンス、災害復旧計画に関する情報をオープンに共有するプロバイダーを選択してください。
• 24 時間 365 日のサポート: プロバイダーが 24 時間体制のテクニカル サポートを提供し、問題に迅速に対応してダウンタイムを最小限に抑えることを確認します。

4. データ侵害が発生した場合の対処方法を計画する

最後に、POSセキュリティ侵害による被害を軽減するには、迅速かつ体系的な対応を確立することが重要です。基本的な対応は、隔離、警告、調査、更新、報告、とまとめることができます。

次の手順に従ってください。

1. 影響を受けたシステムを隔離する:さらなるデータ損失を防ぐため、侵害を受けた POS 端末を直ちに切断します。
2. 関連する利害関係者に通知: IT セキュリティ チーム、管理者、および支払い処理業者に侵害について通知します。
3. フォレンジック調査を実施：攻撃元を特定し、被害の範囲を評価し、修復措置を決定します。サイバーセキュリティ企業に依頼して詳細な調査を実施し、セキュリティログを分析し、さらなるセキュリティ対策を提案してもらいましょう。
4. 影響を受けた顧客と当局への警告：影響を受けた顧客と従業員にインシデントについて通知します。パスワードの変更方法や機密情報の保護方法に関するガイダンスを提供します。規制当局と信用調査機関に侵害の詳細を通知し、法的報告要件を遵守します。

ヒント：調査の進捗状況と結果については、該当する場合はお客様に随時ご報告ください。被害を受けたお客様には、金銭的損害や評判への悪影響を軽減するため、少なくとも1年間の個人情報盗難保護サービスの提供を検討してください。

1. 証拠を保全し、コミュニケーションを追跡する：メール、電話、オンラインチャットなど、侵害に関連するすべての通信記録を保持します。フォレンジック分析と法令遵守のために、システムアクセスログ、POS取引記録、財務処理データを保持します。
2. セキュリティ強化を実装する:脆弱性に対処し、セキュリティ パッチを適用し、将来のインシデントを防ぐために強力な保護対策を導入します。
3. 保険会社に連絡する:経済的損失の回復と事業中断に対する補償オプションを評価するために保険会社に通知します。
4. セキュリティ ポリシーの確認と更新:現在のセキュリティ プロトコルを評価し、インシデント対応計画を改良し、コンプライアンス対策を強化します。

参照:販売時点管理導入チェックリスト

POSセキュリティコスト

POSセキュリティにかかるコストは3つあります。予防的なハードウェアおよびソフトウェアツール、PCIコンプライアンス、そしてデータ漏洩に対する罰金です。最後の要素は見落とされがちですが、金銭的損害と非金銭的損害の両方を含むため、他の2つと同様に重要です。

ソフトウェアとハ​​ードウェア

POS データを保護するために必要な投資は次のとおりです。

• ウイルス対策ソフトウェア:マルウェアやサイバー脅威から保護するための年間 200 ドル (例: McAfee、Norton)。
• ファイアウォール:不正なネットワーク アクセスを防ぐための 100 ～ 300 ドル (例: SonicWall、Cisco)。
• セキュリティ カメラ: POS 端末を監視し、物理的な改ざんを防止するための月額 9.99 ～ 59.99 ドル (例: SimpliSafe、Vivint、ADT)。
• EMV チップ リーダー:安全な支払い取引をサポートし、詐欺行為を削減するために、1 台あたり 50 ～ 1,000 ドル。
• セキュリティ AI と自動化制御:高度な脅威検出と自動化されたセキュリティ対応のために月額 80 ～ 1,500 ドル。
• チャージバック保護サービス:多くの場合月額 1,000 ドル以上のカスタム価格で、企業が不正なチャージバックによる経済的損失を軽減できるよう支援します。

PCIコンプライアンス

PCIコンプライアンスは、クレジットカード情報やその他の個人情報を扱う企業にとって必須の要件です。コストは企業の規模や業種によって異なります。

• ASV スキャン:年間 200 ～ 1,000 ドル。
• QSAサービス：コンプライアンス対応を初めて行う企業や大規模企業向け。拠点数とネットワークの種類に応じて10,000ドルからご利用いただけます。

データ侵害の罰則

データ侵害を経験した企業は、次のような結果を招きます。

• PCI 非準拠料金:準拠が回復されるまで月額 19.95 ドル以上。
• データ侵害の罰金: 50,000 ドルから。これには政府による罰金と訴訟が含まれます。
• 加盟店アカウントの取り消し:データ侵害に対する最終的な制裁は加盟店アカウントの取り消しであり、これは企業がクレジットカードによる支払いを受け付けることができなくなることを意味します。

ヒント:クレジットカード情報や顧客情報を安全に保管するなど、PCI コンプライアンスの責任の一部を担う POS プロバイダーと連携してください。

こちらもご覧ください:小売業向けPOSシステムベスト5

新興決済技術がPOSセキュリティに与える影響

フィンテックがより高度な決済技術を開発する目的は、企業と消費者の双方に、より迅速、安全、かつ便利な取引処理方法を提供することです。新たな高度な決済技術が登場するたびに、セキュリティ機能も強化されます。

とはいえ、サイバー犯罪者も同様に、機密情報を盗むためのより洗練された戦略を編み出そうと躍起になっていると考えるのは、決して突飛なことではありません。US Aidの報告によると、世界のサイバー犯罪による被害額は2023年には8兆ドルで、2027年には24兆ドルに達すると予想されています。サイバー攻撃の半数は中小企業を、ランサムウェアの59%は米国企業を標的としています。

マルウェアとランサムウェアは、企業が最も備えるべき最終段階であり続けていますが、ソーシャルエンジニアリングとフィッシングはサイバー犯罪者が優位に立つ傾向があります。だからこそ、消費者と従業員に対し、インターネット上で情報を安全に共有する方法を教育することは、あらゆる企業のPOSセキュリティ戦略において同等の優先事項であるべきです。