国を挙げたキャッシュレスの推進や企業の積極的なサービス展開により、クレジットカードをはじめ電子マネーやコード決済等多くのキャッシュレス決済サービスが広く普及しつつあります。一方で、これらのサービスでは不正決済やサイバー攻撃の脅威も増大しており、近年では社会的に大規模な被害が発生しています。
KPMGは、キャッシュレス決済サービスの普及に伴い増大する不正決済の脅威に対し、セキュリティ対策を検証して改善策を提案することにより、サービスの安定的な運営を支援します。
これまでに発生した不正決済事案では、サービスの新規開始や機能追加等によるプロセス変更の際に、アカウント開設や銀行口座・クレジットカード等支払手段の紐付け時の本人確認、入力失敗時の入力回数制限等、決済に至るプロセスの一部における対策不足を狙われています。
この脅威に対抗するためには、個別対策の有無に留まらず、プロセスのフローを通じて犯行シナリオへの対策が防止・検知策として機能しているかを、机上検証や疑似攻撃によって確認することが有効です。
また、近年の不正決済事案は発生後急激に被害が増加するという特徴があり、発生時の事象把握、原因・影響の分析、経営の意思決定の遅れが企業のブランドに重大な影響を及ぼす可能性があるため、インシデント対応体制の充実は必須の課題となっています。
犯行シナリオの成立可能性の検証(机上検証)
プロセスフロー上のセキュリティ対策をワンストップで可視化したうえで、他社の対策事例やKPMGの知見に基づき、犯行の成立可能性を検証し、改善策を提案します。
【プロセスフローの評価イメージ】
脅威ベースのペネトレーションテスト(TLPT)
CREST認定またはOSCP等の高度なペネトレーションテスターの資格を有するKPMGのサイバースペシャリストが疑似攻撃することにより、犯行シナリオの成立可否を検証します。併せて攻撃の監視やインシデント対応の評価も行うことで、網羅的に課題を可視化し、改善策を提案します。
インシデント発生時の対応体制の評価
サイバーセキュリティにかかわるインシデント対応体制および危機管理体制の課題を、KPMGが開発したCSIRT評価ツールを活用して洗い出し、改善策を提案します。
