開催場所: WEB
開催日: 2021-06-22
国も推進したキャッシュレス決済・ポイント還元やマイナポイント事業、Go To キャンペーン事業により、QRコード決済等のスマホ決済、タッチ決済、電子マネーをはじめとしたキャッシュレス決済の利用者や導入店舗が増えています。
便利な一方、不正ログインやなりすまし、不正QRコード、フィッシング等、キャッシュレス決済を不正に悪用した犯罪が増加しています。
本ウェビナーでは、実例と金融システムに関するセキュリティコンサルティングや監査等での実績や知見から、安全・安心な決済サービスを提供するために対策すべきことをリスク評価と診断の観点で解説します。
15:00~15:30
<セッション1>
決済サービスを不正利用から守るためのセキュリティ対策
近年のキャッシュレス推進の背景もあり、決済サービスを提供するスマートフォンアプリが多く登場しています。一方でこれらの決済サービスを悪用する攻撃が後を絶たず、昨年も大きな被害が報じられました。最近の攻撃傾向から、APIの実装不備を狙った攻撃に加えて、サービス仕様そのものの不備を狙った攻撃が多く見られています。
また、これらの不備はサービスの新規リリース時だけではなく、既存サービスの機能改修時にも発生する傾向にあり、サービス提供者はセキュリティリスクを十分考慮した上で決済サービスを設計する必要があります。
本セッションでは、決済サービスを提供する事業者がサービスを不正利用されないために、どのような点に気を付けてサービスを設計すべきか、セキュリティリスク分析の重要性を事例紹介を交えながら解説します。
また、弊社が提供している電子決済セキュリティリスク評価サービスについてもご紹介します。
NRIセキュアテクノロジーズ株式会社
セキュリティデザインコンサルティング部
セキュリティコンサルタント 田中 大貴
■講演者プロフィール
2015年に野村総合研究所入社。NRIセキュアテクノロジーズに出向し、セキュリティ診断、研修講師、セキュリティコンサルティングなどに従事。 現在は、PCI DSSの準拠支援に加えて、サービスオーナーである電子決済サービスのセキュリティリスク評価などの業務に従事。
15:30~16:00
<セッション2>
API/スマートフォンアプリに特化したセキュリティ診断の重要性
昨今、決済サービスをはじめとした多くのシステムにおいて、APIとスマートフォンアプリを組み合わせたシステム構成が採用されています。また、OAuthに代表されるような認可フレームワークを介してAPIを外部に公開することで、自社サービスの活用を促す取り組みも盛んに行われています。
一方で、これらのシステムに対して、旧来の画面ベースのWebアプリケーションと同様のアプローチでセキュリティ対策を行ってしまうと、API固有のセキュリティ観点やAPIの認可フローの安全性が十分に考慮されない場合があります。また、クライアントにスマートフォンアプリを利用する場合はスマートフォンアプリ自体のセキュリティも考慮する必要があります。
本セッションでは、APIやスマートフォンアプリの特徴を解説後、実際に報告された脆弱性の実例を交えて、APIやスマートフォンアプリのセキュリティ診断の重要性を解説します。また、弊社が提供しているAPI/スマートフォンアプリのセキュリティ診断についても紹介します。
NRIセキュアテクノロジーズ株式会社
DXセキュリティ事業部
セキュリティコンサルタント 豊原 宗一郎
■講演者プロフィール
2019年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、セキュリティ診断や研修講師に従事。セキュリティ診断では、WebアプリケーションやAPI、スマートフォンアプリ、PCI DSS準拠維持支援に関するセキュリティ診断を担当。
